미국 정부가 주요 IT 업계 관계자를 소집해 오픈소스 소프트웨어(SW) 보안 강화 대책을 논의했다. 지난달 광범위하게 사용되는 자바 기반 오픈소스 로깅 라이브러리 '로그4j'에서 치명적인 보안 취약점이 발견돼 전세계 기업·기관이 긴급 대응에 나서는 등 혼란이 나타난 점을 의식한 조치다. 오픈소스 SW 보안이 국가 안보를 위협할 수 있다는 판단에서 이번 회의가 마련됐다.
미국 지디넷 등 외신에 따르면 미국 정부는 13일(현지시간) 백악관에서 아파치 재단, 구글, 애플, 아마존, 마이크로소프트, IBM, 메타, 리눅스, 오라클 등 주요 IT 업계 및 국방부, 국토안보부 산하 사이버보안 및 인프라 안보국(CISA)과 오픈소스 SW 보안에 대한 회의를 개최했다.
이날 회의에서 미국 정부는 SW 보안 및 SW 공급망의 투명성을 개선할 필요가 있다고 강조했다. 오픈소스는 활용이 개방돼 있고, 누구나 코드 개선에 참여할 수 있다. 반대로 이런 특성 탓에 SW 보안 유지관리에 대한 책임 주체를 찾기 어렵고, 보안 취약점이 발견된 경우 영향 범위를 특정하기 어렵다는 것을 우려한 것이다.
회의 참석 기업 중 하나인 구글은 "오픈소스 SW 코드는 모두가 사용하거나 수정하고, 검사할 수 있어 협업을 통한 혁신, 신기술 개발 등을 촉진해 문제 해결에 도움을 줬다"며 "이런 점 때문에 많은 영역에서 중요 인프라와 국가 안보 시스템 등에 오픈소스가 포함돼왔지만, 공식적으로는 할당된 인력 자원이 없고, 중요한 코드의 보안을 유지하기 위한 표준이나 요구사항이 거의 없다"고 짚었다.
마찬가지로 오픈소스 보안이 자발적인 참여에 의존해 유지되는 점을 지적한 것이다.
구글은 이번 회의에서 제시한 오픈소스 SW 보안 강화 방안을 공유했다. 먼저 오픈소스 프로젝트의 중요도를 평가하고, 그에 맞춰 인적 자원을 할당할 것을 제안했다.
관련기사
- 쓸 땐 좋았는데...'오픈소스 보안' 문제 환기한 로그4j2021.12.29
- 구글 "주요 오픈소스 개발, 익명으로 못하게 하자"2021.02.14
- 로그4j 또 취약점 발견, 아파치SW재단 새 패치 배포2021.12.20
- 민간 핵심 IT인프라 30곳 '로그4j' 사용…"보안 패치 진행 중"2021.12.16
산업계와 정부가 협력해 오픈소스에 대한 보안, 유지보수, 그 출처와 테스트에 대한 기본 표준을 수립 및 지속적으로 갱신하는 방안도 제시했다.
오늘날 오픈소스에 의존하는 기업, 기관이 많아진 점을 고려해 공공과 민간의 투자가 확대돼야 한다고도 지적했다. 구글은 기업 내 오픈소스 기여자를 지원이 시급한 중요 프로젝트에 연계해 유지보수를 원활히하는 조직을 만들자고 제안했으며, 이런 조직에 자원을 투입할 준비가 돼 있다고 밝혔다.