기술기획 IT변경관리팀 하헌관 개발자, 이민애 개발자

“오픈소스 컴플라이언스를 획득했다는 것은 그만큼 안전하고 체계적으로 오픈소스를 사용한다는 것이다. 최근 우려되는 로그4j 등 공급망 공격을 막기 위해 철저한 오픈소스 관리 체계를 구축하고 있다.”

카카오뱅크 기획기술기획 IT변경관리팀의 하헌관 개발자와 이민애 개발자는 카카오뱅크의 오픈소스 컴플라이언스 인증 획득의 의미에 대해 위와 같이 설명했다.

오픈소스 컴플라이언스는 오픈소스 준수 역량을 다면적으로 평가해, 체계적이고 일관성 있는 기업에 부여하는 국제 표준 인증이다. 국내 금융사 중에선 카카오뱅크가 처음이다.

하헌관 개발자는 “카카오뱅크는 오픈소스 컴플라이언스를 바탕으로 오픈소스 소프트웨어 공급망의 신뢰도를 높이고, 인공지능(AI), 빅데이터 등 글로벌 오픈소스를 활용해 다양한 금융서비스 및 편의기능을 제공할 계획”이라고 말했다.

카카오뱅크 기술기획 IT변경관리팀 하헌관 개발자, 이민애 개발자

■ 오픈소스 컴플라이언스 인증, 공급망 신뢰도 높여

오픈소스는 개발 시간과 비용을 줄이고, 품질의 소스 코드를 사용할 수 있다. 이런 장점을 바탕으로 글로벌 IT업계의 주류 개발방식으로 자리잡았다.

하지만 관리가 제대로 이뤄지지 못할 경우 보안상 취약점이 발생할 수 있다. 대표적인 방식이 소스코드 저장소 깃허브에 악성코드를 숨긴 오픈소스를 올린 후 침투하는 공급망 공격이다.

공급망 공격은 소프트웨어를 배포하거나 업데이트하는 과정에 침투해 변조된 파일은 탐지가 어렵고, 대규모 유포할 수 있어 피해규모가 크다.

카카오뱅크 오픈소스 컴플라이언스 인증(이미지=카카오뱅크)

지난해 미국 정부 기관과 수많은 고객이 악성코드에 감염된 솔라윈즈, 카세야 보안 사고 역시 공급망 공격이었다. 디지서트 등 글로벌 보안기업들은 올해 핵심 보안 사항으로 공급망 공격을 지목했다.

이민애 개발자는 “금융사인 만큼 보안에 특히 신경을 많이 쓰고 있다”며 “보안팀과 함께 코드에서 사용하는 오픈소스의 라이선스를 비롯해 보안취약점까지 한번에 관리하며 사전에 방지에 주력한다”라고 설명했다.

■ 효율적인 라이선스 관리로 오픈소스 활용성 향상

하헌관 개발자는 “오픈소스를 사용하는 과정에서 번거로운 작업 중 하나가 규정(라이선스) 관리다”라며 “하지만 이를 지키지 않으면 저작권 분쟁 등의 문제가 발생할 수 있어 정교한 관리 체계가 필요하다”라고 말했다.

이어서 그는 “세계적인 수준의 금융 서비스를 빠르게 제공하기 위해선, 오픈소스를 사용하는 것이 훨씬 효율적이라는 판단이었다”며 “그렇다면 이를 위해 체계적이고 프로세스를 갖추려 했다”며 오픈소스 컴플라이언스 인증을 받은 다른 이유를 설명했다.

라이선스는 기업에서 오픈소스를 이용하고 자신의 소스를 공개하지 않는 등 악용하는 것을 방지하기 위해 존재한다.

문제는 오픈소스 라이선스마다 배포 및 수정 권한, 고지의무, 수정 후 소스코드 공개, 제품에 라이선스 사본 첨부, 저작권 관련 문구 첨부 등 규정이 다르다.

오픈소스 라이선스별 요구사항 목록 중 일부(이미지=오픈소스SW 라이선스 종합정보 시스템)

소프트웨어의 규모가 점점 커지고 오픈소스 사용량이 증가하면서, 관리가 어려워지고 있다. 이로 인해 글로벌 주요 IT 기업도 오픈소스를 둘러싼 분쟁이 이어지고 있다.

이민애 개발자는 “라이선스 업무를 파악하면서 조사해본 결과 라이선스 종류만 2천500여 개 달했다”며 “다행이라면 90%는 10개 라이선스로 수렴 됐고, 나머지만이 독자 규격이어서 충분히 한도 내에서 정리할 수 있었던 것 같다”라고 말했다.

이어서 “신분증, DB 인증을 비롯해 웹서버 등 이미 카카오뱅크 거의 모든 개발 분야에서 오픈소스를 사용하고 있다”며 “앞으로도 금융기술연구소를 중심으로 최신 오픈소스를 활용해 사용자를 위한 새로운 서비스를 제공하려 한다”고 강조했다.  [기사 더보기]

[출처 : ZDNet Korea(https://zdnet.co.kr/)]

[기자 : 남혁우 기자(firstblood@zdnet.co.kr)]