페이스북이 오픈소스 보안취약점에 대응하기 위한 보안 정책을 마련했다.
미국 지디넷은 페이스북이 취약점공개정책(VDP)을 공개했다고 최근 보도했다.
취약점공개정책은 페이스북 엔지니어가 발견한 오픈소스의 보안 취약점을 빠르게 개선하기 위해 마련됐다.
정책에 따르면 취약점을 발견한 페이스북 엔지니어는 해당 개발자 또는 업체가 파악할 수 있도록 관련 내용을 심층적으로 분석한 보고서를 제공해야 한다.
기업이나 개발자는 21일 이내에 보고서를 전달받았는지 엔지니어에 응답 후 90일 이내에 해당 취약점을 수정하거나 업데이트해야 한다.
만약 주어진 기간 내에 응답하지 않거나 문제를 해결하지 못할 경우 페이스북은 취약점을 온라인을 통해 공개한다.
해당 프로그램이나 소스를 사용 중인 이용자가 해당 취약점을 알고 스스로 문제를 해결하거나 차단할 수 있도록 하기 위함이다. 예외적으로 이미 해커 등이 악용하고 있는 것이 확인된 취약점은 즉시 공개한다.
페이스북에서 해당 정책을 공개한 이유는 개발 문화의 변화가 주원인으로 꼽힌다. 오픈소스 기반 개발이 활발해지면서 타 기업의 코드 및 오픈소스 라이브러리 사용 비율이 높아진 만큼 내부 개발만으로 오류나 보안 취약점을 해결하기 어려워졌기 때문이다.
페이스북 측은 “지난 몇 년간 타사의 구성 요소에서 취약점을 발견하고 해당 소유자에게 보고했으며 응답이 없는 경우는 자체적으로 수정을 하거나 대안을 개발해 왔다”며 “하지만 취약점이 노출된 줄 모르고 소스를 계속 사용하는 개발자에겐 공정하지 않다고 판단해 정책을 마련하게 됐다”고 밝혔다.
기존에도 이러한 문제를 해결하기 위한 움직임이 있었다. 하지만 소프트웨어커뮤니티를 중심으로 개인 이용자들이 주로 활동했기 때문에 급격하게 증가하는 오픈소스 시장에 변화를 주긴 어려웠다.
하지만 다양한 서비스를 제공하고 대규모 소스를 관리하는 페이스북이 직접 참여하는 만큼 오픈소스의 취약점 개선에 많은 영향을 줄 수 있을 전망이다.
이러한 움직임에 맞춰 구글 역시 내부 보안팀인 프로젝트제로에서 오픈소스를 대상으로 90일 공개 기한 정책을 진행하고 있다.
관련기사
- 폴가이즈 API 위장 악성파일 발견2020.08.31
- 시스코 장비 운영체제서 취약점 발견…"해커 악용 사례 존재"2020.09.01
- 구글-페이스북, 초고속 해저케이블 경로에서 홍콩 제외2020.09.01
- 페이스북, 리눅스재단 플래티넘 회원 합류2020.08.14
90일 공개 기한 정책은 VDP와 유사하게 취약점을 발견하면 문제에 대한 자세한 기술 설명을 관련 공급 업체 또는 오픈소스 프로젝트에 전달하는 방식이다.
구글은 해당 정책을 통해 지난 4월까지 1천694건의 취약점을 수정했다고 밝혔다.