"소프트웨어 개발 현장에서 운용되는 전체 코드 가운데 오픈소스가 차지하는 비중은 78%에 달합니다. 21%만 개발자가 직접 코딩하고 나머지를 오픈소스에서 확보하는 것이죠." 시높시스 코리아 제병주 부장의 설명이다.
개발 현장에서 오픈소스 사용은 매년 급증하는 추세다. 이유는 다양하다. 일회성 구동을 목적으로 하거나 혹은 개발 편의를 높이기 위하거나 혹은 필요했던 기능이 오픈소스로 구현이 가능했다는 점 등 저마다 사용에 따른 명분은 확실하다. 문제는 이렇게 사용한 오픈소스 관리에는 대체로 소홀했기에 화근이 된다.
특히 한국은 언제 터질지 모르는 폭탄을 연상케 한다. 임베디드와 반도체, 자동차와 연관한 분야라는 산업 특수성 탓에 여타 국가 대비 자체 개발 비중이 높긴 하다. 그런데도 오픈소스를 사용하기에 사태의 심각성은 글로벌 기준 대비 절대 낮지 않다는 것.
시높시스(Synopsys, Inc.)가 지난 18년부터 발행한 '오픈소스 보안과 리스크 분석(OSSRA)’ 연례 보고서에는 블랙덕 오딧 서비스(Black Duck Audit Services)를 통해 실시한 전 세계 17개 산업 분야의 2,400여 개의 커머셜 코드 베이스에 대한 분석이 담겨 있다.
특히 관리되지 않는 오픈소스의 위험성, 보안 취약점, 오래된 구성요소, 라이선스 컴플라이언스 이슈에 대한 내용이 주가 된다는 점에서 미국 등지의 글로벌 시장에서는 기관에 납품하는 오픈 소스 코드의 취약점 점검이 의무화되는 추세다.
보고서에 담긴 주요 내용은 다음과 같다.
1. 운영 리스크/유지보수 측면에서 2,097개의 코드베이스 중 85%가 4년 이상 지난 오픈소스를 포함하고 있다. 88%는 사용할 수 있는 최신 버전이 아닌 구성 요소이며 이 중 5%는 취약한 버전의 Log4j가 포함되어 있다.
2. 감사를 실시한 코드베이스 중 49%가 지난해 60%에 비해 최소 1개 이상의 고위험 취약점을 포함하고 있었고, 평가 대상 코드베이스의 81%가 적어도 하나의 알려진 오픈 소스 취약성을 포함하고 있는 것으로 조사됐다. 이는 2021년 OSSRA의 조사 결과 대비 3% 감소한 수치이다.
3. 코드베이스의 절반 이상(53%)이 라이선스 충돌을 포함하였으나, 이는 2020년의 65%에 비해 상당히 감소한 수치이다. 일반적으로 2020년과 2021년 사이에 특정 라이선스 충돌이 전반적으로 감소했다.
4. 20%는 라이선스가 없거나 사용자 정의된 라이선스가 있는 오픈소스다. 라이선스가 없는 소프트웨어는 오픈소스 컴포넌트의 사용이 법적 위험을 수반하는지 여부에 대한 딜레마를 일으킨다. 또한 커스터마이징된 오픈소스 라이선스는 기술 구매자에게 바람직하지 않은 요건을 부과할 수 있으며, 종종 IP 이슈 혹은 기타 영향에 대한 법적 평가가 필요할 수 있다.
제병주 부장은 오픈소스에 대해 개발의 필수 요소라고 언급했다. 그러한 이유로 97% 개발 현장에서 오픈소스를 도입하는 추세이며, 전체 코드 가운데 3/4이 오픈소스로 이뤄졌음을 지적했다. 따라서 관리가 반드시 뒷받침되어야 한다는 논리다.
예컨대 현 운용 중인 오픈소스에 어떤 취약점이 있는지, 라이선스 충돌은 없는지, 버전 패치 작업은 꾸준히 해왔는지 등의 관리 측면에서의 접근을 제안했다. 하지만 소규모 비상업적인 목적이 아닌 환경이라면 사람이 관리하는 것은 애초에 불가능하다고. 잘 만들어진 소프트웨어 구동 분석 도구를 통하는 것이 효율적이라도 행사 말미에 덧붙였다.
시높시스 기술 영업 제병주 부장과 1문 1답
Q. 한동안 관리 사각지대에 놓였던 오픈 소스의 관리 방법은?
A. 소프트웨어가 어떻게 구성되어 있는지를 파악하는 것이 첫 단추다. SBOM으로 라벨을 만드는 것인데, 이를 통해 단계별로 어떤 버전이 사용되는지 분석하고, 이를 통해 보안취약점을 파악해 대책을 수립할 수 있다. 하지만 사람이 하기에는 어려워서 보통은 SCA 도구를 활용한다.
참고로 SBOM은 BOM 이라고 업계에서 보통 언급한다. 어떤 오픈소스가 사용되었는지 라벨 형태로 관리하기 쉽게 만든 툴이다. 미국 정부에 납품하는 소프트웨어는 SBOM으로 라벨을 만드는 것을 강제할 정도로 전체 레이아웃을 파악하는 데 중요하다.
Q. 오픈소스 간 라이선스 충돌이 많이 발생하는 분야 중의 하나가 반도체 분야라던데
A. 비단 반도체뿐만 아니라 다양한 분야에서 충돌이 발생한다. 임베디드/반도체 분야 사용은 최근 급격히 증가하는 분야다. 라이선스 충돌, 보안취약점 문제가 대표적이다. 대처 방안은 오픈소스 관리 정책을 세워 계속 모니터링하고 관리해야 한다.
Q. 한국 시장에 특화된 사항이 있는가?
A. 오스라 리포트는 전 세계를 대상으로 발행한다. 따라서 한국 시장만 별도로 분류하지 않는다. 하지만 반도체 분야와 임베디드 분야가 한국에서 강점에 해당하기에 관련한 내용을 파악하는 데 도움이 될 것이라 본다. 반도체 분야에서는 오픈소스 라이선스 충돌이 많이 발생한다.
Q. IoT 모바일 분야에서 오픈소스 취약점이 급격히 늘어났다. 왜인가?
A. IoT나 모바일 분야는 사용량이 많기에 취약점도 급증한 결과다. 관리 측면에서 효과가 부족한 것인데, 특히 보안 취약점으로 인해 발생한 문제보다는 라이선스 충돌로 인해 발생하는 문제를 크게 보는 인식 때문에 취약점 대처가 안일하다. 세계적으로는 보안취약점으로 인해 해커에게 노출되어 발생하는 문제를 심각하게 본다. 이와 달리 국내는 취약점에 대한 인식은 전 세계적인 트랜드 대비 낮게 취급하는 경향이 짙다.
By 김현동·김신강 에디터 PRESS@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉
