오픈 소스 코드를 보다 안전하게 만들려면 어떻게 하는 것이 좋을까? 로그리듬(LogRhythm)의 보안 이사인 매트 샌더스(Matt Sanders)는 ”오픈 소스 코드 보안에 접근하는 몇 가지 방법에는 소프트웨어 보안 동맹 생성, 새로운 유형의 보안 소프트웨어 보험에 대한 투자 또는 연방 정부가 마련한 일련의 최소 표준이 포함될 수 있다”라고 말했다. 그는 이러한 아이디어를 실행하는 방법을 다음과 같이 외신인 sc매거진에 소개했다.

소프트웨어 보안 동맹 만들기
오픈 소스 보안 규정 준수를 개선할 수 있는 방법을 더 잘 이해하기 위해 VSA(Vendor Security Alliance)를 예로 볼 수 있다. 이 연합은 구독 조직에 표준화된 방식으로 공급업체의 보안을 평가할 수 있는 기능을 제공한다. VSA는 공급업체에 설문지를 발송하여 선행 작업을 처리한다. 또한 구독자는 여러 공급업체를 직접 조사하려고 하는 대신 상호 작용할 단일 연락처를 얻는다.

VSA와 유사하게, 회원들에게 이익이 되도록 오픈 소스 프로젝트의 보안을 스캔하고 점수를 매기는 SSA(Software Security Alliance)를 구상할 수 있다. 이러한 스캔은 알려진 취약점의 데이터베이스를 넘어 정적 및 동적 스캔을 포함하고 결국 적절한 경우 수동 코드 검토를 포함할 수 있다. 오픈 소스 코드는 무료로 사용할 수 있으므로 SSA는 이 스캔을 완료하기 위해 오픈 소스 프로젝트를 쉽게 찾고 수집할 수 있다.

그런 다음 구독 조직은 SSA에 수수료를 지불하여 오픈 소스 프로젝트에 대한 평가 데이터를 받는다. 이 모델에서 조직은 SSA가 스캔하고 검증한 프로젝트 및 버전 목록과 비교하여 사용하는 소프트웨어 라이브러리를 확인한다. SSA는 오픈 소스 스캔 비용을 많은 가입자에게 분산시킬 것이다. SSA 회원이 늘어남에 따라 보안 결과를 전달하고 이를 해결하기 위해 오픈 소스 프로젝트와 협력하는 데 미치는 영향도 커진다.

사이버 보험의 새로운 범주에 투자
대부분의 조직은 보안 사고로 인한 재정적 손실을 방지하기 위해 이미 일반 사이버 위험 보험에 가입하고 있다. 회사는 또한 오픈 소스 소프트웨어 라이선스 조건을 준수하지 않아 벌금이 부과될 경우 발생하는 비용을 보호하기 위해 특정 오픈 소스 규정 준수 보험에 가입할 수 있다.

업계는 사용하는 오픈 소스 소프트웨어의 취약성과 관련된 위험으로부터 조직을 보호하는 새로운 유형의 보안 소프트웨어 보험이 필요하다. 이 모델은 몇 가지 다른 방식으로 작동할 수 있다. 첫째, 피보험자는 사용하는 소프트웨어 프로젝트 및 버전 목록을 보험 회사에 제공한다. 그런 다음 보험사는 이러한 사양에 대한 정책을 발행한다. 대안으로, 보험사는 오픈 소스 프로젝트 목록과 보장되는 노트 버전을 제공할 수 있다. 회사에서 보안 문제를 일으키는 목록 외부에서 사용하는 모든 프로젝트 또는 버전은 적용되지 않는다.

사용된 소프트웨어의 위험 수준, 피보험자가 지불한 보험료, 보험사가 정책을 작성하기 전에 오픈 소스 프로젝트를 스캔하고 점수를 매기는 방법에는 많은 변수가 있다. 이것은 이 모델에서 혁신을 위한 많은 여지를 남긴다.

 

민간 부문과 공공 부문이 함께 할 수 있는 방법
회사는 오픈 소스 코드를 사용하기 위해 보안 우선 환경을 구현해야 하지만 내부 규칙과 정책은 회사마다 다를 수 있다. 기본 표준 세트는 조직이 최소 보안 요구 사항을 충족하는 오픈 소스 코드를 사용하도록 하는 데 도움이 될 수 있다. 코드 조각이 최소 표준을 충족했음을 공개적으로 공유할 수 있는 기능은 모든 회사에서 해당 코드를 사용하여 동일한 테스트 및 평가를 반복할 필요가 없도록 함으로써 직원 시간을 엄청나게 절약할 수 있다.  [기사 더보기]

[출처 : 코딩월드뉴스(www.codingworldnews.com)]

[기자 : 오영주 기자(ohyj87@naver.com)]