작년 말 로그4j 대란은 그 피해의 규모만큼이나 큰 변화의 계기가 됐다. 아직 한 해가 끝나지 않았음에도 2022년을 ‘오픈소스 보안의 해’라고 불러도 무리가 아닐 정도로 수많은 오픈소스 보안 이니셔티브, 프로젝트 및 지침이 잇따라 공개됐기 때문이다.
오늘날 오픈소스 구성요소는 거의 모든 소프트웨어에 쓰인다. 무수한 개발자가 애용하지만 그만큼 보안 위협 또한 비대해졌다. 따라서 여러 벤더, 조직, 정부 기관 모두 너나할 것 없이 오픈소스 보안을 굳건히 하고자 발 벗고 나섰다.
리눅스재단의 오픈소스 공급망 보안 책임자인 데이비드 휠러는 “2022년에는 그 어느때보다도 오픈소스 보안에 대한 관심이 커졌다. 각 분야의 조직이 자신의 역할을 모색하기 시작했다. 아직 갈 길이 멀지만 확실히 의미 있는 진전을 이뤄냈다”라고 말했다.
윌러는 이어 “오픈소스는 오늘날 거의 모든 소프트웨어의 근간이다”라며 “최근 조사에 따르면 현존하는 모든 애플리케이션 중 70~90%가 오픈소스 소프트웨어(OSS)구성요소를 포함한다. 높은 의존도 자체가 문제는 아니다. 그러나 OSS 보안이 취약하다면 얘기는 달라진다”라고 설명했다.
그는 또한 “기업이 어떤 식으로든 오픈소스 보안을 강화하려면 추가 자원과 계기가 필요하다”라며 “소프트웨어 개발자에게 보안이란 또 다른 요구사항이 되므로 대다수 기업은 도움에 목말라 있다”라고 말했다.
2022년에는 기업을 지원하기 위한 오픈소스 이니셔티브 및 프로젝트가 여럿 출범했다. 이 중 8가지 주요 이니셔티브에 대해 알아본다.
1. 백악관의 오픈소스 보안 서밋 (1월)
지난 1월 백악관은 정부와 민간 부문의 이해관계자를 소집해 오픈소스 소프트웨어의 보안을 개선하기 위한 이니셔티브와 개선을 추진하기 위한 새로운 협업 방식에 대해 논의했다. 회의 참석자로는 앤 뉴버거 사이버 및 신기술 국가안보 부보좌관과 크리스 잉글리스 국가사이버국장을 비롯해 아카마이, 아마존, 애플, 클라우드플레어, 페이스북/메타, 리눅스재단, 오픈소스보안재단(OpenSSF), 마이크로소프트 등 IT 기업 대표가 있었다.
백악관 보도자료에 따르면 “참가자들은 오픈소스 커뮤니티에 효과적으로 참여하고 지원하는 동시에 오픈소스 소프트웨어 보안의 차별화 방안에 대해 실질적이고 건설적인 토론을 했다. 토론은 코드 및 오픈소스 패키지의 보안 결함 및 취약점 방지, 결함 발견 및 수정 프로세스 개선, 수정사항 배포 및 구현 대응 시간 단축 등 3가지 주제에 중점을 두었다.”
또한 참가자는 앞으로 몇 주 동안 이러한 이니셔티브를 지원하기 위한 논의를 계속할 것이며, 모든 공공 및 민간 이해 관계자에게 개방되어 있다고 백악관은 전했다.
2. 오픈SSF·리눅스 재단의 OSS 보안 동원 계획 (5월)
5월에 오픈SSF(OpenSSF)와 리눅스 재단은 오픈소스 소프트웨어 보안 동원 계획( Open-Source Software Security Mobilization Plan)을 발표했다. OSS의 기본 구성 요소와 작동 방식에 걸쳐 단기·장기적 개선을 위한 10대 스트림 전략(10-stream strategy)을 선보였다.
3가지 핵심 보안 목표는 다음과 같다.
● 코드 및 오픈소스 패키지의 보안 결함 및 취약점 예방에 중점을 둠으로써 OSS 구축 과정부터 보안 확보함
● 결함 발견 및 수정 프로세스를 개선해 취약점 발견 및 교정 가능성 증대함
● 수정 사항의 배포 및 구현 시간을 줄여 OSS 생태계에 패치를 적용하는 데 소요되는 주기를 단축함
오픈SSF는 “정부 서비스, 인프라 제공업체, 비영리 단체 및 대다수의 민간 기업이 OSS에 의존하므로 오픈소스 보안은 곧 사회적 안보와 직결된 문제다”라고 전했다.
또한 오픈소스를 포함한 보안 베스트 프랙티스를 소프트웨어 생태계 전체에 적용할 때가 왔으며, 본격적인 투자를 감행해 대응하는데 급급했던 보안 시스템에서 벗어나 위협을 미리 탐지하고 대비할 수 있는 시스템을 구축하는 것이 목표라고 오픈SSF는 밝혔다.
3. J프록(JFrog)의 프로젝트 피르시아(Project Pyrsia) (5월)
지난 5월 J프록은 블록체인 기술 기반의 OSS 보안 프로젝트 피르시아(Project Pyrsia)를 발표했다. 업체에 따르면 이 프로젝트는 안전한 분산형 빌드 네트워크와 소프트웨어 패키지 저장소를 활용한다.
개발자가 소프트웨어 구성요소에 대한 출처망(chain of provenance)을 확립해 철저한 신뢰를 다질 수 있도록 돕는 것이 목표다. J프록은 “피르시아를 통해 개발자는 의존성 관리를 위해 복잡하기 짝이 없는 프로세스를 구축, 유지 또는 운영할 필요 없이 손상 여부를 쉽게 확인해 OSS를 자신 있게 사용할 수 있다”라고 말하며 이 프레임워크가 다음과 같은 것들을 제공하는 데 도움이 될 것이라고 밝혔다:
● 오픈소스 소프트웨어를 위한 독립형 빌드 네트워크
● 소프트웨어 패키지의 신뢰성
● 알려진 오픈소스 소프트웨어 종속의 완전성
J프록의 개발자 관계 담당 부사장 스티븐 친은 “J프록은 오픈소스 보안에 대해 평등한 접근 방식을 취한다. 기업용 보안 툴과 서비스를 커뮤니티에도 똑같이 제공해야만 성공적인 보안 체계를 갖출 수 있다고 생각한다”라며 “오픈소스 기반 커스텀 아키텍처와 활발한 커뮤니티를 무기 삼아 피르시아를 안전한 소프트웨어 패키지를 안심하고 찾을 수 있는 곳으로 성장시키고자 한다”라고 말했다.
4. 오픈UK(OpenUK): 오픈소스 보안의 달(Summer of Open-Source Security) 개최 (6월)
지난 6월에 오픈UK는 오픈소스 보안의 달이라는 이름으로 OSS 보안과 공급망 관리를 전담하는 이벤트, 인터뷰 및 팟캐스트를 시작했다. OSS를 기반으로 구축된 국가 인프라에 대한 전 세계 정부와 기업의 현황을 비롯해 유지보수, 보안 및 큐레이션을 고려할 필요성 등의 이야기가 오갔다.
오픈UK의 CEO 아만다 브록은 “오픈소스는 상업 소프트웨어와 크게 다르다. 상업성을 띠는 로열티 모델이나 상호 책임이 배제되는 점이 여러 이유 중 하나다. 오픈소스 코드는 무료지만 다른 가치를 제공한다. 책임의 절대적인 면제(waiver)라는 대가성이(quid pro quo)이 그 가치다”라고 언급했다.
5. 깃가디언(GitGuardian): OSS 위험 탐지용 카나리아 토큰(ggcanary) 프로젝트 (7월)
지난 7월 코드 보안 플랫폼 제공업체 깃가디언은 해킹에 노출된 개발자 및 데브옵스 환경을 기업이 파악하도록 돕고자 오픈소스 카나리아 토큰 프로젝트을 공개했다.
이 회사는 카나리아 토큰이 다음과 같은 기능으로 구축되었다고 말했다:
● 테라폼에 활용: 해시코프(HashiCorp)의 가장 인기 있는 코드형 인프라 소프트웨어 툴을 사용해 AWS 카나리아 토큰을 생성하고 관리함.
● AWS 클라우드트레일 감사 로그를 사용해 카나리아 토큰을 겨냥한 모든 유형의 공격 행위를 탐지함.
● 기업의 내부 보안 경계 , 소스 코드 저장소, CI/CD 툴, 티켓팅, 지라⠂슬랙이나 마이크로소프트 팀즈와 같은 메시징 시스템에 걸쳐 최대 5,000개의 활성 AWS 카나리아 토큰을 확장할 수 있음.
● 자체 경보 시스템: AWS 심플 이메일 서비스(SES), 슬랙 및 센드그리드와 통합됨. 또한 사용자는 SOC, SIEMs 또는 ITSMs에 알림을 전달하도록 확장할 수 있음.
6. 구글: OSS 취약점 버그 바운티 프로그램 (8월)
지난 8월 구글은 회사 OSS 프로젝트의 취약점을 찾기 위해 집단지성을 이용하기로 했다. OSS VRP라 불리는 이 보상 프로그램은 연구자들이 구글 포트폴리오의 OSS에서 가장 실제적이고 잠재적인 영향을 미치는 취약점을 보고하도록 장려한다고 말했다. 이 프로그램은 다음과 같은 사항에 중점을 둔다:
● 구글 소유 깃허브 조직의 공공 저장소에 저장된 모든 최신 버전의 오픈소스 소프트웨어(저장소 설정 포함)
● 이들 프로젝트의 타사 종속성(구글의 OSS VRP에 제출하기 전에 필요한, 영향을 받는 종속성에 대한 사전 알림 포함)
구글은 “가장 민감한 프로젝트에서 발견된 취약점에게 최고의 영예가 돌아갈 것이다. 바젤, 앵귤러, 고랭, 프로토콜 버퍼, 푸크시아 상 등이 있다”라고 말했다. 공급망에 가장 큰 영향을 미치는 발견에 초점을 맞추기 위해 다음과 같은 문제를 우선순위로 꼽을 예정이라 밝혔다.
● 공급망 손상을 초래하는 취약성
● 제품 취약성을 야기하는 설계 이슈
● 민감하거나 누출된 자격 증명, 취약한 암호 또는 안전하지 않은 설치와 같은 기타 보안 문제
구글은 취약점의 심각도와 프로젝트 중요도에 따라 100달러에서 31,337달러까지 보상금이 지급된다고 밝혔다.
7. 미 CISA·NSA의 공개 OSS 공급망 보안 지침 (8월)
지난 8월 미 CISA와 NSA는 오픈소스 소프트웨어에 상당한 중점을 둔 미국 소프트웨어 공급망 보안 지침을 공개했다.
지침에서 CISA와 NSA는 “소프트웨어를 개발하는 모든 주체는 새로운 버전, 업데이트 및 알려진 취약점 또는 새로운 취약점에 대해 오픈소스 라이브러리의 반복적인 검사를 수행해야 한다. 이러한 검사를 다운로드, 스캔 및 실행하는 전용 시스템을 사용하길 권고한다”라고 말했다.
또한 그들은 “모든 소프트웨어와 마찬가지로 오픈소스 소프트웨어, 클로즈드 소스 소프트웨어 및 진화하는 베스트 프랙티스 완화에 관한 고려 사항에 대해 개발자를 교육할 것을 강력히 권장한다”라고 전했다.
이외에도 경영진은 OSS 관련 기준을 수립, 관리 및 적용해야 하며, 출시되는 모든 소프트웨어가 전사적 보안 표준 준수 과정을 거치는 필수 과정을 도입해야 한다고 덧붙였다.
8. 오픈SSF: npm 베스트 프랙티스 안내서
9월에 오픈SSF는 자바스크립트와 타입스크립트 개발자들이 오픈소스 의존성 관련 보안 위험을 줄이도록 npm 베스트 프랙티스 안내서(Best Practices Guide)를 공개했다.
이 안내서는 오픈SSF 베스트 프랙티스 실무그룹(OpenSSF Best Practices Guide)의 산물로 npm에 대한 종속성 관리 및 공급망 보안에 중점을 둔다. 보안 CI 구성 설정 방법, 종속성 혼동 방지법, 하이재킹 된 종속성의 결과를 제한하는 방법 등 다양한 영역을 다룬다.
리눅스 재단의 휠러는 지난 9월 CSO와의 인터뷰에서 오픈소스 의존성의 가장 큰 보안 위험은 사실 직접·간접 의존성의 악영향이 모두 과소평가 된다는 점이라고 주장했다.
그는 “모든 소프트웨어에서 결함이 발생할 수 있으며, 주의를 기울이지 않을 경우 이를 사용하는 공급망에 상당한 영향을 미칠 수 있다. 종속성은 보통 눈에 잘 띄지 않으며 개발자나 조직이나 소프트웨어 스택의 모든 계층을 보지는 못한다. 해결책은 소프트웨어 재사용을 중단하는 것이 아니라 소프트웨어를 현명하게 재사용하고 취약성이 발견될 때 구성 요소를 업데이트할 수 있도록 대비하는 것이다”라고 당부했다. ciokr@idg.co.kr
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다.
동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다.
무료 VPN, 정말 괜찮을까?
무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다.
보안 우려
대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다.
속도와 대역폭 제한
무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다.
서비스 제한
무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다.
광고 및 추적
일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다.
제한된 기능
무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다.
유료 VPN의 필요성
최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다.
그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다.
보안 강화
해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다.
개인 정보 보호
인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다.
지역 제한 해제
해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다.
빠르고 안전한 유료 VPN, 서프샤크 VPN
뛰어난 보안
서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다.
다양한 서버 위치
서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다.
속도와 대역폭
서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다.
다양한 플랫폼 지원
서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다.
디바이스 무제한 연결
서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.