카카오뱅크 "체계적 오픈소스 관리로 공급망 공격 방지"

기술기획 IT변경관리팀 하헌관 개발자, 이민애 개발자

컴퓨팅입력 :2022/02/22 11:56    수정: 2022/03/29 18:38

정보통신산업진흥원(NIPA)에서 운영하는 오픈업에서

“오픈소스 컴플라이언스를 획득했다는 것은 그만큼 안전하고 체계적으로 오픈소스를 사용한다는 것이다. 최근 우려되는 로그4j 등 공급망 공격을 막기 위해 철저한 오픈소스 관리 체계를 구축하고 있다.”

카카오뱅크 기획기술기획 IT변경관리팀의 하헌관 개발자와 이민애 개발자는 카카오뱅크의 오픈소스 컴플라이언스 인증 획득의 의미에 대해 위와 같이 설명했다.

오픈소스 컴플라이언스는 오픈소스 준수 역량을 다면적으로 평가해, 체계적이고 일관성 있는 기업에 부여하는 국제 표준 인증이다. 국내 금융사 중에선 카카오뱅크가 처음이다.

하헌관 개발자는 “카카오뱅크는 오픈소스 컴플라이언스를 바탕으로 오픈소스 소프트웨어 공급망의 신뢰도를 높이고, 인공지능(AI), 빅데이터 등 글로벌 오픈소스를 활용해 다양한 금융서비스 및 편의기능을 제공할 계획”이라고 말했다.

카카오뱅크 기술기획 IT변경관리팀 하헌관 개발자, 이민애 개발자

■ 오픈소스 컴플라이언스 인증, 공급망 신뢰도 높여

오픈소스는 개발 시간과 비용을 줄이고, 품질의 소스 코드를 사용할 수 있다. 이런 장점을 바탕으로 글로벌 IT업계의 주류 개발방식으로 자리잡았다.

하지만 관리가 제대로 이뤄지지 못할 경우 보안상 취약점이 발생할 수 있다. 대표적인 방식이 소스코드 저장소 깃허브에 악성코드를 숨긴 오픈소스를 올린 후 침투하는 공급망 공격이다.

공급망 공격은 소프트웨어를 배포하거나 업데이트하는 과정에 침투해 변조된 파일은 탐지가 어렵고, 대규모 유포할 수 있어 피해규모가 크다.

카카오뱅크 오픈소스 컴플라이언스 인증(이미지=카카오뱅크)

지난해 미국 정부 기관과 수많은 고객이 악성코드에 감염된 솔라윈즈, 카세야 보안 사고 역시 공급망 공격이었다. 디지서트 등 글로벌 보안기업들은 올해 핵심 보안 사항으로 공급망 공격을 지목했다.

이민애 개발자는 “금융사인 만큼 보안에 특히 신경을 많이 쓰고 있다”며 “보안팀과 함께 코드에서 사용하는 오픈소스의 라이선스를 비롯해 보안취약점까지 한번에 관리하며 사전에 방지에 주력한다”라고 설명했다.

■ 효율적인 라이선스 관리로 오픈소스 활용성 향상

하헌관 개발자는 “오픈소스를 사용하는 과정에서 번거로운 작업 중 하나가 규정(라이선스) 관리다”라며 “하지만 이를 지키지 않으면 저작권 분쟁 등의 문제가 발생할 수 있어 정교한 관리 체계가 필요하다”라고 말했다.

이어서 그는 “세계적인 수준의 금융 서비스를 빠르게 제공하기 위해선, 오픈소스를 사용하는 것이 훨씬 효율적이라는 판단이었다”며 “그렇다면 이를 위해 체계적이고 프로세스를 갖추려 했다”며 오픈소스 컴플라이언스 인증을 받은 다른 이유를 설명했다.

라이선스는 기업에서 오픈소스를 이용하고 자신의 소스를 공개하지 않는 등 악용하는 것을 방지하기 위해 존재한다.

문제는 오픈소스 라이선스마다 배포 및 수정 권한, 고지의무, 수정 후 소스코드 공개, 제품에 라이선스 사본 첨부, 저작권 관련 문구 첨부 등 규정이 다르다.

오픈소스 라이선스별 요구사항 목록 중 일부(이미지=오픈소스SW 라이선스 종합정보 시스템)

소프트웨어의 규모가 점점 커지고 오픈소스 사용량이 증가하면서, 관리가 어려워지고 있다. 이로 인해 글로벌 주요 IT 기업도 오픈소스를 둘러싼 분쟁이 이어지고 있다.

이민애 개발자는 “라이선스 업무를 파악하면서 조사해본 결과 라이선스 종류만 2천500여 개 달했다”며 “다행이라면 90%는 10개 라이선스로 수렴 됐고, 나머지만이 독자 규격이어서 충분히 한도 내에서 정리할 수 있었던 것 같다”라고 말했다.

이어서 “신분증, DB 인증을 비롯해 웹서버 등 이미 카카오뱅크 거의 모든 개발 분야에서 오픈소스를 사용하고 있다”며 “앞으로도 금융기술연구소를 중심으로 최신 오픈소스를 활용해 사용자를 위한 새로운 서비스를 제공하려 한다”고 강조했다.

■ 오픈소스 학습, 흥미 있는 분야부터 서서히

클라우드와 빅데이터, 인공지능(AI) 도입과 함께 IT업계에서 오픈소스에 대한 관심이 높아지고 있다.

쿠버네티스, 파이토치 등 해당 서비스에 쓰이는 주요 기술이 대부분 오픈소스 기반이기 때문이다. 하지만 오픈소스는 규모가 방대하고, 체계화된 학습자료나 교육체계가 마련되지 않아 학습이 어려운 단점이 있다.

이민애 개발자는 “국내 오픈소스 커뮤니티에 참여하고, 깃허브에서 흥미로운 주제를 선택해 간단한 것부터 조금씩 시작해보는 것을 추천한다”며 “깃허브의 경우 처음엔 프로세스가 어떻게 동작하는지 파악하고 오타나 간단한 버그 픽스부터 시작해 점점 범위를 넓히면 자신의 실력도 늘릴 수 있을 것”이라고 조언했다.

관련기사

하헌관 개발자는 정보통신산업진흥원(NIPA)에서 운영하는 오픈업에서 진행하는 공개소프트웨어 매니지먼트 아카데미를 추천했다.

그는 “오픈소스를 관련 일을 하던 중 매니저로 참가했는데 기본 교육부터 실습, 컨플라이언스, 보안취약점 관리, 워크샵 등 체계적인 커리큘럼으로 이뤄져 오픈소스를 학습하기 적합했다”며 “또한 SK, 삼성전자, 카카오 등 오픈소스에 집중하는 기업과 파트너십이 체결돼 있어 기업에서 어떤 분야를 준비하고 있는지 파악하기에도 유리하다고 본다”고 설명했다.