미 연방 정부의 오픈소스 사용에 관한 '사실과 오해'

점점 더 많은 미국 연방 정부기관들이 오픈소스로 옮겨가고 있는데, 그로 인해 더 많은 취약점에 노출될 수도 있다.


Credit: Flickr/Phil Richards
미국의 많은 연방 정부기관들이 오픈소스 소프트웨어 개발 승인을 받은 공용 저장소를 이용하는 것으로 알려졌다. GSA(General Services Administration) 기트허브(GitHub) 대시보드에 따르면, 236개 연방 정부기관이 총 5,254개 프로젝트 저장소를 이용하고 있다.

오픈소스 소프트웨어를 이용하거나, 개발해 IT 목적을 달성하는 연방 정부기관들이 증가하는 추세다. 더 많은 오픈소스 프로젝트를 효과적으로 준비하기 위해, 연방 정부기관은 공용 저장소와 관련한 오해와 잘못된 통념에서 사실을 가려낼 수 있어야 한다.

연방 정부기관의 오픈소스 사용을 유도하는 주요 동인은 공유 플랫폼을 이용한 비용 절감 효과다. 그러나 사피엔트 거번먼트 서비스(Sapient Government Services)의 기술 디렉터인 제이 자이프라카쉬는 "오픈소스로의 변화를 수용하려면 몇 가지를 고려해야 한다. 소프트웨어를 성공적으로 도입할 수 있도록 만드는 문화, 혁신, 아키텍처가 여기에 해당한다"고 말했다.

연방 정부기관의 보안 담당자들은 밴드왜건 효과(bandwagon effect of propaganda)에서 넘어가서는 안 된다. 유행을 좇아 오픈소스를 도입하기 전에, 자신이 소속된 기관을 이해하는 것이 아주 중요하다.

자이프라카쉬는 "정부기관은 문화와 혁신에 맞춰, 새로운 아이디어를 보상하는 방법부터 제대로 된 정책 수립까지 올바른 환경을 발전시켜야 한다. 거버넌스 부서와 보안 부서가 서로 협력하고 전문성을 공유하는 것이 최신 아이디어에서 새로운 개선에 이르기까지 모든 사람에게 도움이 되도록 만들어야 한다"고 강조했다.

자이프라카쉬의 설명에 따르면, 오픈소스는 비용 측면의 이익도 있지만 그 밖에도 특정 업체의 제품과 업그레이드 경로에 발목 잡히지 않고 최고의 솔루션을 추구할 기회를 제공한다.

보안 생태계는 끊임없이 바뀌는데, 공유 플랫폼은 예측하지 못한 상황을 볼 수 있도록 해준다. 자이프라카쉬는 "기관이 발전하면, 이러한 유연성을 바탕으로 효과가 없는 기술을 버리고, 느슨하게 연결됐거나 연결되지 않은 아키텍처로 이동할 수 있다. 그리고 이를 통해 오픈소스의 장점을 이용할 수 있는 더 큰 유연성을 확보할 수 있다"고 설명했다.

18F의 브리타 구스타프슨과 윌 슬랙이 작성한 ‘정부의 오픈소스 코드 개발에 관한 사실(Facts about publishing open source code in government)’에 따르면, 연방 정부의 오픈소스 이용과 관련된 잘못된 통념 중 하나는 "공용 저장소는 정부에 널리 보급되지 않은 새로운 기술이다. 이를 사용하는 사람들은 규제에 주의하지 않는 사람들일 것이다"라는 주장이다.

자이파라카쉬는 "오픈소스의 보안 위험이 특정 업체가 개발한 소프트웨어보다 높기는 하지만, 오픈소스는 공동체의 참여와 많은 사용자에 힘입어 더 많이 테스팅되고, 더 빨리 수정될 수 있다"고 설명했다.

구스타프슨과 슬랙이 제시한 또 다른 잘못된 통념은 "공용 저장소 호스팅 서비스는 소셜 네트워킹 도구인데, 여기에는 간혹 의심스러운 접근이나 정보도 있다. 이를 사용하면 프로젝트에 신뢰도가 떨어지는 외부 코드가 섞이는 문제가 발생할 수 있다"는 주장이다.

그러나 구스타프슨과 슬랙은 18F의 정책을 예로 제시하면서, 연방 정부가 실제로 자신들이 공유하는 저장소에 대한 접근과 승인을 100% 통제할 수 있다고 반박했다.

통제(관리)와 정책은 이런 공식 저장소 보호에 아주 중요한 역할을 한다. 자이프라카쉬는 "어떤 산물이든 보안을 우려해야 하기 때문에, 연방 정부는 모든 오픈소스 소프트웨어에 충분히 주의를 기울여야 하고, 올바른 거버넌스를 적용해야 한다"고 강조했다.

아직도 오픈소스 도입을 주저하는 이들이 많다. 블랙덕(Black Duck)의 보안 전략 담당 부사장인 마이크 피텐거는 "일정 시점에서는 종교와 같이 절대적으로 믿어버린다. 절대 안전하지 않다고 믿는 것이다"고 말했다.

사실 오픈소스에서 가장 중요한 부분은 공격자를 유도하는 특성이다. 피텐거는 "곳곳에서 오픈소스를 사용한다. 공격자들은 가장 저항이 적은 경로를 찾는다. 또 표적의 가치가 높아야 한다. 이런 이유로 표적이 많은 환경을 쫓는다"고 설명했다.

오픈소스의 위험 대부분은 오픈소스를 적절히 관리하지 않는 문제에서 비롯된다. 피텐거는 "유료 지원을 제외하고는 지원 모델이 존재하지 않는다. 여느 IT업체들처럼 SLA도 없다"고 설명했다.

대다수 기업과 기간이 오픈소스 프로젝트에서 자신이 사용하는 기술을 모른다. 그러니 관리와 통제도 없다. 피텐거는 "SW 개발 업체에서 라이선스를 구입하면 SLA를 제공 받는다. 그리고 해당 업체는 이에 따라 패치를 배포한다. 그런데 오픈소스는 정반대다"고 말했다.

기관이 공용 라이브러리를 사용할 경우, 코드를 모니터링 할 책임은 기관에게 있다. 피텐거는 "사용하는 기술을 추적 관리하지 않을 때 위험이 발생한다. 그러나 오픈소스를 이용하지 않을 경우, 처음부터 모든 것을 개발해야 한다"고 말했다.
베라코드(Veracode)의 조사 담당 부사장 크리스 앙은 많은 기관이 오픈소스를 이용하고 있지만, 사용하는 기술을 추적하는데 투자한 기관은 극소수에 불과하다고 지적했다.

앙은 "대다수가 다양한 오픈소스를 이용하고 있다. 맨 처음부터 새로운 소프트웨어를 개발하는 사람은 단 한 사람도 없다. 매번 라이브러리를 이용한다. 때론 상용 소스와 오픈소스를 혼용해 쓴다"고 말했다.

대다수가 자신이 사용하는 것을 정확히 파악하지 않고 있는 것에서 위험이 초래된다. 앙은 "개발자들은 여기저기에 라이브러리를 이용한다. 그런데 이를 계속 추적 관리하지 않는 바람에 추적이 더 어려워지고 있다. 특히 허트블리드(Heartbleed)가 출현한 이후 더 그렇다"고 지적했다.

보안 담당자나 개발자가 자신들의 개발에 포함된 특정 구성 요소를 모를 경우, 이를 제대로 모니터링 할 수 없다. 이러한 가시성 부족은 상용 소스와 오픈소스 모두에서 보안 위험을 초래한다.

앙은 "대개 개발 부서는 쓸데없이 시간을 허비하고 싶어 하지 않는다. 이런 이유에서 이들은 라이브러리를 이용한다. 프로필 사진을 업로드 할 기능을 추가시키고 싶다고 가정하자. 새 코드를 개발하지 않는다. 대신 이미지 프로세싱 라이브러리를 이용한다"고 설명했다.

사람들이 여러 다양한 라이브러리 버전을 계속 추적할 수 있는 중앙 집중화된 장소가 없는 것이 문제다. 앙은 "제 기능을 하면, 이를 다시 검토해 최신 상태로 유지하지 않는다. 그러다 취약점이 발견될 때, 새 버전으로 업데이트한다. 모든 취약점을 물려받으면서 점점 더 취약해지는 것이다"고 설명했다.

계속해서 사용하는 것을 추적하지 않고, 산물을 업데이트하지 않는 것은 기술적인 도전과제보다는 중앙 집중화된 프로세스가 없어 발생하는 문제다.

앙은 "오픈소스가 증가한다고 문제가 개선되거나 악화되지 않는다. 아주 오래된 잘못된 통념이 있다. 오픈소스는 무료로 배포되고, 누구나 소스 코드를 볼 수 있으며, 따라서 많은 사람들이 버그를 패치할 것이라는 믿음이다. 이는 시간이 지나면서 점점 더 사실이 아닌 것으로 밝혀지고 있다. 감시하는 눈이 많아도 보안 문제를 발견하지 못할 수 있다. 더 안전하다는 이유로 오픈소스 확대를 계획하는 사람들에게 그렇지 않다고 알려주고 싶다"고 밝혔다.

오픈소스를 후원하는 사람, 참여한 개발자의 수, 얼마나 널리 사용되고 있는지 아는 것이 중요하다. 앙은 "소프트웨어 개발에 이용한 오픈소스를 이해해야 한다. 취약점이 발견됐는지 계속 추적 관리해야 한다. 알려진 취약점이 많다"고 말했다.