미국 의회가 오픈소스 소프트웨어의 보안을 다루는 법률 제정을 속도감 있게 추진한다. 연방정부의 오픈소스 소프트웨어 사용에서 발생할 수 있는 보안 문제를 법적으로 규정하고, 보안 문제를 방지하기 위한 연방정부의 역할과 책임을 규정하는 법률이다. 법률안이 통과되면 오픈소스 소프트웨어 사용 시 보안성을 반드시 확보해야 한다는 게 법적으로 확정된다.
29일(현지시간) 미국 지디넷은 최근 미국 상원 국토안보위원회에서 민주당과 공화당 공동으로 발의된 '오픈소스 소프트웨어 보안 법(Securing Open Source Software Act)'의 내용과 문제점을 분석해 보도했다.[☞법률안 바로가기]
법률안을 발의한 미국 상원의원 개리 페터스(미시건주, 민주당)는 이 법에 대해 "오픈소스 소프트웨어 보안과 기타 목적에 관한 사이버보안 및 인프라 보안국(CISA) 국장의 의무를 설정한다"고 밝혔다.
그는 "오픈소스 소프트웨어는 기술 개발을 촉진하고 전반적인 사이버 보안 환경의 필수 요소"라며 "안전하고, 건강하며, 활기차고, 탄력적인 오픈소스 소프트웨어 생태계는 미국의 국가 안보와 경제 활력을 확보하는데 매우 중요하다"고 적었다.
또 "오픈소스 소프트웨어는 자유롭고 개방된 인터넷을 증진하는 디지털 인프라의 기반 요소로, 오픈소스 소프트웨어의 고유한 강점과 오픈소스 소프트웨어의 보안에 대한 일관되지 않은 투자로 인해 오픈소스 소프트웨어 보호에 독특한 문제가 존재한다"며 "연방정부는 오픈소스 소프트웨어의 장기적인 보안을 보장하는 지원 역할을 해야한다"고 밝혔다.
발의에 참여한 롭 포트만(오하이오주, 공화당) 상원의원은 "컴퓨터와 우리가 매일 사용하는 전화, 웹사이트는 사이버 공격에 취약한 오픈소스 소프트웨어를 포함하고 있다"며 "양당의 오픈소스 소프트웨어 보안법은 미국 정부가 미국인의 가장 민감한 데이터를 보호하기 위해 오픈소스 소프트웨어의 보안 취약성을 예상하고 완화하도록 한다"고 설명했다.
이 법안은 작년 로그4J 보안취약점 사태 이후 추진됐다. 로그4J는 오픈소스 코드 공격에 얼마나 취약한지 보여줬고, 새 법안은 미국 CISA에서 오픈소스 소프트웨어를 연방정부와 중요 인프라 및 기타 기관에서 안전하게 사용한다는 것을 보증하도록 돕게 해야 한다는 의지를 담았다.
미국 정부는 지속적으로 오픈소스 소프트웨어 보안 문제에 주목해왔다. 미국 행정부는 22일 발표에서 "전세계 컴퓨터의 압도적 다수가 오픈소스 코드에 의존한다"는 내용을 추가했다. 지난 1월 미국 연방 거래위원회는 로그4J 보안문제를 해결하지 않는 회사를 처벌하지 않겠다고 경고하기도 했다.
미국 정부는 그동안 오픈소스 소프트웨어를 적극적으로 지원해왔다. 2000년 국가안보국이 SE리눅스 개발을 지원했고, 2016년 당시 미국 최고정보책임자(CIO)였던 토니 스콧은 "연방정부를 위해 특별히 개발된 새로운 소프트웨어는 연방 기관 간 공유 및 재사용할 수 있어야 한다"며 "여기에 새로운 연방 자금 지원 사용자지정 코드의 일부를 대중에게 공개하는 파일럿 프로그램을 포함한다"고 오픈소스 코딩 정책을 제안했다.
오픈소스 소프트웨어 보안법은 그동안 정책과 규제 영역에 있던 오픈소스 소프트웨어를 연방 법의 영역으로 이동시킨다. 이 법안은 CISA가 연방정부에서 오픈소스 코드를 사용하는 방법을 평가할 수 있는 '리스크 프레임워크'를 개발하도록 지시한다. CISA는 또한 중요 인프라 소유자와 운영자가 동일한 프레임워크를 사용하는 방법을 결정하게 된다.
오픈소스소프트웨어보안재단(오픈SSF)의 법률 분석에 따르면, CISA는 정부, 산업계, 오픈소스 커뮤니티 프레임워크와 소프트웨어 보안의 모범사례를 통함해 오픈소스 코드 위험을 처리하기 위한 초기 평가 프레임워크를 만든다.
법안을 간단히 요약하자면, CISA는 바퀴를 재발병하려 시도하는 대신 현존하는 최고의 오픈소스 보안 기술을 사용하게 된다. 이는 '개발자가 구매자에게 각 애플리케이션에 대한 소프트웨어 재료 명세서(SBOM)을 제공해야 한다'고 명시한 '국가 사이버보안 개선에 관한 행정명령'의 방향을 따른다.
이 법안은 CISA가 오픈소스 소프트웨어의 리스크를 완화하는 방법을 식별하도록 요구한다. CISA는 보안 문제를 해결항 오픈소스 개발자를 고용해야 한다.
또, 일부 연방 기관에서 '오픈소스 프로그램 오피스(OPSO)'를 시작할 것을 제안하고, 미국 예산관리국(OMB)이 CISA 소프트웨어 보안 소위원회에 자금을 지원하며, 사용자의 오픈소스 소프트웨어 보호 방법에 대한 연방 지침을 발행해야 한다고 명시했다.
법안에 나오는 여러 아이디어는 오픈소스 보안 분야에서 익숙한 것들이다. 오픈SSF는 "SBOM의 사용, 개발과 빌드 및 배포 프로세스의 보안 관행 중요성, 리스크 평가 프레임워크 요구 등의 아이디어는 이미 친숙한 것"이라고 언급했다.
미국 지디넷의 스티븐 보간니콜스는 "이 법안은 놀랍게도 다른 요점을 놓치고 있다"며 "예를 들어 오픈소스뿐 아니라 모든 소프트웨어의 잠재적 위험을 확인해야 한다"고 지적했다.
그는 시스코시스템즈의 브래드 아킨 최고보안및신뢰책임자 겸 수석부사장의 의회 증언을 인용했다.
브래드 아킨 수석부사장은 미국 의회에서 로그4J에 대해 "오픈소스 소프트웨어는 일부의 제안처럼 실패하지 않았으며, 로그4J 취약점이 오픈소스 소프트웨어의 고유한 결함 또는 증가된 위험의 증거라 판단하는 건 잘못됐다"며 "모든 소프트웨어는 설계, 통합 및 작성 시 인간의 판단에 내재된 결함으로 인해 취약점을 포함한다는 게 진실"이라고 증언했다.
오픈SSF는 정부와 법안 개선을 위해 협력한다는 입장이다. 오픈SSF는 "모두를 위한 오픈소스 보안 향상을 위해 업스트림 및 기존 커뮤니티 모두와 협력하고 작업하는데 전념하고 있다"며 "우리 모두가 의지하는 오픈소스 소프트웨어의 보안을 개선하기 위해 전세계 정책 입안자와 협력하기를 기대한다"고 밝혔다.
오픈SSF외에도 오픈소스 보안의 근본적 개선에 협력하려는 단체는 더 있다. 그러나 이들은 우려의 시선을 보낸다.
오픈소스이니셔티브(OSI)의 미국 정책 책임자인 뎁 브라이언트는 "의회가 모든 소프트웨어의 문제를 해결하는 대신 오픈소스를 소프트웨어의 특별한 종류로 취급하도록 하는 프레임워크를 구축하고 있다"고 우려했다.
유명한 오픈소스 분야 변호사이자 OSS캐피털의 총괄파트너인 헤더 미커는 "오픈소스 소프트웨어를 포함한 소프트웨어 인프라의 보안 관리 개선을 위한 초당적 노력은 좋은 일"이라고 평가했다.
관련기사
- 로그4j에 놀란 미국…"오픈소스 보안 강화하자"2022.01.14
- 쓸 땐 좋았는데...'오픈소스 보안' 문제 환기한 로그4j2021.12.29
- "소스코드 감사해보니...오픈소스 80%가 취약한 버전2022.07.01
- 구글, 오픈소스 생태계 보안패치 지원한다2022.05.17
그러면서 "민간 시장은 오랫동안 소프트웨어와 클라우드 서비스 공급업체에 고객의 요구와 기대를 통해 이같은 개선을 촉구해왔다"며 "그러나 정부의 감독은 상업적 공급업체 계약 외부에서, 혹은 공급업체의 시장 지배력이 공급업체로 하여금 고객의 요구에 반발하는 상황에서 개선 노력을 가속하는데 도움을 줄 수 있다"고 밝혔다.
발의된 법안이 통과될 지는 아직 확실치 않다. 일단 국토안보위원회는 지난 29일 상원에 상정했다. 조 바이든 미국 대통령이 오픈소스 소프트웨어 보안 강화에 적극적이었으므로, 법안이 의회를 통과할 경우 대통령의 법안 서명은 기정사실로 보인다.