디지털 세계에서 소프트웨어는 없어서는 안 될 존재이다. 현재 디지털 세계에 구축된 소프트웨어의 99%에는 오픈소스 구성요소가 포함됐다. 그러나 오픈소스와 관련해, 보안 문제가 지속적으로 제기되고 있다. 오픈소스에서 보안 위험이 발생하는 원인은 무엇일까? 그리고 오픈소스의 보안은 어떤 식으로 관리하는 것이 좋을까?
보안 위험이 끊기지 않는 오픈소스
오픈소스는 누구나 무료로 사용할 수 있고, 개발할 수 있다. 게다가 불특정 다수가 오픈소스 개발 과정에 참여하며, 코드 입력 과정에 무제한으로 접근이 가능하다. 누구나 자신이 원하는 대로 코드를 수정할 수도 있다. 여러 사람이 개발하기 때문에 오픈소스에서 버그가 종종 발견된다. 게다가 누구나 코드를 볼 수 있기 때문에 문제가 쉽게 발견된다.
그러나 지난 수년간 오픈소스의 보안 문제가 급격히 증가했다. 미국 보안 업체 화이트소스(WhiteSource)가 올해 3월에 발표한 보고서에 따르면, 2019년에 오픈소스에서 발견된 보안 결함은 총 6,100건으로, 10년 전보다 6배 이상 증가했다.
미국의 기업 소프트웨어 공급 업체 소나타입(Sonatype)은 최근, 2020년에만 다운로드된 오픈소스 중 10%는 보안 취약점을 지니고 있다고 발표했다. 동시에 애플리케이션 한 개당 오픈소스 보안 결함이 평균 38건 발견된 사실도 함께 입증했다.
오픈소스 보안 관리는 어떻게 하나
미국 테크 매체 테크리퍼블릭은 플랫폼 개발 업체 '더 시스템 이니셔티브(The System Initiative)' 공동 창립자 아담 제이콥(Adam Jacob)을 인용, 오픈소스 보안 관리 시 공급망에서 발생한 결함 수정 과정에 중점을 두어야 한다고 설명한다.
오픈소스의 공급망에서 보안 문제가 발생했을 경우, 사전 예방 대책을 점검한다고 해서 결함을 완벽히 해결할 수 없기 때문이다. 무엇보다도 빠른 결함 수정 조치의 중요성이 더욱 부각되는 이유이다.
영국 온라인 IT 미디어 IT프로포털은 보안 관리에 있어, 오픈소스 제공 기관의 포괄적인 가시성과 오픈소스 관리 능력이 매우 중요하다고 강조한다.
갈수록 오픈소스 사용 인원이 지속적으로 증가하고 있다. 이 때문에 오픈소스 구성요소 분석과 오픈소스 평가 및 추적 자동 솔루션, 서드파티 구성요소 관리 모두 중요하다. 오픈소스의 보안을 보다 철저히 관리하기 위해서는 오픈소스 관리 라이선스와 발견된 보안 취약점 패치 공급 과정, 기존의 보안 결함 관리가 빠져서는 안 된다.
게다가 취약점을 지닌 오픈소스 구성요소를 확인하는 것만으로는 오픈소스의 보안을 완벽하게 관리하기 어렵다. 오픈소스의 보안 결함 때문에 특정 환경에서 실제로 발생할 수 있는 분제를 이해한 뒤, 이를 효율적으로 해결하거나 보안 위험을 완화시키는 것이 더욱 중요하다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[구혜영 칼럼] 사회복지교육은 미래복지의 나침반이 되어야](/news/data/2026/01/16/p1065596364370517_157_h.png)
