본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

리눅스 재단이 보안과 다양성 문제를 다루는 방법

OSS 게시글 작성 시각 2018-10-29 13:48:10

2018년 10월 27일    

ⓒ CIO Korea, Tamlin Magee | Computerworld UK

 

리누스 토발즈가 다시 리눅스를 맡았다. 이 코끼리가 골방에서 나온 상황에서 리눅스 재단이 또 해결할 문제는 무엇이 있을까?
 


최근 에딘버러에서 열린 OSS(Open Source Summit)에서 리눅스 재단의 전무이사 짐 젬린이 애플리케이션 보안, 다양성, 데이터 공유 등 3가지 핵심 개선 영역에 대해 간략히 설명했다.

다양성
할머니가 개발자 출신인 젬린은 기술 부문에서조차도 오픈 소스의 성별 균형이 평균에 크게 미치지 못한다고 지적했다. 서서히 개선되고 있지만 여전히 부족하다. 실제로 쿠버네티스를 보면 여성 개발자가 7.6%다. 커널은 10% 정도이며 하둡 같은 프로젝트는 5~6%로 낮다. 산업 기술 부문의 여성 기술 직원의 평균은 약 18%이며 이런 영역에 종사하는 여성 엔지니어도 오픈 소스 프로젝트 참여 수준과 크게 다르지 않다.

젬린은 "결국 리눅스에 있어 전체적으로 낮을 뿐 아니라 산업 기준으로 보았을 때도 낮다. 재단은 이 부분을 개선하고자 한다. 이번 행사 기간 3일 동안 다양성을 포용하기 위해 노력했고 과소 평가된 커뮤니티의 여성이 프로젝트에 더 많이 참여하도록 장학금도 제공하고 있다. CNCF(Cloud Native Computing Foundation)는 이런 행사에 여성 참여를 독려하기 위해 30만 달러를 기부했다. 앞으로 할 수 있는 일이 더 많고 지속적으로 노력할 것이다. 분명한 것은 오픈 소스 부문의 다양성 상황이 좋지 않다는 것이다"라고 말했다.
 

'톨스토이 같은' 애플리케이션 보안
젬린은 보안 관련해서도 의견을 내놓았다. 그는 "전 세계가 공유 기술을 널리 사용하면서 취약성의 양과 소프트웨어의 테스트 범위 등 애플리케이션 보안이 우리의 디지털 생활에 막대한 영향을 끼치고 있다. 쿠버네티스의 테스트가 개선되고 버그와 취약성이 감소하면 쿠버네티스뿐만 아니라 모든 오픈 소스 프로젝트가 개선될 것이다. 우리는 모든 오픈 소스 프로젝트가 개선될 수 있도록 지원하고 있으며 핵심 인프라 계획과 기타 개선 영역에 대해서도 계획을 갖고 있다"라고 말했다.

최근에는 다보스에서 조차 오픈 소스가 보안을 뒷받침하는 방법에 대해 논의한다. 그러나 오늘날 현대적인 소프트웨어가 개발되는 방식에 대한 근본적인 변화 움직임도 감지된다. 올 해 초 세계경제포럼(World Economic Forum, WEF)이 발행한 보고서를 보면, 개발뿐만 아니라 보안과 변화의 속도 측면에서 오픈 소스가 상당한 이점이 있다고 극찬했다.

젬린은 "나는 (다보스에) 초대를 받고 싶기 때문에 WEF에 대해서 부정적인 이야기를 하고 싶지는 않다"며 웃으며 말했다. 이어 WEF의 우호적 평가 이면에는 WEF의 CTO 브라이언 벨린도르프가 역할을 했을 것으로 분석했다. 그는 "브라이언 벨린도르프는 하이퍼레저 블록체인 계획을 운영하는 사람이며, 아파치 소프트웨어 재단과 웹 서버를 설립했다. 그가 오픈 소스에 대한 WEF의 관점에 어느 정도 영향을 끼쳤을 가능성이 크다"라고 말했다.

이어 "오픈 소스 소프트웨어는 코딩 과정에서 같은 개발자들의 심사를 받는다. 보안에 대해서도 마찬가지 검토 과정을 갖고 있다. 그러나 여전히 다른 개발자의 심사를 받지 못하는 프로젝트가 많다. 예를 들어 많은 사람이 오픈SSL에 의존하지만 왜 다른 개발자를 통한 심사가 진행되지 않았는지 생각해 보아야 한다. 설사 코드가 투명하다 하더라도 많은 오픈 소스 프로젝트에서 테스트하는 범위가 그리 넓지 않다. 개발자는 테스트에 앞서 기능을 더 원하기 때문이다. 이런 부분은 문제가 될 수 있다"라고 말했다.

젬린은 보안 메일 전송 목록과 책임감 있는 공개 정책 그리고 위협 모델링 코드, 퍼즈(Fuzz) 시험, 린팅(Linting), "동료 심사의 수준을 초월해 애플리케이션 보안을 진지하게 여기는 것" 등의 단계로 이 문제를 해결할 수 있다고 말했다. 이어 "균형 잡힌 오픈 소스는 분명 전매특허 소프트웨어보다 이점이 있다. 왜냐하면 전매특허 소프트웨어에서 무슨 일이 일어나고 있는지 알 수 없기 때문이다. 거기에 안주해서는 안 된다"라고 덧붙였다.

젬린은 다른 문제를 지적했지만 해당 재단은 특히 머신 러닝, 인공 지능, 예측 분석의 등장을 중심으로 협업이 개선되기를 기대하고 있다. 특히 기술 제품과 서비스를 구축하는 것의 중요성이 커지면서 코드 공유의 중요성도 함께 커지고 있다.

그는 "오픈 소스 코드 공유의 개념을 데이터 공유에 적용하는 것이 해법이 될 수 있다. 오픈 데이터 라이선스를 개발한 것도 이 때문이다. 카피레프트(Copyleft) 라이선스와 더 관대한 데이터 라이선스로 구성되며 표준화된 오픈 소스 라이선스 덕분에 코드를 공유하고 데이터를 공유하기가 쉬워진 방식과 유사하다"라고 말했다. ciokr@idg.co.kr 

 

※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지

 

[원문출처 : http://www.ciokorea.com/news/39992]

맨 위로
맨 위로