손경호 기자  sontech@zdnet.co.kr

https://www.zdnet.co.kr/news/news_view.asp?artice_id=20140428083902


제2 하트블리드 사태를 막기 위해서는 오픈소스 프로젝트를 진행하고 있는 개발자들에 대한 지원이 강화될 필요가 있다는 지적이다. 자원봉사나 다름 없는 형태로 개발돼 온 오픈소스 소프트웨어(SW)가 보안성을 확보하기 위해서는 외부 후원이 늘어날 필요가 있다는 것이다. 

 

27일(현지시간) 미국 지디넷 등 외신에 따르면 최근 구글을 중심으로 한 글로벌 IT 회사들은 오픈소스SW의 보안성을 확인하고, 강화하기 위해 관련 중급 수준 개발자를 지원하는 '코어 인프라스트럭처 이니셔티브(CII)'를 개설했다.

 

하트블리드로 인해 오픈소스 환경에서 발견된 보안 취약점이 전 세계 웹사이트, 네트워크 장비 등에 타격을 가할 수 있다는 위기감을 반영한 행보다.

▲ 제 2 하트블리드 사태 재발을 막기 위해 CII가 개발자들을 지원한다.   <사진=CNET>


그동안 오픈소스SW는 소스코드가 개방돼 있기 때문에 폭넓은 리뷰와 테스트가 진행됐을 것으로 인식돼왔다.

 

그러나 스티브 마르퀴스 오픈SSL 재단 회장은 지난달 초 "문제는 어떻게 하트블리드와 같은 버그가 발생할 수 있었나가 아니라 프로젝트를 위한 자원이 부족하다는 점"이라고 밝혔다.

 

특히 마르퀴스는 "프로젝트는 적어도 6시간 동안 근무할 수 있는 상근직이 필요하며, 프로젝트를 더 잘 관리하기 위해서는 광범위하게 활용되고 있는 암호화 프로젝트에 대해 면밀히 분석할 수 있는 전문가가 필요하다"고 덧붙였다.

 

이어 "수백만개 복잡한 소스코드 라인을 파악하는 것은 담력이 필요하다"며 "확실한 것은 (오픈소스SW 사용자들이) 뭔가 잘못이 발생하기 전까지는 이러한 문제를 무시하고, 전혀 고마워하지 않았다는 점"이라고 지적했다.

 

하트블리드 취약점이 발견된 오픈소스 암호화 프로토콜인 오픈SSL의 경우 전체 프로젝트에 투자된 자금 규모는 9천달러에 불과했다. 개인들이 주로 투자했다.이에 대해 마르퀴스는 "실제로 오픈소스 프로젝트에 공헌이 필요한 것은 광범위하게 오픈SSL을 상업적으로 이를 활용하고 있는 기업이나 정부들"이라고 강조했다.

 

이 과정에서 등장한 CII는 오픈소스 생태계에 의미있는 변화다. 현재 CII는 390만달러 후원을 받았으며, 오픈SSL을 포함해 여러 오픈소스프로젝트의 보안성을 점검하는 작업을 해나갈 계획이다.

 

현재 CII에 참여의사를 밝힌 곳은 구글을 시작으로 아마존웹서비스(AWS), 시스코, 델, 페이스북, IBM, 인텔, 마이크로소프트(MS), 넷앱, 랙스페이스, VM웨어, 후지쯔 등이다. 이를 통해 오픈소스 프로젝트에 참여하고 있는 개발자들에게 중급 개발자 수준에 해당하는 임금을 지불하게 된다.

 

외신에 따르면 오랫동안 자유(free) SW는 마치 공짜SW인 것처럼 잘못 인식돼왔다. 자유(free)는 공짜를 듯하는게 아니라 SW가 어떻게 작동되는지 이해하도록 돕고, 특정 기관 등의 감사로부터 자유롭다는 것을 의미한다는 설명이다.

 

많은 오픈소스 프로젝트들의 큰 문제 중 하나는 프로젝트를 지속하기 힘들다는 점이었다. 오픈SSL은 그동안 2천달러 자금으로 개발/운영돼 왔다. 오픈BSD는 전기료 문제로 곤란을 겪기도 했으며, GNOME은 최근에 현금자산이 바닥났다. 파이어폭스 개발사로 유명한 모질라는 구글 검색광고 등에 높은 의존율을 보이고 있다.