현대의 소프트웨어, 이미 우리가 알고 있던 그 소프트웨어가 아니다

2023-02-21 18:26
  • 카카오톡
  • 네이버 블로그
  • url
오픈소스는 현대 소프트웨어 산업을 통째로 바꿨다. 그렇기에 그에 맞는 새 보안, 새 관리 방법이 필요하다. 그리고 그 새 접근법의 핵심은 ‘오픈소스’일 수밖에 없다.

[보안뉴스 문정후 기자] IT와 보안 업계의 컨퍼런스 시즌이 시작되고 있다. 매년 컨퍼런스가 다가올 때마다 느끼지만 이 업계가 이렇게나 지식 공유에 열심이었나 싶어 놀라곤 한다. 컨퍼런스에는 늘 발표자가 필요하기 때문에 반쯤은 필요에 의해 강제적으로 발굴되기도 하는 것이지만, 아무튼 이런 스피커들의 발표 자료들이 모이고 나면 보안 업계 전체가 한층 윤택해지는 게 사실이다.


[이미지 = utoimage]

올해 RSAC 행사에서도 많은 전문가들이 놀라운 연구 결과와 통찰력을 다양한 면으로 마음껏 자랑했다. 그럼에도 눈에 띌 수밖에 없던 건 ‘오픈소스에 대한 산업 전체의 관심’이 부쩍 높아졌다는 것이다. 오픈소스는 아는 사람들끼리만 돌려서 사용하는, 그런 ‘일부 리거들만의 전유물’을 탈피한 지 오래됐다. 우리가 지금 말하는 소프트웨어가 불과 몇 년전에 말하던 소프트웨어와 전혀 다른 물건이 됐기 때문이다. 이름만 같지, 우리는 완전히 다른 것을 지칭하고 있다.

스스로 소프트웨어를 만드는 사람이 남아 있는가?
보안 전문가들에게 있어 소프트웨어는 끝없는 연구 대상이다. 누가 어떻게 조립하고, 실험하고, 구축하고, 배포하고, 패치하는지 알아야 보안 계획을 수립할 수 있기 때문이다. 게다가 이제 소프트웨어는 모든 산업과 기업에 반드시 있어야 할 요소다. 소프트웨어를 다루는 팀들과, 소프트웨어를 다루는 방법론은 갈수록 복잡해지고 있다. 그러면서 더 많은 소프트웨어가 더욱 빠르게 세상에 나와야만 하는 때가 됐다.

그래서 어떻게 됐나? 타겟(Target)의 데브옵스 부문 수석 국장인 제니퍼 차플류스키(Jennifer Czaplewski)는 “이제 소프트웨어를 작성하지 않고 조립하는 시대가 됐다”고 말한다. 백지를 펼쳐놓고 프로그램을 작성하는 건 현대 환경이 요구하는 속도에 부합할 수 없다. 부지런히 부품들을 모아 이리 저리 조립하는 게 훨씬 빠르다. 이건 그냥 한 사람의 의견이 아니다. 오픈소스라는 소프트웨어의 부속품들이 소프트웨어 산업에 어느 정도나 활용되고 있느냐고 조사를 하면 조사에 따라 적게는 70%, 많게는 100%까지 나온다. 이러니 오픈소스에 대해 관심을 갖지 않을 수가 없다.

이런 저런 코드를 가지고 프로그램을 조립하다 보면 ‘디펜던시(dependency)’라는 게 생겨날 수밖에 없다. 코드 하나가 자체적으로 소프트웨어의 기능을 다 구현할 수 없으니 다른 코드를 불러오고, 그 코드는 또 다른 코드를 불러오는 식으로 코드들이 서로 맞물리게 되는데, 이렇게 불러올 수밖에 없는 코드나 패키지, 라이브러리 등을 디펜던시라고 부른다. 어떤 디펜던시들은 소프트웨어의 매우 깊은 곳에 위치하고 있어 도무지 찾아낼 수가 없기도 하다. 그러면서 소프트웨어 점검이나 유지 절차에서 벗어나게 된다.

현재 세상에 존재하는 거의 모든 기업들이 이런 식으로 구성된 소프트웨어를 하나 이상 사용하고 있으며, 그러므로 오픈소스는 세상에 편만하게 퍼져 있다고 해도 과장이 아니다. 그렇다는 건 디펜던시 문제 역시 세상 곳곳에 잠재되어 있다는 뜻이 되고, 따라서 오픈소스를 안전하게 활용하고 관리할 방법이 어디에나 필요하다는 결론을 내릴 수 있다.

신뢰를 촉진하고 협업을 돕는 장치들
한 가지 기억해야 할 건 오픈소스가 단순히 IT 분야 혹은 IT 담당자들만의 문제가 아니라는 것이다. 프로그래머들만 잘 하면 될 문제도 아니고, 개발 프로세스의 문제도 아니며, 사람의 실수나 허점과 관련된 ‘인간 본연과 관련된 문제’도 아니다. 그 모든 것이다. 개발자도 잘 해야 하고, CISO와 보안 담당자들도 신경을 써야 하고, 정책을 마련하고 시행하는 책임자도 관심을 가져야 한다. 관계된 모든 사람들이 신뢰를 구축하고 협업해야 한다. 조각난 관계와 업무 구조 안에서는 오픈소스가 안전할 수 없다.

관계된 모든 사람을 효과적으로 묶을 수 있는 방법 중 하나로 ‘소프트웨어 물자표(software bill of materials, SBOM)’가 주목을 받고 있다. 2021년 5월 미국 바이든 대통령이 행정명령을 통해 소프트웨어 물자표라는 것을 언급하면서 더더욱 인기가 올라갔다. 도입도 서서히 이뤄지는 중인데 그러면서 장점들이 하나 둘 나타나고 있다. 자산에 대한 가시성이 높아지고, 그에 따라 제어와 관리도 쉬워지며, 취약점에 대한 총체적인 대응이 보다 빨라지고 있다. 소프트웨어 생애주기 관리가 전체적으로 나아지는 중이라고 볼 수 있다.

‘소프트웨어 물자표’가 꽤나 괜찮은 효과를 내고 있다는 소문이 나면서 다른 종류의 물자표들이 등장하고 있다. 데이터 물자표(DBOM), 하드웨어 물자표(HBOM), 파이프라인 물자표(PBOM), 사이버 보안 물자표(CBOM) 등이 전문가들 사이에서 한두 번씩 언급되고 있는 ‘물자표’ 시리즈라고 볼 수 있다. 물론 이것들이 완전히 정착한 것은 아니다. 시간이 지남에 따라 살아남을 건 살아남고 폐기될 건 폐기될 것이다. 중요한 건 이러한 ‘물자표 유행’이 문제에 대한 우리의 접근법을 다시 생각해 볼 계기가 되어주고 있다는 것이다.

그 외에도 여러 가지 도구들이 다양한 단체들로부터 만들어지는 중이기도 하다. 대표적으로 꼽아보면 다음과 같다.
1) 오픈소스소프트웨어보호법(Securing Open Source Software Act)
2) 소프트웨어 생성물을 위한 단계별 공급망 프레임워크(Supply chain Levels for Software Artifacts)
3) 보안소프트웨어개발프레임워크(Secure Software Development Framework)
4) 오픈소스소프트웨어 안전공급망 프레임워크(Open Source Software Secure Supply Chain Framework)
이런 도구들을 통해 우리는 오픈소스를 더 안전하게, 그러므로 더 적극적으로 활용할 수 있게 될 것이라고 IT 분야는 예상하고 있다.

오픈소스, 이미 개발자들의 좋은 친구
개발자들은 이미 자신들의 업무를 수행하는 데 있어 오픈소스에 크게 의존하고 있다. 오픈소스 없이 중요한 기능과 보안 요소들을 삽입하고, CI/CD 파이프라인을 구축할 수 있는 개발자들이 얼마나 있을까 싶을 정도다. 그것 자체가 나쁜 건 아니다. 오히려 짧은 시간에 더 많은 기능을 누릴 수 있게 해 준다는 건 분명 커다란 장점이다.

앞으로도 오픈소스는 계속해서 소프트웨어 산업이 운영되는 방식을 바꿔갈 것이다. 이미 소프트웨어 구축 방법을 완전히 바꾼 지 오래다. 그럼으로써 출시 속도를 빠르게 했고, 혁신을 촉진시켰다. 개발 비용도 크게 낮췄다. 어떤 혜택을 더 가져다 줄 것인지는 아직 모르지만 아직 오픈소스의 잠재력이 끝난 건 아니므로 우리는 계속해서 기대할 수 있다. 다만 오픈소스를 자유롭게 쓰라고 무제한으로 풀어주기만 해서는 미래가 아름답지는 않게 될 것이라는 걸 기억해야 한다. 안전망 안에 오히려 더 큰 자유가 있다.

글 : 브리타 글레이드(Britta Glade), VP, RSA Conference
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기