2021.02.16

"파악하고, 예방하고, 수정하자" 구글, 오픈소스 취약점 해결 위한 프레임워크 제안

박예신 | CIO KR
구글이 최근 오픈소스에 내포된 보안 취약점 문제를 해결하기 위한 프레임워크를 제안했다. 오픈소스 보안 문제를 3가지 영역으로 나눠 접근해야 한다는 게 골자다. 

구글은 보안 블로그에서 “오픈소스 소프트웨어의 코드와 종속 항목들은 모두 공개돼 있기 때문에 보안성이 좋아야 하지만 현실적으로는 그렇지 못하다”라며 오픈소스의 보안 문제를 지적했다.
 
ⓒGoogle

오픈소스 기반 프로그램은 보통 직간적접으로 수천여 개의 패키지와 라이브러리에 종속돼 있다. 개수가 너무 많은 탓에 각 개체가 어떤 제품에 사용됐는지, 어떤 취약점이 연관돼 있는지 일일이 검증하기가 간단치 않다. 

또 수천여 개 패키지의 업데이트 여부는 고사하고 오픈소스 소프트웨어에 사용된 패키지를 검증할 수 있는 조직도 제대로 갖춰져 있지 않다는 게 구글의 설명이다. 

구글은 이 문제를 해결하기 위한 방안으로 <오픈소스 취약점에 관한 논의 전환을 위한 프레임워크: 파악하고, 예방하고, 수정하자>라는 제목의 포스팅을 블로그에 발표했다. 

구글은 블로그에서 ▲소프트웨어 속 취약점 알기 ▲새롭게 추가되는 취약점 예방하기 ▲취약점을 수정하거나 제거하기 등 3가지 영역으로 나눠 오픈소스의 취약점 문제 해결에 나서는 방안을 제안했다. 

취약점을 파악하기 위해서는 모든 데이터 소스의 메타데이터를 확보하고, 오픈소스의 취약점 추적을 위한 기준이 필요하다는 설명이다. 또 취약점을 예방하기 위해서는 소프트웨어 개발 과정에서 2FA 등 보안 프랙티스를 준수하고, 취약점을 수정 및 제거하기 위해서는 가용한 제거 옵션들을 이해하는 등의 과정이 필요하다고 구글은 덧붙였다.
 
이외에도 구글은 중요한 소프트웨어의 일방적인 코드 변경을 금지하고, 변경된 모든 코드는 코드 작성자 외에 별도의 리뷰어를 통해 검토하며, 소프트웨어 소유자와 관리자의 신원을 인증하는 하는 방안도 제시했다. 

다만 구글은 이 프레임워크가 하나의 제안일 뿐이라고 강조했다. 오픈소스의 핵심이 자율성에 있는 만큼 보안 문제는 합의와 협업을 통해 해결해 나가야 한다는 입장이다. 

구글은 “오픈소스 보안에 대한 공감대를 형성하고, 취약점 문제에 관한 논의를 함께 펼침으로써 지속 가능한 해법을 도출해야 한다”라며 “우리가 제시한 프레임워크는 이러한 논의를 진척시키기 위한 한 가지 방법”이라고 전했다. ciokr@idg.co.kr



2021.02.16

"파악하고, 예방하고, 수정하자" 구글, 오픈소스 취약점 해결 위한 프레임워크 제안

박예신 | CIO KR
구글이 최근 오픈소스에 내포된 보안 취약점 문제를 해결하기 위한 프레임워크를 제안했다. 오픈소스 보안 문제를 3가지 영역으로 나눠 접근해야 한다는 게 골자다. 

구글은 보안 블로그에서 “오픈소스 소프트웨어의 코드와 종속 항목들은 모두 공개돼 있기 때문에 보안성이 좋아야 하지만 현실적으로는 그렇지 못하다”라며 오픈소스의 보안 문제를 지적했다.
 
ⓒGoogle

오픈소스 기반 프로그램은 보통 직간적접으로 수천여 개의 패키지와 라이브러리에 종속돼 있다. 개수가 너무 많은 탓에 각 개체가 어떤 제품에 사용됐는지, 어떤 취약점이 연관돼 있는지 일일이 검증하기가 간단치 않다. 

또 수천여 개 패키지의 업데이트 여부는 고사하고 오픈소스 소프트웨어에 사용된 패키지를 검증할 수 있는 조직도 제대로 갖춰져 있지 않다는 게 구글의 설명이다. 

구글은 이 문제를 해결하기 위한 방안으로 <오픈소스 취약점에 관한 논의 전환을 위한 프레임워크: 파악하고, 예방하고, 수정하자>라는 제목의 포스팅을 블로그에 발표했다. 

구글은 블로그에서 ▲소프트웨어 속 취약점 알기 ▲새롭게 추가되는 취약점 예방하기 ▲취약점을 수정하거나 제거하기 등 3가지 영역으로 나눠 오픈소스의 취약점 문제 해결에 나서는 방안을 제안했다. 

취약점을 파악하기 위해서는 모든 데이터 소스의 메타데이터를 확보하고, 오픈소스의 취약점 추적을 위한 기준이 필요하다는 설명이다. 또 취약점을 예방하기 위해서는 소프트웨어 개발 과정에서 2FA 등 보안 프랙티스를 준수하고, 취약점을 수정 및 제거하기 위해서는 가용한 제거 옵션들을 이해하는 등의 과정이 필요하다고 구글은 덧붙였다.
 
이외에도 구글은 중요한 소프트웨어의 일방적인 코드 변경을 금지하고, 변경된 모든 코드는 코드 작성자 외에 별도의 리뷰어를 통해 검토하며, 소프트웨어 소유자와 관리자의 신원을 인증하는 하는 방안도 제시했다. 

다만 구글은 이 프레임워크가 하나의 제안일 뿐이라고 강조했다. 오픈소스의 핵심이 자율성에 있는 만큼 보안 문제는 합의와 협업을 통해 해결해 나가야 한다는 입장이다. 

구글은 “오픈소스 보안에 대한 공감대를 형성하고, 취약점 문제에 관한 논의를 함께 펼침으로써 지속 가능한 해법을 도출해야 한다”라며 “우리가 제시한 프레임워크는 이러한 논의를 진척시키기 위한 한 가지 방법”이라고 전했다. ciokr@idg.co.kr

X