LISH(Laboratory for Innovation Science at Harvard University)의 연구진이 FOSS(free and open source) 소프트웨어 패키지에 대한 현재까지 가장 포괄적인 조사 결과를 공개했다. 업계가 하트브리드(Heartbleed), 로그4쉘(Log4Shell) 등 오픈소스 프로젝트에 영향을 준 치명적인 보안 취약점에 더 잘 대응할 수 있도록 하기 위해서다.

이번 보고서는 IT 업계가 오픈소스 기술의 광범위한 사용에 따라 새롭게 대두되는 보안 위협에 대해 위기감이 고조되는 가운데 나왔다. 실제로 핵심적인 기업과 공공 영역에도 오픈소스 애플리케이션이 널리 쓰이고 있다.

연구진은 애플리케이션 라이브러리 소프트웨어 패키지에 주목했다. 2020년 기준 수천 개 기업의 실제 산업 현장용 애플리케이션에 쓰이는 50만 가지 이상의 FOSS 라이브러리에서 데이터를 수집했다. 조사를 담당한 연구진은 보고서를 통해 "FOSS는 오늘날 우리 경제의 가장 핵심적인 부분이다. 산업 현장에는 수천만 건의 FOSS 프로젝트가 진행 중이고 이 중 상당수가 우리가 매일 사용하는 소프트웨어와 제품에서 쓰인다. 반면 이들 FOSS의 상태나 경제적 가치, 보안 등은 정확히 파악하기 어렵다. 중앙화되지 않고 분산된 방식으로 개발되기 때문이다"라고 지적했다.

이번 보고서는 크게 8가지 리스트로 구성된다. 구체적인 버전이 포함된 4가지, 버전을 알 수 없는 4가지다. 기본 자바스크립트 npm 패키지 관리자를 사용한 패키지와 비npm 패키지도 구분했다. 이밖에 개발자가 직접 호출하는 패키지와 의존성에 따라 간접 호출되는 패키지를 따로 모았다. 더 강한 의존성을 가진 패키지는 개발자가 자신의 환경 내에서 관찰하기가 더 어렵다는 점을 강조하기 위해서다. 연구진은 시간과 여건이 여건이 허락되는 한 최대한 데이터를 수집했다. 이들 리스트를 통해 어떤 FOSS 패키지가 여러 애플리케이션에서 가장 널리 사용되는지 알 수 있다고 설명했다.

한편 보고서에는 가장 위험한 오픈소스 프로젝트가 구체적으로 지목되지 않았다. 위험성을 측정하는 것은 완전히 별개의 작업이기 때문이다. 하지만 가장 널리 쓰이는 소프트웨어를 식별하면 가장 위험한 프로젝트도 비교적 수월하게 찾아낼 수 있다. 단, 이를 규명하려면 여러 업계의 협업이 필요하고 이를 사용하는 기업 단위의 개별적인 도움이 필수적이다. 만약 현재 사용하는 소프트웨어 명세(SBOM)를 작성하기 시작하는 기업이라면 이번 연구가 어떤 오픈소스 패키지가 가장 널리 쓰이는지 파악해 보안을 강화하는 데 참고가 된다.

연구진은 이번 연구가 가장 널리 사용되는 오픈소스 패키지가 무엇인지 인식해, 다음번 로그4j나 하트브리드 취약점을 막는 데 도움이 될 것으로 기대했다. 이번 연구를 지휘한 하버드 비즈니스 스쿨의 교수 프랭크 내이글은 "이번 리스트를 참고하면 다음번 로그4j가 등장해 심각한 문제가 되기 전에 해결할 수 있을 것이다"라고 말했다.

또한 연구진은 이번 조사를 통해 널리 사용하는 주요 FOSS 패키지를 밝혀낸 것이 앞으로 개발자와 최종 사용자가 데이터를 공유하고 보안 키 오픈소스 프로젝트에 투자하고 협업하도록 독려하는 데 도움이 되기를 기대하고 있다. 현재는 보안 키 오픈소스 프로젝트 대부분이 소수의 자발적인 개발자 그룹을 통해 유지되고 있다.

지난 2014년 하트브리드 취약점이 발견되자 리눅스 재단은 CII(Core Infrastructure Initiative)를 설립해 주요 FOSS 프로젝트에 대한 자금과 개발 지원에 나섰다. 메인테이너에게 급료를 주고, 시급한 프로젝트를 선별해 모범 보안 방식을 적용했다. 이런 노력이 쌓여 2020년에는 새로운 오픈SSF(Open Source Security  설립으로 이어졌고, 바로 여기서 이번 연구를 지원했다.  [기사 더보기]

[출처 : ITWORLD(www.itworld.co.kr)]

[기자 : Scott Carey | InfoWorld(editor@itworld.co.kr)]