지난 주 백악관에서는 여러 IT 전문가들이 만남을 가졌다. 소프트웨어 생태계의 가장 기본 단위가 되는 오픈소스를 보호할 방안을 마련하기 위해서였다. 아직 구체적으로 어떤 일들이 이뤄질지는 알 수 없으나, 방향은 일단 옳게 잡은 것으로 보인다.



미국 정부가 ‘백악관 소프트웨어 보안 서밋(White House Software Security Summit)’을 주최해 오픈소스 커뮤니티와 주요 소프트웨어 개발사들을 1월 13일에 직접 만났다. 자꾸만 위험해지는 소프트웨어 보안에 대해 이야기하고 대책을 마련하기 위해서다. 아카마이, 아마존, 애플, 깃허브, 구글, 메타, 마이크로소프트, 레드햇, 아파치 소프트웨어 재단, 리눅스 재단이 여기에 참여했다.
 

[이미지 = utoimage]

 


이번 서밋의 목적은 코드 리포지터리와 오픈소스 패키지에서 발견되는 오류와 취약점들을 해결해 공격 가능성을 최소화하고 사건 대응 시간을 줄이기 위한 대책 마련에 있었다. “오픈소스 소프트웨어에는 고유한 가치가 있습니다. 그리고 그 만큼 특별한 방책으로써 보호해야 하는 존재입니다. 광범위하게 사용될 뿐만 아니라, 오픈소스 커뮤니티에 참가하는 사람들의 수도 어마어마하죠. 그래서 시작된 이번 서밋에서 참가자들은 생산적이고 구체적인 이야기를 나눴습니다.” 백악관 측의 설명이다.

현재 보안 업계는 로그4j(Log4j)라는 로깅 프레임워크를 찾아 패치하느라 한창 분주하다. 로그4j는 오픈소스이며, 아파치 재단에서 관리하고, 광범위하게 사용되고 있어 취약한 버전을 찾아 패치하는 게 원활하게 진행되지 않고 있다. 때문에 수많은 장비들이 취약한 상태로 사용되고 있는 게 현실이고, 이에 따라 로그4j를 노리는 공격자들의 활동이 빠르게 늘어나고 있다. 미국 정부도 이 로그4j 사태를 예의주시하는 중이다.

깃허브의 수석 보안 책임자인 마이크 핸리(Mike Hanley)는 “세계가 소프트웨어로 돌아가는 시대”라며 “오픈소스에 대한 의존도가 높아지는 게 이상하지 않다”고 짚었다. “오픈소스에서 발견되는 문제점들은 빠르게 다른 소프트웨어로 옮겨가고, 그 파급력은 어마어마합니다. 눈 깜빡할 사이에 수많은 산업으로 퍼지는 걸 저희는 여러 차례 목격한 바 있습니다.”

백악관은 바이든 행정부 초기부터 보안 강화를 위한 민관 협조 체계를 계속해서 강조해 왔다. 이번 서밋에서도 오픈소스 보호를 위한 민관 협조의 방법이 논의됐다. 개발자들을 위한 도구나 서비스에 보안 기능을 구축하는 방법, 패키지 저장 및 배포 플랫폼의 무결성 확인 장치 도입 등과 같은 방안들이 나왔다. 하지만 제일 먼저는 인기와 중요도 모두가 높은 오픈소스 프로젝트들과 패키지들을 안전하게 보호하는 것부터 시작될 것으로 보인다. 그 방법 중 하나는 소프트웨어 구성 요소의 ‘자재 명세서’ 발급이 될 가능성이 높다.  [기사 더보기]

 

 

[출처 : 보안뉴스(www.boannews.com)]

[기자 : 문가용 기자(globoan@boannews.com)]