구글 "주요 오픈소스 개발, 익명으로 못하게 하자"
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
구글 엔지니어들이 오픈소스 소프트웨어의 보안 수준을 높이기 위해, 개발 과정에서 지켜야할 새로운 규칙을 제안했다.
중요 오픈소스 프로젝트의 경우 익명으로 오너나 관리자가 될 수 없고, 프로젝트 오너라해도 코드 변경을 단독으로 결정할 수 없다는 등의 내용이 포함됐다.
구글 엔지니어들은 포스팅에서 "오픈소스 소프트웨어는 모든 코드와 종속성(디펜던시)이 공개돼 있고 검사 및 검증에 사용될 수 있으므로 더 보안을 강화해야 하지만, 현실적으로 어려움이 많다"는 점을 지적했다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
(지디넷코리아=임유경 기자)구글 엔지니어들이 오픈소스 소프트웨어의 보안 수준을 높이기 위해, 개발 과정에서 지켜야할 새로운 규칙을 제안했다. 중요 오픈소스 프로젝트의 경우 익명으로 오너나 관리자가 될 수 없고, 프로젝트 오너라해도 코드 변경을 단독으로 결정할 수 없다는 등의 내용이 포함됐다. IT 업계에서 구글이 가진 영향력을 감안하면, 이번 제안이 새로운 표준으로 자리잡을 가능성도 있어 주목할만 하다.
구글은 최근 시큐리티 블로그를 통해 '오픈소스 취약점 논의를 전환하기 위한 프레임워크: 알고, 예방하고, 고치자'(☞원문)라는 포스팅을 게시했다.
이번 포스팅은 오픈소스 소프트웨어의 보안 수준을 한 단계 높이기 위한 방안을 제시하고 있다. 포스팅 작성에는 구글이 개발해 오픈소스로 공개한 고 언어의 설계자 중 한명인 롭 파이크와 구글 인프라스트럭처 전무 겸 구글 펠로우 에릭 브루어 등 구글 소속 톱 엔지니어들이 참여했다.
구글 엔지니어들은 포스팅에서 "오픈소스 소프트웨어는 모든 코드와 종속성(디펜던시)이 공개돼 있고 검사 및 검증에 사용될 수 있으므로 더 보안을 강화해야 하지만, 현실적으로 어려움이 많다"는 점을 지적했다. 오픈소스 소프트웨어가 보통 수천 개의 패키지와 라이브러리에 직간접적으로 의존하고 있는데, 이 수 많은 개별 업체의 신뢰성을 다 확인하기가 쉽지 않다는 설명이다.
특히 공급망 공격을 포함해 악의적인 행동으로부터 주요 오픈소스 프로젝트를 보호하려면 보다 엄격한 개발 규칙이 필요하다고 봤다.
해커들이 보통 이미 알려진 취약점을 공격에 이용하기 때문에 사용하고 있는 오픈소스에 어떤 취약점이 있는지 알고, 예방하고, 수정하는 노력이 기본적으로 뒷받침 되어야 하지만, 이런 노력만으로 공급망 공격까지 대응하기 어렵다는 게 구글 엔지니어들의 생각이다.
공급망 공격은 해커가 소프트웨어 개발사 네트워크에 침투해 악의적인 소스코드를 추가하거나 파일을 변경하는 등의 공격을 말한다. 최근 미국 IT 모니터링 소프트웨어 솔라윈즈를 이용한 공급망 공격으로 미국 재무부, 보안업체 파이어아이, 소프트웨어 업체 마이크로소프트 등이 피해를 입자, 공급망 공격에 대한 우려가 커지고 있다.
이에 구글 엔지니어들은 다음과 같은 규칙을 중요 오픈소스 프로젝트에 적용하자고 제안했다.
1)코드에 대한 일방적인 변경은 안된다. 코드 변경은 두 독립적인 집단의 코드리뷰와 승인을 받아야 가능하다.
2)참여자를 인증해야 한다. 이는 익명으로 프로젝트 오너나 관리자가 될 수 없음을 의미한다. 기여자는 2단계 인증 등 강력한 인증을 사용해야 한다.
3)변경에 대한 알림이 필요하다.
4)소프트웨어 결과물에 대한 투명성을 활성화해야 한다.
5)빌드 프로세스를 신뢰할 수 있는 방법을 만들어야 한다.
정리하면 중요 오픈소스 프로젝트의 오너와 관리자는 식별 가능해야 하고, 프로젝트 오너나 관리자라고 해도 마음대로 코드를 변경할 수 없으며, 외부(서드파티) 검토를 받아야 한다는 게 핵심이다.
구글은 오픈소스 진영에서 이 같은 제안에 거부감을 가질 수 있다는 점을 인식하 듯 "우리가 제시한 규칙은 합의와 지속가능한 솔루션이 무엇보다 중요한 오픈소스 영역에서 하나의 주장일 뿐"이라고 설명했다.
그러면서도 "(오픈소스 커뮤니티가) 함께 '중요한' 소프트웨어 패키지 세트에 대한 정의를 내리고, (선별된) 중요한 소프트웨어 패키지 세트만이라도 더 높은 기준을 적용해야 한다"고 강조했다.
또 "이런 제안이 부담이 될 수 있기 때문에 약간 거부감이 들 수도 있지겠지만, 우리는 이런 제약이 안전을 위한 기본이 될 것이라 믿는다"고 덧붙였다.
임유경 기자(lyk@zdnet.co.kr)
Copyright © 지디넷코리아. 무단전재 및 재배포 금지.
- 데이터도 '오픈소스'처럼 활용될 수 있을까
- "구글은 진정한 오픈소스 크로미엄을 내놔야 한다"
- "오픈소스 생태계 망치지마"...AWS·엘라스틱 '네 탓 공방'
- "우리나라 오픈소스 기여도 경제 규모에 맞게 더 올려야"
- K-배터리, 트럼프 'IRA 세액공제 폐지'에 촉각
- 트럼프 2기 대비 나선 현대차그룹, 무뇨스·성김 美 전문가 전면에
- 삼성전자, 자사주 10조 매입...3개월 내 3조원 소각
- 주52시간 예외·직접 보조금...韓·日, 반도체법 재추진
- SK 계열사 또 줄었다...리밸런싱 탄력
- 화웨이, e키트 한글화 버전 출시...국내 시장 공략