[3월 월간브리핑]오픈소스 혁신을 위한 필수 조건 : 라이선스 및 보안 관리
support
게시글 작성 시각 2024-03-26 13:28:42
오픈소스 혁신을 위한 필수 조건 : 라이선스 및 보안 관리
- Open UP -
- 최근 클라우드 서비스의 증가, 오픈소스로 학습된 AI 생성 코드 등으로 더욱 복잡해진 소프트웨어 생태계의 투명성을 높이고 취약점 관리를 위해 소프트웨어 자재 명세서(SBOM)가 필요
- 소프트웨어에 포함된 모든 오픈소스 컴포넌트와 해당 컴포넌트의 라이선스, 버전 및 패치 상태를 목록화하여 정확한 SBOM을 유지 관리하는 것은 코드의 품질, 규정 준수 및 보안 유지에 매우 중요
- 시높시스의 ‘2024 오픈소스 보안 및 위험 분석’ 보고서에 따르면 전체 코드베이스 中 96%가 오픈소스를 포함, 이 중 53%에서 라이선스 충돌이 있는 코드를 사용하였고, 위험 평가를 진행한 코드베이스 中 고위험 취약점은 2022년 48%에서 2023년 74%로 급격히 증가
- 소프트웨어에 포함된 모든 오픈소스 컴포넌트와 해당 컴포넌트의 라이선스, 버전 및 패치 상태를 목록화하여 정확한 SBOM을 유지 관리하는 것은 코드의 품질, 규정 준수 및 보안 유지에 매우 중요
- AI 코딩 도구를 사용하여 생성된 코드는 소유권, 저작권 및 라이선스 등 법적 문제에 주의해야 함
- AI 코딩 도구가 생성한 코드에 대해 스니펫 분석*을 사용하여 오픈소스 라이선스가 적용되는 코드를 식별하여 관리하여야 함
- 스니펫 분석은 개별 라인의 코드를 원출처인 오픈소스 프로젝트와 매칭하여 분석
- AI 코딩 도구가 생성한 코드에 대해 스니펫 분석*을 사용하여 오픈소스 라이선스가 적용되는 코드를 식별하여 관리하여야 함
- 2024 OSSRA 보고서, 소프트웨어에서 오픈소스의 라이선스, 보안, 위험에 대한 식별, 추적 및 관리의 중요성 강조
- 최근 소프트웨어 생태계는 오픈소스의 증가뿐만 아니라 클라우드 서비스의 증가, 새로운 라이선싱 제도, 그리고 오픈소스를 사용하여 학습된 AI 생성 코드 등으로 인해 더욱 복잡해지고 있음
- ‘2024 오픈소스 보안 및 위험 분석(OSSRA) 보고서’에 따르면 오픈소스 라이선스, 컴플라이언스, 보안 및 코드 품질, 위험에 대한 심층적인 분석을 제공하고 소프트웨어에서 오픈소스 식별, 추적 및 관리의 중요성을 강조하며 위험 관리를 위한 권고사항을 제공
- 시높시스에서 발표한 이 보고서는 2023년 17개 산업 1,067개의 상용 코드베이스를 대상으로 분석한 결과임
- 코드베이스는 응용 프로그램 또는 서비스를 구성하는 코드 및 관련 라이브러리를 뜻함
- ‘2024 오픈소스 보안 및 위험 분석 보고서’의 주요 내용
- 1) 오픈소스의 사용 현황
- 전체 1,067개의 코드베이스 중 96%에 오픈소스가 포함되어 있으며, 산업 분야별로 살펴보면 전 산업 분야에 걸쳐 오픈소스가 활용되고 있음
- [그림 1] 1,067개의 코드베이스의 산업 분야별 오픈소스 포함 비율
- * 출처: 시높시스 ‘Open Source Security and Risk Analysis Report 2024’ Figure 1 번역
- 2) 오픈소스 라이선스 분석
- 전체 코드베이스에서 발견된 오픈소스의 92%가 MIT 라이선스이며, Apache, BSD 등 소프트웨어 내에서 재사용을 허용하는 퍼미시브 라이선스의 비율이 높게 나타남
- 전체 코드베이스의 절반 이상인 53%에서 오픈소스 라이선스 충돌이 있는 코드 사용, 31%는 식별 가능한 라이선스가 없거나 사용자 정의 라이선스를 사용
- Creative Commons 라이선스, LGPL, GPL에서 라이선스 충돌 비율이 높음
- Creative Commons 라이선스는 소프트웨어를 위한 라이선스가 아니므로 사용하지 않을 것을 권장
- 가장 일반적인 카피레프트 라이선스인 GPL 코드는 상용/클로즈드 소스 소프트웨어에 포함될 때 충돌 발생 가능
- [그림 2] 충돌이 발견된 상위 10개 라이선스 비율
- * 출처: 시높시스 ‘Open Source Security and Risk Analysis Report 2024’
- 컴퓨터 하드웨어 및 반도체(92%), 제조업,산업,로보틱스(81%) 산업에서 높은 비율로 라이선스 충돌 발생
- 소프트웨어를 온프레미스 제품으로 라이선스 및 배포하는 산업은 제한적인 라이선스가 적용되어 충돌 건수가 많다고 분석
- [그림 3] 산업 분야별 라이선스 충돌을 포함하는 코드베이스 비율
- * 출처: 시높시스 ‘Open Source Security and Risk Analysis Report 2024’ Figure 6 번역
- 컴퓨터 하드웨어 및 반도체 회사들은 소프트웨어와 펌웨어에 많이 의존하며, 상당 부분이 오픈소스 코드를 포함하고 있음
- 하드웨어 제품에 필수적인 소프트웨어, 펌웨어, 드라이버 등에 활용된 오픈소스 중 많은 부분이 배포 시 강력한 공유 요건을 가진 GPL 유형의 카피레프트 라이선스 하에 있음
- 소프트웨어 공급망에서 펌웨어, 드라이버 및 도구를 기업 간(하드웨어 설계자와 제조업체 간)에 공유함으로써 오픈소스가 출처 또는 라이선스 추적 없이 확산되는 결과 초래
- 라이선스 충돌 및 비준수 라이선스 존재 시, 법적 문제, 수익성 손실, 지적 재산권 손실, 교정 노력, 제품 출시 지연 등의 문제가 발생하므로 이를 해결하기 위한 관리가 반드시 필요
- 3) 소프트웨어 공급망 관리를 위한 소프트웨어 자재 명세서(SBOM)의 필요성
- SBOM은 소프트웨어 투명성을 높이고 구성요소의 출처를 문서화하여 코드 취약점 식별 및 해결을 지원
- 미국은 정부·공공기관에 공급하는 소프트웨어에 SBOM 제출을 의무화하고 국립표준기술원(NIST)의 보안 소프트웨어 개발 프레임워크(SSDF) 준수 증명을 요구하고 있음
- 소프트웨어에 포함된 모든 오픈소스 컴포넌트와 해당 컴포넌트의 라이선스, 버전 및 패치 상태를 목록화하여 정확한 SBOM을 만들고 최신 정보로 유지 관리하는 것은 코드의 품질, 규정 준수 및 보안 유지에 매우 중요
- 코드 품질 관점에서 SBOM의 존재는 소프트웨어 개발 라이프사이클 전반에 걸쳐 안전한 소프트웨어 개발 관행을 사용하는 공급자의 지표가 될 것
- SBOM은 소프트웨어 투명성을 높이고 구성요소의 출처를 문서화하여 코드 취약점 식별 및 해결을 지원
- 4) AI 코딩 도구로 인한 보안 및 IP(Intellectual Property, 지적재산권) 컴플라이언스 위험 보호 방법
- AI 코딩 도구를 사용하여 생성된 코드의 소유권, 저작권 및 라이선스 등 법적 문제에 주의해야 함
- GitHub Copilot 소송사건은 AI가 생성한 코드의 사용에 대한 법적 복잡성을 보여주는 사례임
- 자동 완성 코딩을 제공하는 클라우드 기반 AI 도구인 GitHub Copilot에서 자동 생성된 코드가 저작권법과 오픈소스 라이선스 요구사항을 모두 위반한다고 주장하며 GitHub, Microsoft, OpenAI를 상대로 집단 소송 제기
- AI 코딩 도구를 사용하는 개발자는 법적으로 허용되는 범위 내에서 도구를 사용, 저작권법 및 라이선스 요구사항 준수 필요
- 즉, 오픈소스 라이선스가 적용된 코드가 포함되어 있는지 확인하여 해당 코드를 제외하거나, 코드 스캐너를 활용하여 AI 코딩 도구가 생성한 코드에 대해 스니펫 분석*을 사용하여 오픈소스 라이선스가 적용되는 코드를 식별하여 관리하여야 함
- 스니펫은 개발자가 자신의 코드에 잘라 붙여넣기 한 작고 재사용 가능한 코드 조각을 의미하며, 스니펫 분석은 이러한 스니펫을 대상으로 개별 라인 코드의 원 출처인 오픈소스 프로젝트와 매칭하여 오픈소스 라이선스를 준수하는지 여부를 확인
- 5) 오픈소스 보안 우려
- 취약점 현황을 살펴보면 위험요소를 평가한 코드베이스의 84%에는 알려진 오픈소스 취약점 존재하며 그중 74%는 고위험 취약점 포함
- 2022년(48%) 대비 고위험 취약점이 54%(26% points) 증가한 수치임
- [그림 4] 산업 분류별 고위험 취약점이 포함된 코드베이스 비율
- * 출처: 시높시스 ‘Open Source Security and Risk Analysis Report 2024’ Figure 3 번역
- 산업 분야별로 고위험(심각도 점수 7점 이상) 취약점 비율을 살펴보면 컴퓨터 하드웨어 및 반도체 산업이 88%, 제조, 산업체 및 로봇 분야가 87%, 빅데이터, AI, BI, 머신러닝 분야는 66%가 영향을 받음
- 가장 낮은 비율을 차지하는 항공우주, 항공, 자동차, 운송, 물류 분야도 분야 전체의 3분의 1(33%)이 고위험 취약점을 포함
- 취약점 현황을 살펴보면 위험요소를 평가한 코드베이스의 84%에는 알려진 오픈소스 취약점 존재하며 그중 74%는 고위험 취약점 포함
- 6) 오픈소스 컴포넌트, 최신 상태로 업데이트 필요
- 코드베이스의 91%가 컴포넌트의 최신 버전보다 10버전 이상 뒤처진 컴포넌트를 포함하고 있음
- 대다수의 오픈소스 사용자가 사용하는 컴포넌트를 업데이트하지 않는다는 것을 의미함
- * 출처: 시높시스 ‘Open Source Security and Risk Analysis Report 2024’
- 위험요소를 평가한 코드베이스의 14%에는 10년 이상된 취약점 포함
- 위험요소를 평가한 코드베이스의 평균 취약점 연령은 2.8년
- 평균 취약점 연령은 보안취약점이 공개된 후 지난 햇수를 의미함
- 위험요소를 평가한 코드베이스의 49%는 지난 24개월 이내에 개발 활동이 없는 컴포넌트를 포함하였으며, 1%에는 최소 12개월 이상 코드 유지 관리자 업데이트/패치를 진행하지 않은 컴포넌트도 포함됨
- ‘유지관리자’라는 용어는 오픈소스 프로젝트를 주도하는 기여자를 말하며 주로 코드 검토, 릴리스 관리, 보안 수정, 커뮤니티 관리 등의 역할을 함
- 오픈소스의 보안 및 라이선스 위험 최소화, 코드 가시성 향상, 안전한 소프트웨어 개발 및 운영을 위해, 오픈소스 목록을 보유하고 오픈소스의 취약점 및 업데이트 여부를 모니터링하는 프로세스를 갖추는 것이 필요
- 코드베이스의 91%가 컴포넌트의 최신 버전보다 10버전 이상 뒤처진 컴포넌트를 포함하고 있음
- 1) 오픈소스의 사용 현황
□ 주목할 만한 월간 이슈(3월)
- (교육) 한국공개소프트웨어협회 리눅스재단 교육 분야 및 기술 협력 추진
- 한국공개소프트웨어협회는 리눅스재단 아시아(Linux Foundation APAC, LF APAC)와 만나 교육 분야 및 기술 협력을 추진하기로 협의
- 리눅스 재단은 2000년 설립된 오픈소스 비영리 단체로 삼성전자, 마이크로소프트, 메타, 구글, 레드햇 등을 주요 회원사로 두고 오픈소스 기반 다양한 최신 기술 개발을 총괄하는 글로벌 조직 역할을 담당함
- 이번 협력을 통해 올 하반기 'K-오픈소스X' 이름으로 인공지능(AI), 클라우드 등 최신기술 및 성공사례를 소개하는 글로벌 행사 진행 예정
- AI 전문가 양성을 위해 리눅스재단이 제공하는 교육 커리큘럼을 한국에 도입하는 방안도 추진
- 한국공개소프트웨어협회는 리눅스재단 아시아(Linux Foundation APAC, LF APAC)와 만나 교육 분야 및 기술 협력을 추진하기로 협의
- (공공조달) 큐브리드, 조달청 다수공급자계약을 통해 국방기술품질원과 계약체결
- 큐브리드, 조달청 디지털서비스몰을 통해 국방기술품질원과 1호 계약을 체결하고 오픈소스 DBMS 공급
- 디지털서비스몰은 지난해 9월 공공구매 활성화를 위해 조달청이 구축한 IT 상품·서비스 전용 공공조달 플랫폼
- 현재 조달청 디지털서비스몰 공개SW 부문에는 운영체제 2종, 데이터베이스 1종 3개의 상품이 등록되어 있음
- 지난해 ‘디지털서비스몰’에 공개SW 부문 최초로 다수공급자계약을 체결 후, 12월에 제품 등록 완료
- 다수공급자계약(MAS) 제도 : 서비스 품질 등에서 같거나 비슷한 종류의 용역을 수요기관이 선택할 수 있도록 2인 이상을 계약상대자로 하는 계약제도
- 큐브리드는 다양한 공공기관들이 MAS 제도를 통해 공개SW를 직접 구매할 수 있도록 시장을 조성해 나갈 예정
- 큐브리드, 조달청 디지털서비스몰을 통해 국방기술품질원과 1호 계약을 체결하고 오픈소스 DBMS 공급
- (로봇) 허깅페이스, 오픈소스 로봇 프로젝트 진행
- AI 저변 확대를 이끈 기업 중 하나인 허깅페이스가 개방형 로봇 프로젝트를 진행 중으로 AI에 이어 로봇 개발 시작
- 개방형 로봇 프로젝트는 로봇의 저변 확대를 위한 오픈소스 프로젝트로 오픈소스 기반 기계학습과 AI를 활용해 저비용 로봇 시스템을 설계, 구축 예정
- 테슬라 출신 AI 연구원으로 자율주행과 인간형 로봇인 테슬라 옵티머스 개발에 참여했던 레미 카데네가 현재 허깅페이스에 합류해 개방형 로봇 프로젝트를 수행 중
- (AI) 오픈AI 소송 건 머스크, AI 챗봇 '그록' 오픈 소스로 공개
- xAI는 그록 AI 챗봇의 기반이 되는 대규모언어모델(LLM) ‘그록-1(Grok-1)’을 오픈소스로 공개
- 일론 머스크 테슬라 CEO가 지난해 11월 오픈AI의 대항마를 만들기 위해 xAI를 설립하고, 그록을 발표
- 그록은 오픈AI의 ‘챗GPT’와 유사한 개념의 생성형 AI 챗봇으로 오픈소스 AI 모델을 보유한 메타, 프랑스 미스트랄 등과 xAI를 연계할 수 있음
- 머스크 CEO는 X를 통해 챗봇 ‘그록(Grok)’의 오픈소스화 미리 발표
- 그록-1은 그록의 엔진 역할을 하며, 그록-1의 가중치와 아키텍처를 아파치 2.0 라이선스 하에 오픈소스로 공개하였으며, 3,140억 개의 매개변수(파라미터)로 구성된 MoE(Mixture of Experts) 모델로 JAX와 러스트 기반 위에서 학습
- 앞서 일론 머스크 CEO는 챗GPT 개발사 오픈AI가 AI를 개발해 인류의 이익이 아닌 상업적 이익을 추구, 창업 당시 공약을 어겼다면서 오픈AI와 샘 올트만CEO를 대상으로 소송 제기
- 일론 머스크 CEO는 합의를 위반한 오픈AI에 수십억 달러를 투자한 마이크로소프트를 포함한 모든 사람이 오픈AI의 기술로 재정적 이익을 얻지 못하도록 하는 금지 명령을 요구
- 오픈AI 측은 테슬라의 일부로 만들려고 시도했지만, 실패로 돌아가자 맹렬히 비난하고 있다고 주장
- xAI는 그록 AI 챗봇의 기반이 되는 대규모언어모델(LLM) ‘그록-1(Grok-1)’을 오픈소스로 공개
□ 시사점
- 전 산업 분야에 걸쳐 오픈소스가 활용되고 있으며, 소프트웨어 내에서 재사용을 허용하는 퍼미시브 라이선스의 적용 비율이 높음
- 라이선스 충돌 및 비준수 라이선스가 존재하면 법적 문제, 수익성 손실, 지적 재산권 손실, 교정 노력, 제품 출시 지연 등의 문제가 발생하므로 이를 해결하기 위한 관리가 반드시 필요
- 코드 품질 관점에서 SBOM의 존재는 소프트웨어 개발 라이프사이클 전반에 걸쳐 안전한 소프트웨어 개발 관행을 사용하는 공급자의 지표가 될 것
- AI 코딩 도구를 사용하는 개발자는 법적으로 허용되는 범위 내에서 도구를 사용, 저작권법 및 라이선스 요구사항 준수 필요
※ 참고 Reference
- 2024 Open Source Security and Risk Analysis Report,, Synopsys, 2024.3.14.확인
https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html - 2023년, 고위험 오픈소스 취약점 급증했다…시놉시스 보고서, ITWorld, 2024.2.29.,
https://www.itworld.co.kr/news/327340 - 경기침체로 SW 취약점 관리 인력 부족···고위험 취약점 1.5배 증가, 데이터넷, 2024.3.13.,
https://www.datanet.co.kr/news/articleView.html?idxno=191700 - 오픈AI 소송 건 머스크, AI 챗봇 '그록' 오픈 소스로 공개, 이데일리, 2024.03.11.,
https://www.edaily.co.kr/news/read?newsId=03772006638822336&mediaCodeNo=257 - 일론 머스크의 xAI 챗봇 '그록' 오픈소스로 공개, 디지털투데이, 2024.03.18.,
https://www.digitaltoday.co.kr/news/articleView.html?idxno=509968 - 큐브리드, 국방기술품질원.조달청 다수공급자계약 오픈소스 DBMS 공급, CCTV뉴스, 2024.02.27.,
https://www.cctvnews.co.kr/news/articleView.html?idxno=236871 - 허깅페이스, AI 이어 오픈소스 로봇 프로젝트 시작, 지디넷코리아, 2024.03.08.,
https://zdnet.co.kr/view/?no=20240308084701 - 한국공개SW협회 “리눅스재단 AI 교육, 한국어로 준비", 디지털데일리, 2024.03.07.,
https://ddaily.co.kr/page/view/2024030717340138602 - 공개SW 포털(oss.kr) ‘공개SW 소식’ 참조
Open UP에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.
.
.
2024
0개 댓글