개발자 / 보안

'가장 널리 쓰이는 오픈소스 패키지는?' 하버드, 역대 최대 규모 조사 결과 공개

Scott Carey | InfoWorld 2022.03.03
LISH(Laboratory for Innovation Science at Harvard University)의 연구진이 FOSS(free and open source) 소프트웨어 패키지에 대한 현재까지 가장 포괄적인 조사 결과를 공개했다. 업계가 하트브리드(Heartbleed), 로그4쉘(Log4Shell) 등 오픈소스 프로젝트에 영향을 준 치명적인 보안 취약점에 더 잘 대응할 수 있도록 하기 위해서다.
 
ⓒ Getty Images Bank

이번 보고서는 IT 업계가 오픈소스 기술의 광범위한 사용에 따라 새롭게 대두되는 보안 위협에 대해 위기감이 고조되는 가운데 나왔다. 실제로 핵심적인 기업과 공공 영역에도 오픈소스 애플리케이션이 널리 쓰이고 있다.

연구진은 애플리케이션 라이브러리 소프트웨어 패키지에 주목했다. 2020년 기준 수천 개 기업의 실제 산업 현장용 애플리케이션에 쓰이는 50만 가지 이상의 FOSS 라이브러리에서 데이터를 수집했다. 조사를 담당한 연구진은 보고서를 통해 "FOSS는 오늘날 우리 경제의 가장 핵심적인 부분이다. 산업 현장에는 수천만 건의 FOSS 프로젝트가 진행 중이고 이 중 상당수가 우리가 매일 사용하는 소프트웨어와 제품에서 쓰인다. 반면 이들 FOSS의 상태나 경제적 가치, 보안 등은 정확히 파악하기 어렵다. 중앙화되지 않고 분산된 방식으로 개발되기 때문이다"라고 지적했다.

이번 보고서는 크게 8가지 리스트로 구성된다. 구체적인 버전이 포함된 4가지, 버전을 알 수 없는 4가지다. 기본 자바스크립트 npm 패키지 관리자를 사용한 패키지와 비npm 패키지도 구분했다. 이밖에 개발자가 직접 호출하는 패키지와 의존성에 따라 간접 호출되는 패키지를 따로 모았다. 더 강한 의존성을 가진 패키지는 개발자가 자신의 환경 내에서 관찰하기가 더 어렵다는 점을 강조하기 위해서다. 연구진은 시간과 여건이 여건이 허락되는 한 최대한 데이터를 수집했다. 이들 리스트를 통해 어떤 FOSS 패키지가 여러 애플리케이션에서 가장 널리 사용되는지 알 수 있다고 설명했다.
 

한편 보고서에는 가장 위험한 오픈소스 프로젝트가 구체적으로 지목되지 않았다. 위험성을 측정하는 것은 완전히 별개의 작업이기 때문이다. 하지만 가장 널리 쓰이는 소프트웨어를 식별하면 가장 위험한 프로젝트도 비교적 수월하게 찾아낼 수 있다. 단, 이를 규명하려면 여러 업계의 협업이 필요하고 이를 사용하는 기업 단위의 개별적인 도움이 필수적이다. 만약 현재 사용하는 소프트웨어 명세(SBOM)를 작성하기 시작하는 기업이라면 이번 연구가 어떤 오픈소스 패키지가 가장 널리 쓰이는지 파악해 보안을 강화하는 데 참고가 된다.

연구진은 이번 연구가 가장 널리 사용되는 오픈소스 패키지가 무엇인지 인식해, 다음번 로그4j나 하트브리드 취약점을 막는 데 도움이 될 것으로 기대했다. 이번 연구를 지휘한 하버드 비즈니스 스쿨의 교수 프랭크 내이글은 "이번 리스트를 참고하면 다음번 로그4j가 등장해 심각한 문제가 되기 전에 해결할 수 있을 것이다"라고 말했다.

또한 연구진은 이번 조사를 통해 널리 사용하는 주요 FOSS 패키지를 밝혀낸 것이 앞으로 개발자와 최종 사용자가 데이터를 공유하고 보안 키 오픈소스 프로젝트에 투자하고 협업하도록 독려하는 데 도움이 되기를 기대하고 있다. 현재는 보안 키 오픈소스 프로젝트 대부분이 소수의 자발적인 개발자 그룹을 통해 유지되고 있다.

지난 2014년 하트브리드 취약점이 발견되자 리눅스 재단은 CII(Core Infrastructure Initiative)를 설립해 주요 FOSS 프로젝트에 대한 자금과 개발 지원에 나섰다. 메인테이너에게 급료를 주고, 시급한 프로젝트를 선별해 모범 보안 방식을 적용했다. 이런 노력이 쌓여 2020년에는 새로운 오픈SSF(Open Source Security  설립으로 이어졌고, 바로 여기서 이번 연구를 지원했다.

최근 오픈소스 보안은 전 세계 정부의 관심사이기도 하다. 미국 백악관은 공공과 민간 영역의 대표자들을 모아 이 문제를 논의하기도 했다. 오픈소스 코드와 패키지의 보안 결함과 취약점을 막는 방법과 보안 취약점을 발견해 바로잡는 절차를 개선하는 문제, 취약점 해결 기간을 단축하는 방안 등을 집중적으로 토론했다. 2014년 EU은 자체적으로 FOSS 전략을 마련했고, 몇 년 후 버그 바운티 프로그램, 해커톤, 컨퍼런스 등을 통해 FOSS 감사에 대한 재정 지원을 시작했다.

한편 이번 보고서에는 현재 기업의 오픈소스 소프트웨어 활용 현황에 대한 조사도 포함돼 있다. 주요 내용은 다음과 같다.
 
  • 소프트웨어 컴포넌트에 대한 더 표준화된 네이밍 방법론이 필요하다.
  • 패키지 버저닝 관련된 심각한 복잡성이 여전히 존재한다.
  • 널리 사용되는 FOSS 대부분은 극소수의 컨트리뷰터에 의해 개발된다.
  • 개인 개발자 계정 보안이 점점 중요해지고 있다.
  • 오픈소스 공간 내 레거시 소프트웨어는 계속 공존하고 있다.

마지막으로 보고서는 "이번 연구가 핵심적인 FOSS 프로젝트를 찾는 데 그치지 않으고 앞으로 필수적인 패키지가 적절한 지원을 받을 수 있는 방법을 논의하는 출발점이 되기를 기대한다"고 마무리했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.