본문 바로가기

 

오픈소스 혁신을 위한 필수 조건 : 라이선스 및 보안 관리

 

- Open UP -

 

  • 최근 클라우드 서비스의 증가, 오픈소스로 학습된 AI 생성 코드 등으로 더욱 복잡해진 소프트웨어 생태계의 투명성을 높이고 취약점 관리를 위해 소프트웨어 자재 명세서(SBOM)가 필요
    1. 소프트웨어에 포함된 모든 오픈소스 컴포넌트와 해당 컴포넌트의 라이선스, 버전 및 패치 상태를 목록화하여 정확한 SBOM을 유지 관리하는 것은 코드의 품질, 규정 준수 및 보안 유지에 매우 중요
      1. 시높시스의 ‘2024 오픈소스 보안 및 위험 분석’ 보고서에 따르면 전체 코드베이스 中 96%가 오픈소스를 포함, 이 중 53%에서 라이선스 충돌이 있는 코드를 사용하였고, 위험 평가를 진행한 코드베이스 中 고위험 취약점은 2022년 48%에서 2023년 74%로 급격히 증가
  • AI 코딩 도구를 사용하여 생성된 코드는 소유권, 저작권 및 라이선스 등 법적 문제에 주의해야 함
    1. AI 코딩 도구가 생성한 코드에 대해 스니펫 분석*을 사용하여 오픈소스 라이선스가 적용되는 코드를 식별하여 관리하여야 함
      1. 스니펫 분석은 개별 라인의 코드를 원출처인 오픈소스 프로젝트와 매칭하여 분석

 

  • 2024 OSSRA 보고서, 소프트웨어에서 오픈소스의 라이선스, 보안, 위험에 대한 식별, 추적 및 관리의 중요성 강조
  • 최근 소프트웨어 생태계는 오픈소스의 증가뿐만 아니라 클라우드 서비스의 증가, 새로운 라이선싱 제도, 그리고 오픈소스를 사용하여 학습된 AI 생성 코드 등으로 인해 더욱 복잡해지고 있음
  • ‘2024 오픈소스 보안 및 위험 분석(OSSRA) 보고서’에 따르면 오픈소스 라이선스, 컴플라이언스, 보안 및 코드 품질, 위험에 대한 심층적인 분석을 제공하고 소프트웨어에서 오픈소스 식별, 추적 및 관리의 중요성을 강조하며 위험 관리를 위한 권고사항을 제공
    1. 시높시스에서 발표한 이 보고서는 2023년 17개 산업 1,067개의 상용 코드베이스를 대상으로 분석한 결과임
    2. 코드베이스는 응용 프로그램 또는 서비스를 구성하는 코드 및 관련 라이브러리를 뜻함

 

  • ‘2024 오픈소스 보안 및 위험 분석 보고서’의 주요 내용
    1. 1) 오픈소스의 사용 현황
      1. 전체 1,067개의 코드베이스 중 96%에 오픈소스가 포함되어 있으며, 산업 분야별로 살펴보면 전 산업 분야에 걸쳐 오픈소스가 활용되고 있음
      2.  
      3. [그림 1] 1,067개의 코드베이스의 산업 분야별 오픈소스 포함 비율
      4. * 출처: 시높시스 ‘Open Source Security and Risk Analysis Report 2024’ Figure 1 번역
      5.  
    2. 2) 오픈소스 라이선스 분석
      1. 전체 코드베이스에서 발견된 오픈소스의 92%가 MIT 라이선스이며, Apache, BSD 등 소프트웨어 내에서 재사용을 허용하는 퍼미시브 라이선스의 비율이 높게 나타남
      2. 전체 코드베이스의 절반 이상인 53%에서 오픈소스 라이선스 충돌이 있는 코드 사용, 31%는 식별 가능한 라이선스가 없거나 사용자 정의 라이선스를 사용
      3. Creative Commons 라이선스, LGPL, GPL에서 라이선스 충돌 비율이 높음
        1. Creative Commons 라이선스는 소프트웨어를 위한 라이선스가 아니므로 사용하지 않을 것을 권장
        2. 가장 일반적인 카피레프트 라이선스인 GPL 코드는 상용/클로즈드 소스 소프트웨어에 포함될 때 충돌 발생 가능
      4.  
      5. [그림 2] 충돌이 발견된 상위 10개 라이선스 비율
      6. * 출처: 시높시스 ‘Open Source Security and Risk Analysis Report 2024’
      7.  
      8. 컴퓨터 하드웨어 및 반도체(92%), 제조업,산업,로보틱스(81%) 산업에서 높은 비율로 라이선스 충돌 발생
        1. 소프트웨어를 온프레미스 제품으로 라이선스 및 배포하는 산업은 제한적인 라이선스가 적용되어 충돌 건수가 많다고 분석
      9.  
      10. [그림 3] 산업 분야별 라이선스 충돌을 포함하는 코드베이스 비율
      11. * 출처: 시높시스 ‘Open Source Security and Risk Analysis Report 2024’ Figure 6 번역
      12.  
      13. 컴퓨터 하드웨어 및 반도체 회사들은 소프트웨어와 펌웨어에 많이 의존하며, 상당 부분이 오픈소스 코드를 포함하고 있음
        1. 하드웨어 제품에 필수적인 소프트웨어, 펌웨어, 드라이버 등에 활용된 오픈소스 중 많은 부분이 배포 시 강력한 공유 요건을 가진 GPL 유형의 카피레프트 라이선스 하에 있음
      14. 소프트웨어 공급망에서 펌웨어, 드라이버 및 도구를 기업 간(하드웨어 설계자와 제조업체 간)에 공유함으로써 오픈소스가 출처 또는 라이선스 추적 없이 확산되는 결과 초래
      15. 라이선스 충돌 및 비준수 라이선스 존재 시, 법적 문제, 수익성 손실, 지적 재산권 손실, 교정 노력, 제품 출시 지연 등의 문제가 발생하므로 이를 해결하기 위한 관리가 반드시 필요
    3. 3) 소프트웨어 공급망 관리를 위한 소프트웨어 자재 명세서(SBOM)의 필요성
      1. SBOM은 소프트웨어 투명성을 높이고 구성요소의 출처를 문서화하여 코드 취약점 식별 및 해결을 지원
        1. 미국은 정부·공공기관에 공급하는 소프트웨어에 SBOM 제출을 의무화하고 국립표준기술원(NIST)의 보안 소프트웨어 개발 프레임워크(SSDF) 준수 증명을 요구하고 있음
      2. 소프트웨어에 포함된 모든 오픈소스 컴포넌트와 해당 컴포넌트의 라이선스, 버전 및 패치 상태를 목록화하여 정확한 SBOM을 만들고 최신 정보로 유지 관리하는 것은 코드의 품질, 규정 준수 및 보안 유지에 매우 중요
      3. 코드 품질 관점에서 SBOM의 존재는 소프트웨어 개발 라이프사이클 전반에 걸쳐 안전한 소프트웨어 개발 관행을 사용하는 공급자의 지표가 될 것
    4. 4) AI 코딩 도구로 인한 보안 및 IP(Intellectual Property, 지적재산권) 컴플라이언스 위험 보호 방법
      1. AI 코딩 도구를 사용하여 생성된 코드의 소유권, 저작권 및 라이선스 등 법적 문제에 주의해야 함
      2. GitHub Copilot 소송사건은 AI가 생성한 코드의 사용에 대한 법적 복잡성을 보여주는 사례임
        1. 자동 완성 코딩을 제공하는 클라우드 기반 AI 도구인 GitHub Copilot에서 자동 생성된 코드가 저작권법과 오픈소스 라이선스 요구사항을 모두 위반한다고 주장하며 GitHub, Microsoft, OpenAI를 상대로 집단 소송 제기
      3. AI 코딩 도구를 사용하는 개발자는 법적으로 허용되는 범위 내에서 도구를 사용, 저작권법 및 라이선스 요구사항 준수 필요
      4. 즉, 오픈소스 라이선스가 적용된 코드가 포함되어 있는지 확인하여 해당 코드를 제외하거나, 코드 스캐너를 활용하여 AI 코딩 도구가 생성한 코드에 대해 스니펫 분석*을 사용하여 오픈소스 라이선스가 적용되는 코드를 식별하여 관리하여야 함
        1. 스니펫은 개발자가 자신의 코드에 잘라 붙여넣기 한 작고 재사용 가능한 코드 조각을 의미하며, 스니펫 분석은 이러한 스니펫을 대상으로 개별 라인 코드의 원 출처인 오픈소스 프로젝트와 매칭하여 오픈소스 라이선스를 준수하는지 여부를 확인
    5. 5) 오픈소스 보안 우려
      1. 취약점 현황을 살펴보면 위험요소를 평가한 코드베이스의 84%에는 알려진 오픈소스 취약점 존재하며 그중 74%는 고위험 취약점 포함
        1. 2022년(48%) 대비 고위험 취약점이 54%(26% points) 증가한 수치임
      2.  
      3. [그림 4] 산업 분류별 고위험 취약점이 포함된 코드베이스 비율
      4. * 출처: 시높시스 ‘Open Source Security and Risk Analysis Report 2024’ Figure 3 번역
      5.  
      6. 산업 분야별로 고위험(심각도 점수 7점 이상) 취약점 비율을 살펴보면 컴퓨터 하드웨어 및 반도체 산업이 88%, 제조, 산업체 및 로봇 분야가 87%, 빅데이터, AI, BI, 머신러닝 분야는 66%가 영향을 받음
      7. 가장 낮은 비율을 차지하는 항공우주, 항공, 자동차, 운송, 물류 분야도 분야 전체의 3분의 1(33%)이 고위험 취약점을 포함
    6. 6) 오픈소스 컴포넌트, 최신 상태로 업데이트 필요
      1. 코드베이스의 91%가 컴포넌트의 최신 버전보다 10버전 이상 뒤처진 컴포넌트를 포함하고 있음
        1. 대다수의 오픈소스 사용자가 사용하는 컴포넌트를 업데이트하지 않는다는 것을 의미함
      2.  
      3. * 출처: 시높시스 ‘Open Source Security and Risk Analysis Report 2024’
      4.  
      5. 위험요소를 평가한 코드베이스의 14%에는 10년 이상된 취약점 포함
      6. 위험요소를 평가한 코드베이스의 평균 취약점 연령은 2.8년
        1. 평균 취약점 연령은 보안취약점이 공개된 후 지난 햇수를 의미함
      7. 위험요소를 평가한 코드베이스의 49%는 지난 24개월 이내에 개발 활동이 없는 컴포넌트를 포함하였으며, 1%에는 최소 12개월 이상 코드 유지 관리자 업데이트/패치를 진행하지 않은 컴포넌트도 포함됨
        1. ‘유지관리자’라는 용어는 오픈소스 프로젝트를 주도하는 기여자를 말하며 주로 코드 검토, 릴리스 관리, 보안 수정, 커뮤니티 관리 등의 역할을 함
      8. 오픈소스의 보안 및 라이선스 위험 최소화, 코드 가시성 향상, 안전한 소프트웨어 개발 및 운영을 위해, 오픈소스 목록을 보유하고 오픈소스의 취약점 및 업데이트 여부를 모니터링하는 프로세스를 갖추는 것이 필요

 

□ 주목할 만한 월간 이슈(3월)

  • (교육) 한국공개소프트웨어협회 리눅스재단 교육 분야 및 기술 협력 추진
    1. 한국공개소프트웨어협회는 리눅스재단 아시아(Linux Foundation APAC, LF APAC)와 만나 교육 분야 및 기술 협력을 추진하기로 협의
      1. 리눅스 재단은 2000년 설립된 오픈소스 비영리 단체로 삼성전자, 마이크로소프트, 메타, 구글, 레드햇 등을 주요 회원사로 두고 오픈소스 기반 다양한 최신 기술 개발을 총괄하는 글로벌 조직 역할을 담당함
    2. 이번 협력을 통해 올 하반기 'K-오픈소스X' 이름으로 인공지능(AI), 클라우드 등 최신기술 및 성공사례를 소개하는 글로벌 행사 진행 예정
    3. AI 전문가 양성을 위해 리눅스재단이 제공하는 교육 커리큘럼을 한국에 도입하는 방안도 추진

 

  • (공공조달) 큐브리드, 조달청 다수공급자계약을 통해 국방기술품질원과 계약체결
    1. 큐브리드, 조달청 디지털서비스몰을 통해 국방기술품질원과 1호 계약을 체결하고 오픈소스 DBMS 공급
      1. 디지털서비스몰은 지난해 9월 공공구매 활성화를 위해 조달청이 구축한 IT 상품·서비스 전용 공공조달 플랫폼
      2. 현재 조달청 디지털서비스몰 공개SW 부문에는 운영체제 2종, 데이터베이스 1종 3개의 상품이 등록되어 있음
    2. 지난해 ‘디지털서비스몰’에 공개SW 부문 최초로 다수공급자계약을 체결 후, 12월에 제품 등록 완료
      1. 다수공급자계약(MAS) 제도 : 서비스 품질 등에서 같거나 비슷한 종류의 용역을 수요기관이 선택할 수 있도록 2인 이상을 계약상대자로 하는 계약제도
    3. 큐브리드는 다양한 공공기관들이 MAS 제도를 통해 공개SW를 직접 구매할 수 있도록 시장을 조성해 나갈 예정

 

  • (로봇) 허깅페이스, 오픈소스 로봇 프로젝트 진행
    1. AI 저변 확대를 이끈 기업 중 하나인 허깅페이스가 개방형 로봇 프로젝트를 진행 중으로 AI에 이어 로봇 개발 시작
    2. 개방형 로봇 프로젝트는 로봇의 저변 확대를 위한 오픈소스 프로젝트로 오픈소스 기반 기계학습과 AI를 활용해 저비용 로봇 시스템을 설계, 구축 예정
    3. 테슬라 출신 AI 연구원으로 자율주행과 인간형 로봇인 테슬라 옵티머스 개발에 참여했던 레미 카데네가 현재 허깅페이스에 합류해 개방형 로봇 프로젝트를 수행 중

 

  • (AI) 오픈AI 소송 건 머스크, AI 챗봇 '그록' 오픈 소스로 공개
    1. xAI는 그록 AI 챗봇의 기반이 되는 대규모언어모델(LLM) ‘그록-1(Grok-1)’을 오픈소스로 공개
      1. 일론 머스크 테슬라 CEO가 지난해 11월 오픈AI의 대항마를 만들기 위해 xAI를 설립하고, 그록을 발표
      1. 그록은 오픈AI의 ‘챗GPT’와 유사한 개념의 생성형 AI 챗봇으로 오픈소스 AI 모델을 보유한 메타, 프랑스 미스트랄 등과 xAI를 연계할 수 있음
      1. 머스크 CEO는 X를 통해 챗봇 ‘그록(Grok)’의 오픈소스화 미리 발표
    2. 그록-1은 그록의 엔진 역할을 하며, 그록-1의 가중치와 아키텍처를 아파치 2.0 라이선스 하에 오픈소스로 공개하였으며, 3,140억 개의 매개변수(파라미터)로 구성된 MoE(Mixture of Experts) 모델로 JAX와 러스트 기반 위에서 학습
    3. 앞서 일론 머스크 CEO는 챗GPT 개발사 오픈AI가 AI를 개발해 인류의 이익이 아닌 상업적 이익을 추구, 창업 당시 공약을 어겼다면서 오픈AI와 샘 올트만CEO를 대상으로 소송 제기
      1. 일론 머스크 CEO는 합의를 위반한 오픈AI에 수십억 달러를 투자한 마이크로소프트를 포함한 모든 사람이 오픈AI의 기술로 재정적 이익을 얻지 못하도록 하는 금지 명령을 요구
      1. 오픈AI 측은 테슬라의 일부로 만들려고 시도했지만, 실패로 돌아가자 맹렬히 비난하고 있다고 주장

 

□ 시사점

  • 전 산업 분야에 걸쳐 오픈소스가 활용되고 있으며, 소프트웨어 내에서 재사용을 허용하는 퍼미시브 라이선스의 적용 비율이 높음
  • 라이선스 충돌 및 비준수 라이선스가 존재하면 법적 문제, 수익성 손실, 지적 재산권 손실, 교정 노력, 제품 출시 지연 등의 문제가 발생하므로 이를 해결하기 위한 관리가 반드시 필요
  • 코드 품질 관점에서 SBOM의 존재는 소프트웨어 개발 라이프사이클 전반에 걸쳐 안전한 소프트웨어 개발 관행을 사용하는 공급자의 지표가 될 것
  • AI 코딩 도구를 사용하는 개발자는 법적으로 허용되는 범위 내에서 도구를 사용, 저작권법 및 라이선스 요구사항 준수 필요

 

※ 참고 Reference

 

 

Creative Commons LicenseOpen UP에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.
.
.
2024
공개SW 가이드/보고서 - 번호, 제목, 작성자, 조회수, 작성
번호 제목 작성자 조회수 작성
공지 [2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file support 1 2024-01-03
공지 [2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file support 1 2024-01-03
공지 [2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file support 1 2024-01-03
공지 공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file support 1 2022-07-28
공지 공개소프트웨어 연구개발 수행 가이드라인 file OSS 1 2018-04-26
491 [4월 월간브리핑]오픈소스SW 기업의 라이선스 모델 전환 이슈 : 주요 논쟁과 전망 support 1 2024-04-24
490 [기획] 오픈소스SW의 경제적·사회적 가치 분석 : 기업 내 사용 현황 및 도전 요인 support 1 2024-04-24
489 오픈소스SW 라이선스 준수 체크리스트 – GPL, AGPL support 1 2024-04-24
488 [3월 월간브리핑]오픈소스 혁신을 위한 필수 조건 : 라이선스 및 보안 관리 support 1 2024-03-26
487 [리포트 브리핑] 자동차 산업에서 오픈소스의 현재와 미래 support 1 2024-03-26
486 [기획기사]미래차의 중심 소프트웨어와 주목받는 오픈소스의 가치 support 1 2024-03-26
485 오픈소스SW 라이선스 준수 체크리스트 – LGPL, EPL, CDDL support 1 2024-03-26
484 [인터뷰](사)한국공개소프트웨어협회 김택완 회장, “오픈소스SW, 안정성과 혁신성을 모두 보장하는 것이 핵심” support 1 2024-02-27
483 [2월 월간브리핑]생성AI, 오픈소스 생태계를 통해 성장 support 1 2024-02-27
482 오픈소스SW 라이선스 준수 체크리스트 – Apache-2.0, MIT, BSD support 1 2024-02-26
맨 위로
맨 위로