보안 / 오픈소스

"구글이 한 번 더 검증한다" 구글, 코드 리뷰 거친 일반 오픈소스 패키지 AOSS 공개

Lucian Constantin  | CSO 2022.05.18
기업 개발자는 애플리케이션 개발 대부분을 의존하는 오픈소스 소프트웨어 공급망 보안을 우려하기 마련이다. 구글이 보안을 자체 역량으로 강화한 내부 오픈소스 구성요소 리포지토리를 어슈어드 OSS(Assured Open Source Software)라는 유료 서비스로 출시했다. 

AOSS에는 코드 소스, 종속성이 확인되고 검토와 취약점 테스트를 거친 후 소스 코드에서 빌드된 일반 오픈소스 패키지가 포함된다. 결과 패키지는 SLSA 프레임워크를 준수하고, 구글이 디지털 서명한 풍부한 메타데이터로 이루어진다.
 
ⓒ Getty Images Bank

구글 클라우드 인프라 부사장 에릭 브루어는 구글이 자체 소프트웨어 개발 파이프라인에 필요한 오픈소스 패키지 내부 보안 테스트 버전을 유지 관리하고 있으므로 AOSS의 기본 구성이 이미 준비된 상태라고 밝혔다.

이번주 발표된 AOSS는 일부 얼리액세스 테스트 기업에 먼저 제공되고 이후 3분기부터 공개 프리뷰로 전환될 예정이다. 10만 개 이상의 코어 자동화 퍼징 테스트 등 보안 테스트, 패키지 빌드 및 호스트 등 관련 인프라 비용이 가격에 반영될 것으로 보인다. 

AOSS 서비스는 구글이 사용하는 500가지 자바, 파이썬 패키지 집합으로 시작해 향후 다른 언어로도 확장할 계획이다. 사용 기업은 리포지토리로 추가나 관리하는 오픈소스 패키지를 제출할 수 있으며, 기존 패키지와 같은 수준의 보안이 제공된다.
 

어렵고 복잡한 로컬 소프트웨어 구성 요소 유지 관리

구글의 접근 방식은 소프트웨어를 개발하는 모든 기업이 이미 공급망 위험을 관리하기 위해 하고 있는 것이다. 구성 요소의 로컬 복사본을 로컬 퍼블릭 리포지토리에서 바로 꺼내오지 않고 로컬 리포지토리에 유지하는 방식이다. 패키지나 독립성이 악성 코드로 손상되거나 공격받은 경우 일종의 버퍼가 생긴다.

그러나 잘 관리되지 않으면, 다시 말해 업스트림 보안 수정이 정기적으로 적용되지 않아 내부 패키지 버전이 부실해지면 패치에 지연이 발생하기도 한다. 보안 패치가 새로운 버전에만 포함되는 것도 쉬운 일이 아니다. 애플리케이션 작동을 중지하고 상당한 재설계 노력이 수반되는 주요 기능 변화가 함께 따라오기 때문이다.

엔터프라이즈 애플리케이션에서 구형의 취약한 오픈소스 구성 요소를 사용하는 경우가 많다는 연구가 많이 이루어졌다. 예를 들면 12월에 log4j 자바 로깅 라이브러리에서 발견된 Log4Shell 취약점이 있다. 3개월 후에도 메이븐 센트럴(Maven Central) 리포지토리의 log4j2 다운로드의 약 40%가 여전히 취약한 버전을 사용하고 있었다.
 

구형 오픈소스 코드 패치하기

구글은 원 책임자가 유지보수를 하지 않을 때, 영향을 받은 구형 버전에 보안 패치를 백포트하는 방법으로 이 문제를 해결할 계획이다. 브루어는 CSO에 “패키지 소유자가 새로운 버전에 큰 변화를 주면 대다수 사용자가 바로 적용하기는 어려울 것이므로 이런 경우에는 구형 버전과 향후 선호할 버전 모두에 보안 패치를 적용하는 것이 중요하다”라는 입장을 표했다.

즉 새로운 버전이 릴리즈되고 구글 감사와 서명을 거친 복제본이 AOSS 리포지토리에 올라오기까지 약간의 지연이 있다는 의미다. 보안 테스트와 코드 변경 리뷰 등에 시간이 걸리기 때문인데, 브루어는 프로세스 자동화를 거듭하면서 시간이 점차 단축될 것이라고 언급했다.

브루어는 “약간 시간이 지연되겠지만 리뷰를 거친 업스트림 복제본을 얻을 수 있다. 새로운 버전의 보안이 확실하지 않을 때는 시간을 더 확보해야 할 때도 있을 것이다. 반대로 소규모 보안 패치일 경우 최대한 빨리 전달할 것”이라고 설명했다.

구글 개발 부서와 취약성 전문 연구 팀이 정기적으로 오픈소스 소프트웨어의 보안 취약점을 찾고 패치를 개발하는 2중 구조다. 이 경우 업스트림 프로젝트가 적용한 패치를 받을 시간이 충분하기 때문에 구글 버전 패키지가 정식 버전보다 더 빨리 내부 발견 취약점 패치를 준비할 수 있다. 구글은 전 세계 최대의 오픈소스 프로젝트의 기여자이며, 구글 연구 팀은 지금까지 총 1만 6,000여 개의 취약점을 발견한 성과가 있다.

향후 구글은 보안 개발 업체인 스니크(Snyk)와 협력해 AOSS를 스니크 플랫폼, 도구, 취약점 분석 기술과 통합할 계획이다. 또한 구글 소프트웨어 개발 제품 주기 도구 사용 기업에는 트리거 액션과 수정 제안 등의 기능도 제공될 예정이다.
editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.