2016.03.25

미 정부, 오픈소스 코드 정책 초안 공개··· 보안 결함 문제 제기

Maria Korolov | CSO
몇몇 미국 공공기관 관계자가 정부 오픈소스 코드의 보안 문제에 관해 우려를 표했다.


2009년 6월 9일 먹구름으로 덮인 워싱턴D.C의 백악관 하늘. 이미지 출처 : Chuck Kennedy/White House

이달 초 백악관이 공공기관 간의 소스코드 공유를 목적으로 정부 오픈소스 코드 정책의 초안을 발표했다. 하지만 일부 전문가들은 보안에 미치는 영향에 대한 우려를 표했다.

새로운 정책으로 개발된 새로운 소프트웨어나 정부 기관이 개발한 새로운 소프트웨어는 다른 정부 기관이 이용할 수 있도록 해야 한다. 또 연방 정부가 자금을 지원해 파일럿 프로그램으로 개발한 코드의 경우 일부를 오픈소스로 공개해야 한다.

연방정부 CIO인 토스 스캇은 "커스터마이징한 소프트웨어를 중복으로 구매하지 않으면 비용을 줄일 수 있고 연방정부 기관 전체의 혁신과 협업을 촉진할 수 있다”고 성명서에서 밝혔다. 스캇은 "코드를 검토하고 개선하기 위해 정부 내부에서 가장 명석한 의견을 듣고 참고할 수 있으며, 코드가 안전하고 신뢰할 수 있으며 효과적임을 확인하고자 협력할 것이다"고 덧붙였다.

하지만 일부 정부 관계자가 보안에 미치는 영향에 대해 우려를 표하고 있다.

SANS 인스티튜트(SANS Institute)의 새로운 트렌드 담당 이사인 존 페스카토레는 이 프로젝트의 깃허브(GitHub) 페이지에 적은 의견에서 "세상은 안전하지 않은 코드를 더는 필요로 하지 않는다"고 밝혔다. 그는 "적어도 소스코드를 전달하거나 도입하기 전에 애플리케이션 상태를 확인하기 위해 테스팅을 거쳐야 한다”고 말했다.

워싱턴DC에 있는, 정부기관의 오픈소스 소프트웨어 사용을 장려하는 오픈소스포아메리카(Open Source for America)의 설립자 겸 공동 의장인 존 스캇도 코드를 사용하기 전에 품질 평가해야 한다는 의견에 동의했다.

하지만 소스 코드를 일반에 공개하기 전까지는 공공기관이 코드 평가 툴을 사용하지 않아도 된다고 그는 지적했다. 이어서 그는 "발표 전에 코드를 테스팅하는 것은 병목 현상만을 일으킬 수 있으며 진행을 방해할지도 모른다"고 의견을 달았다.

의견을 단 많은 사람은 대국민 감시 자체가 보안 문제를 잡는 데 도움이 될 것이라는 밝혔다.

그러나 취약점은 일시적으로 발생하는 것을 포함해 오픈소스 프로젝트에서 정기적으로 발견되고 있다.

블랙덕 소프트웨어의 보안 전략 담당 부사장인 마이크 피텡거도 “오픈소스 코드가 흔해졌다”며 “오픈소스 코드에 취약점이 있다면 해커의 공격 대상이 여기저기 많아지게 될 것이다”고 말했다.

대중적인 툴에서 취약점을 발견한 공격자는 그것을 사용하는 누군가를 발견할 때까지 다양한 조직을 겨냥해 간단하게 시도해 볼 수 있다.

피텡거는 다른 문제로 오픈소스 코드 업데이트를 전담 조직이 없다는 점을 들었다.

그는 "오픈소스를 사용하면 당장 비용은 줄어들고 서비스를 지원받기 위해 비용을 지급할 필요가 없다. 하지만 오픈소스 커뮤니티를 모니터링하면서 취약점이 있는지를 확인하고 패치를 설치하는 것은 사용자의 몫이다. 사용자는 많은 오픈소스 프로젝트와 그 환경에서 쓰이는 컴포넌트를 직접 파악하고 신속하게 문제를 찾아야 한다"고 설명했다.

피텡거에 따르면, 블랙덕은 현재 150만 개 이상의 오픈소스 프로젝트를 모니터링하고 있다.

이어서 그는 "오픈소스 취약점을 발견하고 직접 문제 해결하는 일을 점점 더 많이 받아들이게 되고 더는 이를 두려워하지 않게 되면서 오히려 개발 속도가 빨라졌다"고 덧붙였다.

미국 정부의 오픈소스 코드에 관한 공개 토론은 4월 11일까지 계속된다. ciokr@idg.co.kr
 



2016.03.25

미 정부, 오픈소스 코드 정책 초안 공개··· 보안 결함 문제 제기

Maria Korolov | CSO
몇몇 미국 공공기관 관계자가 정부 오픈소스 코드의 보안 문제에 관해 우려를 표했다.


2009년 6월 9일 먹구름으로 덮인 워싱턴D.C의 백악관 하늘. 이미지 출처 : Chuck Kennedy/White House

이달 초 백악관이 공공기관 간의 소스코드 공유를 목적으로 정부 오픈소스 코드 정책의 초안을 발표했다. 하지만 일부 전문가들은 보안에 미치는 영향에 대한 우려를 표했다.

새로운 정책으로 개발된 새로운 소프트웨어나 정부 기관이 개발한 새로운 소프트웨어는 다른 정부 기관이 이용할 수 있도록 해야 한다. 또 연방 정부가 자금을 지원해 파일럿 프로그램으로 개발한 코드의 경우 일부를 오픈소스로 공개해야 한다.

연방정부 CIO인 토스 스캇은 "커스터마이징한 소프트웨어를 중복으로 구매하지 않으면 비용을 줄일 수 있고 연방정부 기관 전체의 혁신과 협업을 촉진할 수 있다”고 성명서에서 밝혔다. 스캇은 "코드를 검토하고 개선하기 위해 정부 내부에서 가장 명석한 의견을 듣고 참고할 수 있으며, 코드가 안전하고 신뢰할 수 있으며 효과적임을 확인하고자 협력할 것이다"고 덧붙였다.

하지만 일부 정부 관계자가 보안에 미치는 영향에 대해 우려를 표하고 있다.

SANS 인스티튜트(SANS Institute)의 새로운 트렌드 담당 이사인 존 페스카토레는 이 프로젝트의 깃허브(GitHub) 페이지에 적은 의견에서 "세상은 안전하지 않은 코드를 더는 필요로 하지 않는다"고 밝혔다. 그는 "적어도 소스코드를 전달하거나 도입하기 전에 애플리케이션 상태를 확인하기 위해 테스팅을 거쳐야 한다”고 말했다.

워싱턴DC에 있는, 정부기관의 오픈소스 소프트웨어 사용을 장려하는 오픈소스포아메리카(Open Source for America)의 설립자 겸 공동 의장인 존 스캇도 코드를 사용하기 전에 품질 평가해야 한다는 의견에 동의했다.

하지만 소스 코드를 일반에 공개하기 전까지는 공공기관이 코드 평가 툴을 사용하지 않아도 된다고 그는 지적했다. 이어서 그는 "발표 전에 코드를 테스팅하는 것은 병목 현상만을 일으킬 수 있으며 진행을 방해할지도 모른다"고 의견을 달았다.

의견을 단 많은 사람은 대국민 감시 자체가 보안 문제를 잡는 데 도움이 될 것이라는 밝혔다.

그러나 취약점은 일시적으로 발생하는 것을 포함해 오픈소스 프로젝트에서 정기적으로 발견되고 있다.

블랙덕 소프트웨어의 보안 전략 담당 부사장인 마이크 피텡거도 “오픈소스 코드가 흔해졌다”며 “오픈소스 코드에 취약점이 있다면 해커의 공격 대상이 여기저기 많아지게 될 것이다”고 말했다.

대중적인 툴에서 취약점을 발견한 공격자는 그것을 사용하는 누군가를 발견할 때까지 다양한 조직을 겨냥해 간단하게 시도해 볼 수 있다.

피텡거는 다른 문제로 오픈소스 코드 업데이트를 전담 조직이 없다는 점을 들었다.

그는 "오픈소스를 사용하면 당장 비용은 줄어들고 서비스를 지원받기 위해 비용을 지급할 필요가 없다. 하지만 오픈소스 커뮤니티를 모니터링하면서 취약점이 있는지를 확인하고 패치를 설치하는 것은 사용자의 몫이다. 사용자는 많은 오픈소스 프로젝트와 그 환경에서 쓰이는 컴포넌트를 직접 파악하고 신속하게 문제를 찾아야 한다"고 설명했다.

피텡거에 따르면, 블랙덕은 현재 150만 개 이상의 오픈소스 프로젝트를 모니터링하고 있다.

이어서 그는 "오픈소스 취약점을 발견하고 직접 문제 해결하는 일을 점점 더 많이 받아들이게 되고 더는 이를 두려워하지 않게 되면서 오히려 개발 속도가 빨라졌다"고 덧붙였다.

미국 정부의 오픈소스 코드에 관한 공개 토론은 4월 11일까지 계속된다. ciokr@idg.co.kr
 

X