오픈 소스는 누구나 프로그램 개발 과정에 참여할 수 있다는 특징을 지니고 있다. 그러나 일각에서는 이러한 특성이 오픈 소스의 보안을 악화할 수 있다며 우려한다. 그런데, 이들이 근거 없이 불필요한 걱정을 하는 것이 아니다. 최근 설문 조사에서 오픈 소스 개발자들이 보안을 크게 신경 쓰지 않는다는 사실이 밝혀졌기 때문이다.
개발자들, 오픈 소스 보안에 얼마나 신경쓸까?
미국 사이버 보안 전문 매체 다크리딩이 오픈소스 보안 기관 OpenSSF과 하버드대학교 혁신과학부의 협동 조사를 인용, 오픈 오스 개발자가 코드 보안에 신경을 쓰는 시간이 매우 적다고 보도했다.
설문 조사 결과, 오픈 소스 소프트웨어 개발자가 작업 시간 중, 코드 보안에 투자하는 시간이 평균 2.3%밖에 되지 않는 것으로 확인됐다.
대신, 개발자들은 최신 도구에 대한 작업 및 코드 개발이라는 자신들의 우선순위를 실천하는 데에만 중점을 두고 있다. 해당 조사는 오픈 소스 소프트웨어 개발자 603명을 대상으로 진행됐다.
오픈 소스 기반 구성 요소와 애플리케이션은 최신 애플리케이션에 포함된 전체 코드 중 70% 이상을 차지한다는 점에서 이번 조사 결과가 매우 심각하다.
하버드 경영대학교 교수 프랭크 나글(Frank Nagle)은 보안 및 코드 보호 측면에서 개발자와 애플리케이션을 사용하고자 하는 기업 간 보안 인식 격차가 매우 크다는 점을 지적했다. 그는 "이번 조사 결과는 개발자가 보안의 필요성을 크게 이해하지 못한다는 사실을 시사한다"라고 말했다.
기업의 오픈 소스 소프트웨어 활용 문제
소프트웨어 보안 업체 시놉시스(Synopsys)의 수석 보안 전략가 팀 매키(Tim Mackey)는 여러 기업의 오픈 소스 소프트웨어 접근 방식이 불규칙한 점도 문제라고 주장한다.
또, 시놉시스의 최신 보고서 내용에 따르면, 전체 기업 중 67%는 오픈 소스 개발, 보안, 운영 접근방식을 제대로 구축하지 않았으며, 오픈 소스의 보안 취약점이 우려스러운 수준이다.
언론 보도, 보안 취약점 해결에 도움 안 된다?
실제로 과거에도 여러 매체가 오픈 소스 취약점을 지적했다. 언론 보도 직후, 여러 기업이 오픈 소스 보안에 집중하기 시작했다. 그러나 시놉시스는 아직도 오픈 소소의 보안 문제가 완벽히 해결되지 않았다고 주장한다.
언론에서 보도하는 보안 취약점은 특정한 유형의 위협만 다루었기 때문이다. 따라서 많은 기업이 언론에 알려진 문제를 제외한 전반적인 보안 취약점이나 결함에는 계속 소홀한 모습을 보여, 근본적으로 문제가 해결되지 않았다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
