깃허브 어드바이저리 데이터베이스가 오픈소스로 전환됐다. 여기에는 각종 소프트웨어 디펜던시 취약점 정보들이 가득하며, 이제 오픈소스가 되었으므로 보다 방대해질 것이다. 깃허브는 이렇게 양질의 보안 정보가 널리 공유되는 게 공급망 보안의 첫 걸음이라고 믿고 있다.

[보안뉴스 문가용 기자] 소프트웨어 공유 플랫폼인 깃허브(GitHub)가 ‘깃허브 어드바이저리 데이터베이스(GitHub Advisory Database, GAD)’라는 통합 보안 자문 플랫폼을 공개했다. 이 GAD는 깃허브의 자동 소프트웨어 디펜던시 확인 시스템을 가동시키는 데 필요한 방대한 디펜던시 관련 취약점 정보가 담겨 있다. 오픈소스로 공개되며, 여기에 참여하는 자들은 현재 DB에 기술 정보를 추가할 권한을 갖게 된다.


깃허브의 소프트웨어 디펜던시 확인 시스템은 자동화 기술로 운영되며, 이름은 디펜다봇(Dependabot)이라고 한다. 이번에 공개된 GAD는 디펜다봇이 기능을 발휘하는 데에 있어 가장 강력한 힘의 근간이 되는 데이터베이스가 오픈소스로 전환된 것이라고 봐도 무방하다. 자바스크립트 요소들의 리포지터리인 NPM과 닷넷(.NET) 요소들의 리포지터리인 누겟(NuGet) 역시 GAD를 활용해 취약점을 코드로부터 탐지한다고 한다.

현재 GAD에는 취약점 권고문이 1만 개 이상 저장되어 있다. 검토가 된 것은 6400여 개, 검토가 되지 않은 것은 5200여 개라고 한다. 깃허브의 수석 제품 관리자인 케이트 캐틀린(Kate Catlin)은 “오픈소스로 전환한 만큼 커뮤니티 참여자들이 늘어날 것이고, 그에 따라 더 많은 정보들이 플랫폼에 저장될 것”이라고 예측하고 있다.

“소프트웨어 공급망을 보호하기 위해서는 보안 데이터를 무료로 공개하는 것이 반드시 필요하다고 믿습니다. 또한 양질의 소프트웨어 취약점 정보를 쉽게 나누고 공유할 수 있게 만드는 것도 비슷하게 중요한 일이라고 생각하고요. 이런 한 걸음이 훗날 모든 소프트웨어의 보안 강화로까지 이어질 것입니다.” 캐틀린의 설명이다.

지난 1월 깃허브와 애플, 아마존, 마이크로소프트, 메타, 레드햇 등과 같은 기업들은 미국 정부 요원들과 백악관에서 중요한 만남을 가졌다. 회의의 주제는 소프트웨어 생태계를 안전하게 보호하기 위한 방안을 마련하는 것이었다. 광범위하게 사용되는 자바스크립트 요소인 로그4j(Log4j)에서 취약점이 발견된 직후 마련된 자리였다. 로그4j는 너무나 많은 소프트웨어와 애플리케이션들에 깊숙하게 들어가 있는 요소라 찾아내 패치하려면 몇 년이 걸릴지 예측조차 되지 않는다는 암울한 전망이 나오던 때였다.

깃허브의 이번 GAD 발표는 “소프트웨어 생태계를 민관이 합동으로 보호해야 한다”는 백악관과 업계 내 목소리를 반영한 결과 중 하나라고도 볼 수 있다. 그냥 취약점 데이터만 연 것이 아니라 공공 리포지터리로 전환하고, 많은 사람들의 참여와 기여를 위해 사용자 인터페이스도 추가했다. 깃허브 내 GAD 팀이 데이터베이스의 유지 관리를 책임지지만, 외부 프로그래머들의 혁신적인 제안도 얼마든지 받고 있다고 한다.

“깃허브는 보안 전문가들로 구성된 팀을 다수 보유하고 있어 GAD에 추가되거나 변경되는 내용들을 인지하고 확인할 수 있습니다. 심지어 많은 취약점 정보를 지금이라도 찾아내고 작성해 GAD를 독자적으로 운영할 수도 있습니다. 하지만 모든 사람들의 참여가 보장된 오픈소스 형태보다 질적이나 양적인 측면의 발전 속도는 매우 더딜 겁니다. 모두가 참여하여 가장 쓸모 있는 최신 보안 취약점 데이터베이스를 만들기를 희망하고 있습니다.” 깃허브가 블로그를 통해 밝힌 내용이다.

현재 깃허브라는 플랫폼 내에서는 2억 개의 프로젝트가 존재하며, 여기에 약 7300만 명의 사용자들이 참여하고 있다고 한다. 보안 권고문 데이터베이스는 그 동안 꾸준하게 내부적으로 규모가 확대되어 왔으며, 2021년에는 러스트(Rust)와 고(Go) 언어 생태계의 정보도 DB에 추가하기 시작했다. 덕분에 이 DB를 기반으로 하고 있는 디펜다봇의 성능도 매우 강력해질 수 있었다고 한다.

“이번에 GAD를 오픈소스로 공개하게 된 것은 보안 담당자들이나 일반 사용자들에게 정확한 정보를 보다 자유롭고 다양하게 제공해야 한다는 내부 결정이 있었기 때문입니다. 분명히 보안 커뮤니티 내에는 많은 정보들이 유통되고 있습니다만, 그것이 죄다 뿔뿔이 흩어져 있기 때문에 커다란 힘을 발휘하지는 못하죠. 정보가 집결될 수 있는 플랫폼이 있어야 하겠다고 오랜 시간 생각해 왔던 것이 사실입니다. 또한 이렇게 해서 DB가 확대되면 저희의 디펜다봇도 더 강력해질 것이고요. 앞으로 어떤 결과가 있을지 저희도 궁금합니다.”

3줄 요약
1. 지금 미국에서는 소프트웨어 공급망 보안에 대한 요구의 목소리가 높아지고 있음.
2. 깃허브는 그에 부응하기 위해 최근 취약점 권고 DB를 오픈소스로 전환함.
3. 소프트웨어 공급망을 보호하기 위해서 최대한 많은 정보가 많은 사람들 사이에서 공유되어야 한다고 깃허브는 믿고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>