아파치 재단·구글 등 주요 IT 기업과 회의 개최
미국 정부가 주요 IT 업계 관계자를 소집해 오픈소스 소프트웨어(SW) 보안 강화 대책을 논의했다. 지난달 광범위하게 사용되는 자바 기반 오픈소스 로깅 라이브러리 '로그4j'에서 치명적인 보안 취약점이 발견돼 전세계 기업·기관이 긴급 대응에 나서는 등 혼란이 나타난 점을 의식한 조치다. 오픈소스 SW 보안이 국가 안보를 위협할 수 있다는 판단에서 이번 회의가 마련됐다.
미국 지디넷 등 외신에 따르면 미국 정부는 13일(현지시간) 백악관에서 아파치 재단, 구글, 애플, 아마존, 마이크로소프트, IBM, 메타, 리눅스, 오라클 등 주요 IT 업계 및 국방부, 국토안보부 산하 사이버보안 및 인프라 안보국(CISA)과 오픈소스 SW 보안에 대한 회의를 개최했다.
이날 회의에서 미국 정부는 SW 보안 및 SW 공급망의 투명성을 개선할 필요가 있다고 강조했다. 오픈소스는 활용이 개방돼 있고, 누구나 코드 개선에 참여할 수 있다. 반대로 이런 특성 탓에 SW 보안 유지관리에 대한 책임 주체를 찾기 어렵고, 보안 취약점이 발견된 경우 영향 범위를 특정하기 어렵다는 것을 우려한 것이다.
개발, 프로그래밍, 오픈소스
회의 참석 기업 중 하나인 구글은 "오픈소스 SW 코드는 모두가 사용하거나 수정하고, 검사할 수 있어 협업을 통한 혁신, 신기술 개발 등을 촉진해 문제 해결에 도움을 줬다"며 "이런 점 때문에 많은 영역에서 중요 인프라와 국가 안보 시스템 등에 오픈소스가 포함돼왔지만, 공식적으로는 할당된 인력 자원이 없고, 중요한 코드의 보안을 유지하기 위한 표준이나 요구사항이 거의 없다"고 짚었다.
마찬가지로 오픈소스 보안이 자발적인 참여에 의존해 유지되는 점을 지적한 것이다. [기사 더보기]
[출처 : ZDNet Korea(https://zdnet.co.kr/)]
[기자 : 김윤희 기자(kyh@zdnet.co.kr)]
