Home > 전체기사

구글, 오픈소스 강화 위한 유료 큐레이션 서비스 곧 출시

  |  입력 : 2022-05-18 15:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
구글이 오픈소스 패키지들을 검사함으로써 안전한 패키지들만 개발자들이 사용할 수 있게 해 줄 것이라고 한다. 이 서비스는 어슈어드 오픈소스 소프트웨어라고 하며 3사분기부터 제공될 예정이다. 다만 구독형 유료 서비스가 될 것으로 보인다.

[보안뉴스 문가용 기자] 구글이 개발자들을 위한 새로운 보안 도구를 조만간 공개할 예정이다. 이 보안 도구는 오픈소스 요소들을 적극적으로 활용하는 개발자들이 보다 안전하게 프로그램 개발을 할 수 있도록 도와주는 역할을 하게 될 것이며, 구독 서비스 형태로 제공될 예정이라고 한다. 이 서비스의 이름은 어슈어드 오픈소스 소프트웨어(Assured Open Source Software)이며, 주기적인 스캐닝 및 보안 분석이 이뤄지는 오픈소스 패키지들을 개발자들에게 제공한다.

[이미지 = utoimage]


어슈어드 오픈소스 소프트웨어는 레드햇(Red Hat)이나 우분투(Ubuntu) 등과 같은 기업이 자신들만의 리눅스 배포판을 제공하는 것과 비슷하다고 구글 클라우드(Google Cloud)의 부회장인 에릭 브루어(Eric Brewer)는 설명한다. “누구나 무료로 다운로드 받을 수 있는 것이지만 중간에서 신뢰할 만한 제3자가 일종의 ‘큐레이션’ 서비스를 제공함으로써 안전을 꾀한다는 건데, 새로운 개념은 아닙니다. 다만 오픈소스 생태계에서는 이런 오래된 방법론이 지금 절실히 필요합니다.”

구글이 이러한 발표를 하기 일주일 전 리눅스재단과 오픈소스보안재단, IT 업계 내 주요 기업 40개가 공동으로 오픈소스 보안 강화를 위한 계획을 발표했다. 3가지 영역에서 10가지 이니셔티브를 진행함으로써 오픈소스와 관련된 개발 행위는 물론 소프트웨어 공급망을 보다 탄탄히 다지고 보호하겠다는 것이 이 단체들의 목적이다. 그리고 그러한 계획을 실행함에 있어서 적잖은 자원이 필요한데, 대부분 개발자들에게 투자될 전망이다. 개발자들이 오픈소스 보안, 그리고 공급망 보안의 열쇠를 쥐고 있다는 것이 이들의 시선인 것이다.

구글은 진작부터 이러한 맥락에서 도구들을 개발하고 배포해 왔다. 그 동안 발표된 보안 강화 도구 및 프레임워크에는 시큐리티스코어카드(Security Scorecards), 올스타즈(AllStars), 알파오메가프로젝트(Alpha Omega Project) 등이 있다. 어슈어드 오픈소스 소프트웨어의 차이점은 기존 서비스들과 달리 유료화될 가능성이 높다는 것이다. “지난 주 여러 단체들이 모임으로써 IT 업계가 나아가야 할 방향이 설정되었다면 이제 실질적인 행동에 나서야 할 차례입니다. 하지만 제대로 된 투자가 이뤄지지 않는다면 흐지부지 될 공산이 큽니다.”

이미 많은 기업들이 개발을 위해 사설 리포지터리를 운영하면서 자기들만의 패키지 관리 방식을 도입하고 있다. 그렇기 때문에 구글이 따로 검사해 주는 패키지들을 유료로 제공 받을 필요가 그리 커 보이지 않는다. 그러나 숫자를 조금만 들여다 보면 다른 결론이 날 수 있다. 구글이 지속적으로 퍼징 검사를 하는 패키지가 500개 이상인데, 여기에 동원되는 프로세서 코어가 10만 개 이상이니까 말이다. 여기에 더해 구글은 소프트웨어 물자표 제도를 운영하고 있으며, 이를 통해 공급망 무결성을 확인하기도 한다.

소프트웨어 분석 전문 업체인 스나이크(Snyk)는 자사 솔루션 및 플랫폼에 어슈어드 오픈소스 소프트웨어 프레임워크를 네이티브로 탑재할 것이라고 한다. “많은 기업들이 오픈소스 패키지를 검사한 후에 사용하려고 여러 가지로 노력을 하는 것을 알고 있습니다. 하지만 구글이 할 수 있는 것만큼 광범위하게 다각도로 패키지 검사를 실시할 수 있는 곳은 없다고 봅니다.”

오픈소스를 중간에서 점검하겠다고 나선 것은 구글만이 아니다. 아나콘다(Anaconda)라는 기업의 경우에도 자신들이 직접 검사한 리포지터리들을 제공하고 있다. 이들은 오픈소스 패키지의 무결성은 물론 최신 버전 여부와 취약점 유무까지도 점검한다고 한다. 그 외에 스나이크, 소노타입(Sonotype), 디브릭트(Debricked)와 같은 기업들도 오픈소스 패키지들을 점검할 수 있는 나름의 방법론들을 시장에 내놓고 개발자들을 돕는 중이다. 여기에 구글이 자신만의 접근법을 들고 나타난 것이다.

하지만 업계의 이런 움직임을 마냥 쌍수 들어 환영하기는 어렵다. 위에 언급된 모든 기업들이 인기 높은 오픈소스 패키지를 조사/검사한다는 공통점을 가지고 있기 때문이다. 인기가 덜하거나, 널리 사용되지 않는 패키지라면, 그것이 아무리 중요하다고 하더라도 위의 갖가지 서비스로부터 혜택을 받을 가능성은 낮다. 세상에 오픈소스 강화 서비스가 많아도 놓치는 것들이 수두룩할 것이라는 것이고, 이는 “이제 안전하게 오픈소스를 사용할 수 있어”라고 안도하는 사용자들의 심리에 중요한 허점으로 작용할 수 있다.

브루어도 이런 지점을 인지하고 있다. “여러 서비스들이 경쟁적으로 나옴으로써 산업 전체가 커버하는 분량이 적지는 않겠지만, 아직까지 겹치는 부분들 역시 많은 것을 알고 있습니다. 그래서 경쟁을 하면서도 업계 전체가 협력해야 하기도 합니다. 커버리지를 늘여야 한다는 공동의 목표를 가지고 말이죠. 서로 다른 업체의 서비스가 결국 같은 오픈소스만 주구장창 만진다면 효율이 정말 많이 떨어지는 일이 될 겁니다.”

어슈어드 오픈소스 소프트웨어는 2022년 3사분기 즈음부터 공개될 예정이라고 구글은 덧붙였다.

3줄 요약
1. 오픈소스 강화 위한 본격적인 큐레이션 서비스, 구글이 곧 출시.
2. 비슷한 서비스 이미 시장에 많아, 서로 영역 겹친다면 비효율적.
3. 오픈소스의 큐레이션은 서비스 제공 업체들끼리 서로 협력해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)