오픈소스 보호를 위한 노력이 계속해서 이어지고 있다. 백악관이 명령하고 일부 기업들이 돈을 투자하더니 핵심 조직과 학계까지 나서기 시작했다. 이번에는 오픈소스 생태계의 현황을 제대로 파악하자는 의미에서 플랫폼 내 최고 오픈소스 500개가 순서대로 선정됐다.

[보안뉴스 문가용 기자] 리눅스재단(Linux Foundation)과 하버드혁신과학실험실(Harvard Lab for Innovation Science)이 이번 주 몇 개의 주요 생태계에서 사용되는 오픈소스 프로젝트 500개를 선정하여 보안 관련 순위를 매겨 발표했다. 오픈소스 보호를 위한 첫 걸음으로서 진행된 연구 결과라고 한다.


이 순위표는 ‘무료 및 오픈소스 소프트웨어 센서스 2 - 애플리케이션 라이브러리 편(Census 2 of Free and Open Source Software - Application Libraries)’이라고 명명됐으며, 연구 대상이 된 생태계는 자바스크립트 위주의 NPM과 자바 위주의 메이븐(Maven), 파이선 패키지 리포지터리인 PyPI, 닷넷(.NET) 중심의 누겟(NuGet) 패키지 리포지터리였다. 그 외에 세 가지 소프트웨어 구성 요소 분석 전문 기업들로부터 데이터를 받아 참조하기도 했다고 하버드 비즈니스 스쿨의 교수이자 이번 연구 참여자인 프랭크 네이글(Frank Nagle)은 덧붙였다.

네이글은 “오픈소스 소프트웨어를 보호해야 한다는 명제는 참이고, 여기에 누구도 반대하지 않지만 과학적인 접근법이 부족한 상황”이라고 설명한다. “어디에 얼마나 보안 투자를 감행해야 하는지조차 알 수가 없죠. 물론 저희가 이번에 작성한 순위표가 모든 걸 해결해 준다거나 완벽한 모델이라고 말할 수는 없습니다. 하지만 수천, 수만 개의 조직들이 자주 사용하는 오픈소스들이 어떤 것인지는 확실하게 보여준다고 생각합니다.”

미국의 정부와 기업들은 올해 애플리케이션 내 포함된 오픈소스 및 상업용 소프트웨어들을 안전하게 보호한다는 목표를 수립하여 실행 중에 있다. 현존하는 웹과 클라우드 애플리케이션들 대부분 코드의 70~90%가 오픈소스로 구성되어 있다. 애플리케이션 보안 회사인 시놉시스(Synopsys)는 98%의 애플리케이션들이 오픈소스 소프트웨어로 구성되어 있다고 말하기도 한다.

바이든의 소프트웨어 보안 명령
지난 1월 수많은 기업과 기관들이 로그4j(Log4j)라는 오픈소스 라이브러리의 취약한 버전을 찾아 패치하느라 보안 업계가 들썩들썩 했던 적이 있었다. 당시 백악관은 IT 업계 주요 대표들을 초청해 오픈소스 소프트웨어 보안 강화를 당부하고 협력 방안을 모색했다. 그 후 마이크로소프트와 구글 등 여러 IT 기업들이 오픈소스보안재단(Open Source Security Foundation, OpenSSF)에 적잖은 돈을 투자하기도 했다.

이번 ‘센서스 2’ 프로젝트 역시 그러한 맥락에서 진행된 것으로, 오래된 버전이 아무런 업데이트 계획 없이 사용되고 있다거나, 과도한 업무에 시달리는 개발자들에게 관리를 받고 있다거나, 역사적으로 취약점 해결 및 위험 완화 작업이 항상 느리기만 한 오픈소스 요소들을 찾기 위해 시작됐다. “결국 시스템 개선으로 줄일 수 있는 취약점들을 찾아 해결하는 것이 저희의 목적입니다.”

네이글은 “정부 기관들과 오픈소스 보안 조직들의 경우 유명 오픈소스 500개를 취약한 순서대로 정리한 표를 통해 투자 우선순위를 정할 수 있을 것”이라고 설명한다. 일반 사용자 기업들의 경우라면 애플리케이션을 개발할 때 어떤 소프트웨어를 사용해야 보다 더 안전해질 수 있는지를 판단하는 게 가능하다.

“결국 오픈소스를 안전하게 사용한다는 것도, ‘우리가 어떤 오픈소스를 사용하고 있는가?’에서부터 출발합니다. 개발자들이 사용한 패키지만을 말하는 게 아닙니다. 일반 임직원들이 업무에 사용하고 있는 각종 소프트웨어와 애플리케이션들, 그리고 그에 따른 디펜던시(dependency : 소프트웨어를 만들기 위해 더 작은 소프트웨어들을 활용할 때, 그 소프트웨어는 다른 소프트웨어들에 대한 의존성을 갖게 된다. 소프트웨어를 구성하는 다른 소프트웨어들, 그리고 그런 소프트웨어들의 관계를 디펜던시라고 말한다_역주)까지도 아울러야만 하죠. 그래서 취약한 오픈소스 요소들을 알고 있는 것만으로도 큰 도움이 됩니다.”

이번 ‘센서스 2’ 목록은 오픈소스 프로젝트 유지 관리 단체나 업체들에도 유용할 수 있을 것이라고 네이글은 말한다. “오픈소스 관리자들은 자신들이 관리하는 자산들이 얼마나 많은 사람들에게 영향을 미치는지 잘 체감하지 못할 때가 많습니다. 하지만 이번 보고서를 보면 자신들의 일이 얼마나 중요한지 느낄 수 있을 것입니다. 오픈소스 하나하나가 가진 무게감이 현대 사회에서 얼마나 묵직한지도요.”

이번 보고서는 여기(https://www.linuxfoundation.org/tools/census-ii-of-free-and-open-source-software-application-libraries/)서 무료로 다운로드 및 열람이 가능하다.

3줄 요약
1. 리눅스재단과 하버드 비즈니스 스쿨, 오픈소스 소프트웨어 현황을 조사하기 시작.
2. 주요 오픈소스 리포지터리 및 생태계에서 가장 많이 사용되고 가장 취약한 것들을 500개씩 순위 매김.
3. 이는 현재 화두인 ‘오픈소스 보호’의 첫 걸음이 될 수 있을 것이라 기대됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>