작년 말 로그4j 대란은 그 피해의 규모만큼이나 큰 변화의 계기가 됐다. 아직 한 해가 끝나지 않았음에도 2022년을 ‘오픈소스 보안의 해’라고 불러도 무리가 아닐 정도로 수많은 오픈소스 보안 이니셔티브, 프로젝트 및 지침이 잇따라 공개됐기 때문이다.
오늘날 오픈소스 구성요소는 거의 모든 소프트웨어에 쓰인다. 무수한 개발자가 애용하지만 그만큼 보안 위협 또한 비대해졌다. 따라서 여러 벤더, 조직, 정부 기관 모두 너나할 것 없이 오픈소스 보안을 굳건히 하고자 발 벗고 나섰다.
리눅스재단의 오픈소스 공급망 보안 책임자인 데이비드 휠러는 “2022년에는 그 어느때보다도 오픈소스 보안에 대한 관심이 커졌다. 각 분야의 조직이 자신의 역할을 모색하기 시작했다. 아직 갈 길이 멀지만 확실히 의미 있는 진전을 이뤄냈다”라고 말했다.
윌러는 이어 “오픈소스는 오늘날 거의 모든 소프트웨어의 근간이다”라며 “최근 조사에 따르면 현존하는 모든 애플리케이션 중 70~90%가 오픈소스 소프트웨어(OSS)구성요소를 포함한다. 높은 의존도 자체가 문제는 아니다. 그러나 OSS 보안이 취약하다면 얘기는 달라진다”라고 설명했다.
그는 또한 “기업이 어떤 식으로든 오픈소스 보안을 강화하려면 추가 자원과 계기가 필요하다”라며 “소프트웨어 개발자에게 보안이란 또 다른 요구사항이 되므로 대다수 기업은 도움에 목말라 있다”라고 말했다.
2022년에는 기업을 지원하기 위한 오픈소스 이니셔티브 및 프로젝트가 여럿 출범했다. 이 중 8가지 주요 이니셔티브에 대해 알아본다.
1. 백악관의 오픈소스 보안 서밋 (1월)
지난 1월 백악관은 정부와 민간 부문의 이해관계자를 소집해 오픈소스 소프트웨어의 보안을 개선하기 위한 이니셔티브와 개선을 추진하기 위한 새로운 협업 방식에 대해 논의했다. 회의 참석자로는 앤 뉴버거 사이버 및 신기술 국가안보 부보좌관과 크리스 잉글리스 국가사이버국장을 비롯해 아카마이, 아마존, 애플, 클라우드플레어, 페이스북/메타, 리눅스재단, 오픈소스보안재단(OpenSSF), 마이크로소프트 등 IT 기업 대표가 있었다.
백악관 보도자료에 따르면 “참가자들은 오픈소스 커뮤니티에 효과적으로 참여하고 지원하는 동시에 오픈소스 소프트웨어 보안의 차별화 방안에 대해 실질적이고 건설적인 토론을 했다. 토론은 코드 및 오픈소스 패키지의 보안 결함 및 취약점 방지, 결함 발견 및 수정 프로세스 개선, 수정사항 배포 및 구현 대응 시간 단축 등 3가지 주제에 중점을 두었다.”
또한 참가자는 앞으로 몇 주 동안 이러한 이니셔티브를 지원하기 위한 논의를 계속할 것이며, 모든 공공 및 민간 이해 관계자에게 개방되어 있다고 백악관은 전했다.
2. 오픈SSF·리눅스 재단의 OSS 보안 동원 계획 (5월)
5월에 오픈SSF(OpenSSF)와 리눅스 재단은 오픈소스 소프트웨어 보안 동원 계획( Open-Source Software Security Mobilization Plan)을 발표했다. OSS의 기본 구성 요소와 작동 방식에 걸쳐 단기·장기적 개선을 위한 10대 스트림 전략(10-stream strategy)을 선보였다.
3가지 핵심 보안 목표는 다음과 같다.
● 코드 및 오픈소스 패키지의 보안 결함 및 취약점 예방에 중점을 둠으로써 OSS 구축 과정부터 보안 확보함
● 결함 발견 및 수정 프로세스를 개선해 취약점 발견 및 교정 가능성 증대함
● 수정 사항의 배포 및 구현 시간을 줄여 OSS 생태계에 패치를 적용하는 데 소요되는 주기를 단축함
오픈SSF는 “정부 서비스, 인프라 제공업체, 비영리 단체 및 대다수의 민간 기업이 OSS에 의존하므로 오픈소스 보안은 곧 사회적 안보와 직결된 문제다”라고 전했다.
또한 오픈소스를 포함한 보안 베스트 프랙티스를 소프트웨어 생태계 전체에 적용할 때가 왔으며, 본격적인 투자를 감행해 대응하는데 급급했던 보안 시스템에서 벗어나 위협을 미리 탐지하고 대비할 수 있는 시스템을 구축하는 것이 목표라고 오픈SSF는 밝혔다.
3. J프록(JFrog)의 프로젝트 피르시아(Project Pyrsia) (5월)
지난 5월 J프록은 블록체인 기술 기반의 OSS 보안 프로젝트 피르시아(Project Pyrsia)를 발표했다. 업체에 따르면 이 프로젝트는 안전한 분산형 빌드 네트워크와 소프트웨어 패키지 저장소를 활용한다.
개발자가 소프트웨어 구성요소에 대한 출처망(chain of provenance)을 확립해 철저한 신뢰를 다질 수 있도록 돕는 것이 목표다. J프록은 “피르시아를 통해 개발자는 의존성 관리를 위해 복잡하기 짝이 없는 프로세스를 구축, 유지 또는 운영할 필요 없이 손상 여부를 쉽게 확인해 OSS를 자신 있게 사용할 수 있다”라고 말하며 이 프레임워크가 다음과 같은 것들을 제공하는 데 도움이 될 것이라고 밝혔다:
● 오픈소스 소프트웨어를 위한 독립형 빌드 네트워크
● 소프트웨어 패키지의 신뢰성
● 알려진 오픈소스 소프트웨어 종속의 완전성
J프록의 개발자 관계 담당 부사장 스티븐 친은 “J프록은 오픈소스 보안에 대해 평등한 접근 방식을 취한다. 기업용 보안 툴과 서비스를 커뮤니티에도 똑같이 제공해야만 성공적인 보안 체계를 갖출 수 있다고 생각한다”라며 “오픈소스 기반 커스텀 아키텍처와 활발한 커뮤니티를 무기 삼아 피르시아를 안전한 소프트웨어 패키지를 안심하고 찾을 수 있는 곳으로 성장시키고자 한다”라고 말했다.
4. 오픈UK(OpenUK): 오픈소스 보안의 달(Summer of Open-Source Security) 개최 (6월)
지난 6월에 오픈UK는 오픈소스 보안의 달이라는 이름으로 OSS 보안과 공급망 관리를 전담하는 이벤트, 인터뷰 및 팟캐스트를 시작했다. OSS를 기반으로 구축된 국가 인프라에 대한 전 세계 정부와 기업의 현황을 비롯해 유지보수, 보안 및 큐레이션을 고려할 필요성 등의 이야기가 오갔다.
오픈UK의 CEO 아만다 브록은 “오픈소스는 상업 소프트웨어와 크게 다르다. 상업성을 띠는 로열티 모델이나 상호 책임이 배제되는 점이 여러 이유 중 하나다. 오픈소스 코드는 무료지만 다른 가치를 제공한다. 책임의 절대적인 면제(waiver)라는 대가성이(quid pro quo)이 그 가치다”라고 언급했다.
5. 깃가디언(GitGuardian): OSS 위험 탐지용 카나리아 토큰(ggcanary) 프로젝트 (7월)
지난 7월 코드 보안 플랫폼 제공업체 깃가디언은 해킹에 노출된 개발자 및 데브옵스 환경을 기업이 파악하도록 돕고자 오픈소스 카나리아 토큰 프로젝트을 공개했다.
이 회사는 카나리아 토큰이 다음과 같은 기능으로 구축되었다고 말했다:
● 테라폼에 활용: 해시코프(HashiCorp)의 가장 인기 있는 코드형 인프라 소프트웨어 툴을 사용해 AWS 카나리아 토큰을 생성하고 관리함.
● AWS 클라우드트레일 감사 로그를 사용해 카나리아 토큰을 겨냥한 모든 유형의 공격 행위를 탐지함.
● 기업의 내부 보안 경계 , 소스 코드 저장소, CI/CD 툴, 티켓팅, 지라⠂슬랙이나 마이크로소프트 팀즈와 같은 메시징 시스템에 걸쳐 최대 5,000개의 활성 AWS 카나리아 토큰을 확장할 수 있음.
● 자체 경보 시스템: AWS 심플 이메일 서비스(SES), 슬랙 및 센드그리드와 통합됨. 또한 사용자는 SOC, SIEMs 또는 ITSMs에 알림을 전달하도록 확장할 수 있음.
6. 구글: OSS 취약점 버그 바운티 프로그램 (8월)
지난 8월 구글은 회사 OSS 프로젝트의 취약점을 찾기 위해 집단지성을 이용하기로 했다. OSS VRP라 불리는 이 보상 프로그램은 연구자들이 구글 포트폴리오의 OSS에서 가장 실제적이고 잠재적인 영향을 미치는 취약점을 보고하도록 장려한다고 말했다. 이 프로그램은 다음과 같은 사항에 중점을 둔다:
● 구글 소유 깃허브 조직의 공공 저장소에 저장된 모든 최신 버전의 오픈소스 소프트웨어(저장소 설정 포함)
● 이들 프로젝트의 타사 종속성(구글의 OSS VRP에 제출하기 전에 필요한, 영향을 받는 종속성에 대한 사전 알림 포함)
구글은 “가장 민감한 프로젝트에서 발견된 취약점에게 최고의 영예가 돌아갈 것이다. 바젤, 앵귤러, 고랭, 프로토콜 버퍼, 푸크시아 상 등이 있다”라고 말했다. 공급망에 가장 큰 영향을 미치는 발견에 초점을 맞추기 위해 다음과 같은 문제를 우선순위로 꼽을 예정이라 밝혔다.
● 공급망 손상을 초래하는 취약성
● 제품 취약성을 야기하는 설계 이슈
● 민감하거나 누출된 자격 증명, 취약한 암호 또는 안전하지 않은 설치와 같은 기타 보안 문제
구글은 취약점의 심각도와 프로젝트 중요도에 따라 100달러에서 31,337달러까지 보상금이 지급된다고 밝혔다.
7. 미 CISA·NSA의 공개 OSS 공급망 보안 지침 (8월)
지난 8월 미 CISA와 NSA는 오픈소스 소프트웨어에 상당한 중점을 둔 미국 소프트웨어 공급망 보안 지침을 공개했다.
지침에서 CISA와 NSA는 “소프트웨어를 개발하는 모든 주체는 새로운 버전, 업데이트 및 알려진 취약점 또는 새로운 취약점에 대해 오픈소스 라이브러리의 반복적인 검사를 수행해야 한다. 이러한 검사를 다운로드, 스캔 및 실행하는 전용 시스템을 사용하길 권고한다”라고 말했다.
또한 그들은 “모든 소프트웨어와 마찬가지로 오픈소스 소프트웨어, 클로즈드 소스 소프트웨어 및 진화하는 베스트 프랙티스 완화에 관한 고려 사항에 대해 개발자를 교육할 것을 강력히 권장한다”라고 전했다.
이외에도 경영진은 OSS 관련 기준을 수립, 관리 및 적용해야 하며, 출시되는 모든 소프트웨어가 전사적 보안 표준 준수 과정을 거치는 필수 과정을 도입해야 한다고 덧붙였다.
8. 오픈SSF: npm 베스트 프랙티스 안내서
9월에 오픈SSF는 자바스크립트와 타입스크립트 개발자들이 오픈소스 의존성 관련 보안 위험을 줄이도록 npm 베스트 프랙티스 안내서(Best Practices Guide)를 공개했다.
이 안내서는 오픈SSF 베스트 프랙티스 실무그룹(OpenSSF Best Practices Guide)의 산물로 npm에 대한 종속성 관리 및 공급망 보안에 중점을 둔다. 보안 CI 구성 설정 방법, 종속성 혼동 방지법, 하이재킹 된 종속성의 결과를 제한하는 방법 등 다양한 영역을 다룬다.
리눅스 재단의 휠러는 지난 9월 CSO와의 인터뷰에서 오픈소스 의존성의 가장 큰 보안 위험은 사실 직접·간접 의존성의 악영향이 모두 과소평가 된다는 점이라고 주장했다.
그는 “모든 소프트웨어에서 결함이 발생할 수 있으며, 주의를 기울이지 않을 경우 이를 사용하는 공급망에 상당한 영향을 미칠 수 있다. 종속성은 보통 눈에 잘 띄지 않으며 개발자나 조직이나 소프트웨어 스택의 모든 계층을 보지는 못한다. 해결책은 소프트웨어 재사용을 중단하는 것이 아니라 소프트웨어를 현명하게 재사용하고 취약성이 발견될 때 구성 요소를 업데이트할 수 있도록 대비하는 것이다”라고 당부했다. ciokr@idg.co.kr