지난달 오픈소스를 활용해서 공격하는 랜섬웨어 '보텍스(Vortex)'와 '버그웨어(BUGWARE)'가 발견됐다. 피해자 파일을 암호화하기 위해 오픈소스 레파지토리를 활용했다. 지난해 11월에는 한국인으로 의심되는 제작자가 해외 교육용으로 공개된 오픈소스 랜섬웨어를 이용, 또 다른 랜섬웨어를 만들었다. 오픈소스 개방성이 새로운 형태의 위협으로 떠올랐다. 보안업계는 오픈소스 환경 보안과 관련해 다음과 같은 측면에 주목해야 한다.
첫째 기업 오픈소스 협력 프로젝트로 기존의 보안 환경을 혁신할 수 있다. 오픈소스는 기존에 어렵던 신속한 제품 개발과 혁신을 가능케 했다. 문제도 함께 발생했다. 몇 가지 주목 받는 소프트웨어(SW)에는 엄청난 관심이 몰렸다. SW 버그에 의한 피해가 심각한 수준으로 커졌다. 많은 대기업이 오픈소스 SW를 이용한다. 그러나 지금까지 발견된 취약점에 보안업계가 대비하지 못했다.
주목할 선례가 있다. 리눅스 재단은 주요 오픈소스 프로젝트의 협력과 보안 강화를 위해 지난해 6월 비영리단체 CII를 설립했다. '오픈 SSL'의 심각한 보안 결함인 하트블리드(HeartBleed)의 취약점 발견이 계기다. CII에는 세계 일류 기술 기업이 참여, 오픈소스 보안 환경을 개선한다.
둘째 기업의 사회 공헌 활동 영역으로 오픈소스를 활용, 실제 사용자에게 혜택을 돌려준다. 기업은 오픈소스를 SW 개발에 활용하면서 혜택을 받는다. 한 SW 기업에 따르면 애플리케이션(앱) 가운데 96%가 오픈소스를 사용한다. 페이스북도 초기 개발자가 오픈소스 기술이던 리눅스, 아파치 서버, 마이 SQL 등을 활용해 만들었다. 제임스 피어스 페이스북 개발총괄 임원은 기업이 이런 오픈소스 기술에서 얻은 혜택을 다시 사회에 돌려주는 도덕 의무가 있다고 언급했다.
CII는 프로젝트 범위 안에서 사이버 보안 이슈를 스스로 확인하고 해결한다. 단지 버그를 고치고 코드를 관리하는 것뿐만 아니라 SW 커뮤니티가 최선의 방법으로 개발하게끔 돕는 '배지' 프로그램을 운영한다. 프로젝트에 참가하는 기업은 실제 사용자에게 큰 영향력을 미친다. 사용자는 일류 기업 전문가의 개발 교육을 지원받는다.
셋째 보안 업계는 오픈소스를 활용해 클라우드·사물인터넷(IoT) 환경으로 대표되는 4차 산업혁명 시대의 보안에 대비할 수 있다. 오픈소스 SW가 적용되면서 클라우드 서비스와 앱, IoT 기기 수가 빠르게 증가한다. 오픈소스 전문가 확보는 미래 보안 환경에 대비한 보안 업계의 필수 사항이다. 기업은 오픈소스 프로젝트에 투자하면서 핵심 인프라 유지보수를 지원하는, 세계 최고의 SW 사이버 보안 전문가를 얻는다.
오픈소스 SW는 이미 산업 분야 전반에 활용된다. 그럼에도 기업 대비는 미흡하다. 한 SW 관리 업체 보고서에 따르면 상용 SW와 IoT에 사용되는 모든 코드의 절반 정도가 오픈소스다. 사용 기업 가운데 오픈소스 관련 정책을 준비한 조직은 37%에 불과하다. IoT 등 신기술이 제조업 위주의 산업 현장에 적용되면서 이전에 예상하지 못한 재해 위험도 커진다. 오픈소스 규정 준수 등 분야의 전문가 육성 및 확보가 과제로 떠오른다.
보안업계는 오픈소스 환경을 적극 활용하기 위해 협력해야 한다. 아무리 뛰어난 전문가가 지원하는 기업이라 해도 실시간 발생하는 보안 문제를 완벽하게 대비한다고 자신할 수 없다. 방대한 영역에서 사용하는 오픈소스 SW 보안을 위해 알려진 취약점을 없애고, 보안업계와 사용자가 공동 목표로 협력해야 한다.
김기태 탈레스 e시큐리티 영업이사 KeeTae.kim@thales-esecurity.com