“소수 개발자에 의존하는 오픈소스, 공급망 공격 주요 타깃”
리눅스 재단, ‘자유 및 오픈 소스 소프트웨어조사’ 연구 보고서 발표
오픈소스 보안 위한 협력 및 조정 필요성 강조
FOSS(Free and Open Source Software)는 자유 및 오픈소스 소프트웨어로, 소프트웨어의 소스 코드가 공개되어 누구나 무료로 사용, 수정, 배포할 수 있다. 현대 디지털 경제의 핵심적인 역할로, 기술 혁신과 비용 절감, 사용자의 필요에 따른 기능의 추가 및 수정 확장성을 제공해 기업과 개인 모두에게 이점을 제공한다.
FOSS의 광범위한 활용에도 불구하고, 프로젝트 및 취약점의 체계적인 파악을 위한 데이터가 부족하다는 단점이 있다. 또한 소프트웨어 공급망 공격의 증가로 신뢰성과 보안 강화가 요구가 증가하고 있다. 특히, 소수의 개발자에 의해 유지되는 프로젝트의 지속 가능성을 보장하고, 이를 지원하기 위한 자원의 효율적인 배분이 필요해졌다.
따라서 FOSS 생태계의 보안 강화와 신뢰성 보장을 위한 정부, 기업, 개발자 커뮤니티 간 협력 및 정책 및 투자 방향 설정이 중요해졌다.
대규모 오픈소스 혁신 지원 비영리 단체 리눅스 재단(Linux Foundation)이 하버드 혁신과학연구소와 협력해 오픈소스 소프트웨어의 광범위한 사용 실태를 조사한 ‘자유 및 오픈 소스 소프트웨어조사 - 애플리케이션 라이브러리(Census III of Free and Open Source Software-Application Libraries, 이하 Census III)’ 연구 보고서를 발표했다.
보고서는 1만개 이상 기업이 프로덕션 애플리케이션에서 사용하는 1200만 개 이상의 FOSS(자유 및 오픈소스 소프트웨어) 라이브러리 관찰을 기반으로 작성됐다. 연구는 하버드 대학교와 주요 소프트웨어 구성 분석(SCA) 기관 블랙덕(Black Duck), 포사(FOSSA), 싱크(Snyk), 소나타입(Sonatype) 등과 협력해 진행됐다.
보고서는 향상된 데이터 세트 기반으로 이해관계자들의 자원 우선순위 설정 및 FOSS 생태계 내 주요 보안 과제 해결을 위한 실행 가능한 인사이트를 제공한다. FOSS가 대표하는 중요한 인프라의 유지 및 안전성 확보를 위한 업계 전반에서 협력과 조정의 필요성을 강조했다.
보고서는 다음과 같은 주요 동향과 인사이트를 강조한다.
· 클라우드 서비스에 특화된 패키지 사용 증가
· 파이썬 2에서 파이썬 3로 지속적인 전환
· 프로젝트 관리 및 빌드 자동화 도구 Maven 패키지의 지속적인 확대 및 NuGet과 파이썬 패키지 사용 증가
· Rust 패키지 저장소의 구성요소 사용 증가
· 소프트웨어 구성요소를 위한 표준화된 명명 체계 필요
· 가장 널리 사용되는 FOSS의 상당 부분이 소수의 기여자에 의해 개발
· 개별 개발자 계정 보안 중요성 증가
· 오픈소스 환경에서 레거시 소프트웨어의 지속적인 존재
보고서는 기업이 FOSS의 건강 상태를 다른 공급망 위험만큼 중요한 비즈니스 리스크로 인식해야 한다고 말했다. 핵심 구성요소가 소수의 기여자에 의해 개발되거나 익명의 깃허브(GitHub) 사용자 계정으로부터 공급된다면, 해당 개인의 사이버보안 및 소프트웨어 위생 결정이 예기치 못한 비즈니스 위험을 초래할 수 있다고 설명했다.
리눅스 재단 연구 부문 고위 부사장(SVP) 힐러리 카터(Hilary Carter)는 “오픈소스 소프트웨어의 보안 상태 이해는 지속 가능성을 보장한다.”라며 “특히 사이버 레질리언스 법(Cyber Resilience Act)과 같은 규제 준수가 필요한 만큼 이러한 통찰은 오픈소스 생태계를 안전하고 회복력 있게 관리하기 위한 자원을 우선적으로 배분하는 데 중요하다.”라고 말했다.
OpenSSF 오픈소스 공급망 보안 디렉터 데이비드 에이.휠러(David A. Wheeler)는 “FOSS는 사회 핵심 인프라인 동시에 취약점 악용의 공격 목표가 됐다. 이 연구는 FOSS의 재발 및 악의적인 취약점 보완을 위한 투자 우선순위를 설정하는 통찰을 제공한다.”라며 “이는 소프트웨어 공급망을 보호하고 신뢰할 수 있는 고품질 결과를 보장한다.”라고 말했다.
