"삼성전자 제품의 90%는 오픈소스로 개발된다. 오픈소스가 없으면 삼성전자 제품을 생산할 수도 없는 셈이다."
박수홍 삼성전자 오픈소스 그룹장은 24일 서울 중구 페럼타워에서 열린 '제 1회 안전한 오픈소스 활용 및 도입 전략 컨퍼런스' 기조연설에서 오픈소스의 중요성을 강조하며 이같이 말했다.
삼성전자는 약 5년 전 오픈소스그룹을 만든 이후 오픈소스 소프트웨어(SW) 활동을 확대하는 추세다. 지난해에는 한국공개SW협회에 가입했으며, 오픈소스 협력 사례를 늘리고 있다.
삼성전자가 특히 오픈소스 활용에 주목하는 분야는 사물인터넷(IoT)이다. 박 그룹장은 "집안의 모든 가전을 삼성 브랜드로만 사용하는 가정은 없지만, 소비자는 브랜드 상관없이 모든 회사 제품이 IoT로 연결되기를 기대할 것"이라며 "삼성전자는 소비자 기대를 만족시키기 위해 오픈소스 전략을 채택했다"고 말했다.
모든 IoT 기업과 일일이 파트너십을 맺기보다는 소스코드를 오픈해 다른 IoT 기업이 삼성전자 오픈소스를 사용하도록 함으로써 자연스럽게 생태계를 조성하겠다는 것이다. 그는 "코드를 공개하면 중국 등의 경쟁사들이 가져가서 손해가 될 거라는 우려가 있지만, 궁극적으로는 생태계가 조성돼 시장에서 얻는 이득이 클 것"이라고 말했다.
이어 "가트너에 따르면 5G, 인공지능(AI), IoT, 로봇 등 신생이거나 떠오르는 기술들이 모두 오픈소스 시장에 존재한다"며 "삼성전자도 우수한 오픈소스 인력 채용을 위해 노력 중"이라고 말했다.
이날 세미나를 주최한 한국공개SW협회는 기조연설에 이어 기업에서 오픈소스 SW를 활용·도입할 때 고려해야 할 라이선스 이슈, 보안취약점 및 법적 리스크 대응 전략을 제시했다.
정병주 한국공개SW협회 회장은 "리눅스로부터 시작된 오픈소스의 역사가 클라우드, 빅데이터, IoT, 블록체인, AI까지 전방위로 확산되고 있다"며 "오픈소스를 도입, 생산, 기여하는 과정에서 거버넌스나 컴플라이언스, 보안 취약성 등의 이슈가 발생할 수 있는데 이에 대한 고민이 시작돼야 한다"고 말했다.
이어 행사에 참석한 시높시스코리아는 '2019 오픈소스 보안 및 위험 분석 보고서'를 발표하며 데이터를 통한 오픈소스의 현재와 미래를 분석했다.
시높시스의 블랙덕 감사 서비스팀은 시높시스의 SW 구성 분석 서비스의 일환으로 애플리케이션 또는 코드베이스의 라이선스 컴플라이언스 및 보안 위험을 평가하고자 하는 기업체 및 기관을 대상으로 오픈소스 감사를 수행한다. 주로 인수합병 거래와 관련된 수천 개 코드베이스에 대한 오픈소스 감사를 실시한다.
이번 보고서는 지난해 감사된 1천200개 이상의 상용 코드베이스에서 익명화된 데이터를 통해 얻은 결과를 조사해서 나온 것이다. 데이터분석은 시높시스 사이버보안 연구센터(CyRC)에서 진행됐다.
조사 발표를 맡은 정성훈 시높시스코리아 차장은 "요즘은 오픈소스가 들어가지 않는 코드가 없으며, 이번에도 96% 이상의 코드베이스에서 오픈소스를 발견했다"며 "2018년도 조사에서 평균 오픈소스 비율은 60%에 달했으며, 이는 2017년도의 57%보다 증가한 수치"라고 말했다.
오픈소스 활용 전략은 그냥 쓰는 것만으로 끝나선 안 된다. 오픈소스 활용에 따라 염두에 둬야 하는 주의사항도 있다. 시높시스 발표자의 조언이다.
이어 "대부분의 코드베이스에서 오픈소스가 활용되는 상황에서 사용자들은 보안 및 라이선스 위험을 간과하기 쉽다"며 "패치가 적용되지 않은 소프트웨어 취약점은 조직이 직면하고 있는 가장 큰 사이버 위협에 속한다"고 말했다.
관련기사
- 공공 PC시장 열렸다...하모니카·구름OS·티맥스 각축2019.07.24
- 카카오 개발자가 본 '요즘 클라우드 흐름' 세 가지2019.07.24
- IBM, 기업용 오픈소스 머신러닝 데이터 저장소 열어2019.07.24
- "구글·페이스북 잡아라"…美中 AI전쟁 뜨겁다2019.07.24
실제로 2018년 감사된 코드베이스의 60%에는 하나 이상의 취약점이 포함됐다. 10년 이상 된 취약점을 포함한 코드베이스의 비율도 43%에 달했다.
정 차장은 "오픈소스 사용 프로젝트의 경우 명확한 자재명세서(BOM)를 가지고 있어야 한다"며 "무슨 프로젝트가 어떤 컴포넌트의 어떤 버전을 가지고 있다는 걸 명확히 알아야 버전업이나 업데이트 시기를 알 수 있다"고 말했다. 오픈소스는 관리업체가 따로 있는 것이 아니기 때문에 기업 내부에서 운영·보안에 대해 신경써야 한다는 것이다.