[4월 월간브리핑] 오픈소스 기술을 활용한 기술혁신으로 항공우주산업의 경쟁력 강화

• 최근 보안 취약점 발견으로 보안에 대한 우려가 높아지고 있어, 이에 대한 방안이 요구되며, 오픈소스 관리 제도화에 대한 목소리가 높아지고 있음
  1. 보안업체 시놉시스(Synosys)에 따르면, 대부분의 오픈소스 코드는 최소한 한개 이상의 취약점을 내포하고 있다고 발표함
     1. * 시놉시스는 17개 산업에 걸쳐 2400개 이상의 상업용 코드베이스들을 스캔한 결과임
     2. * 최소 한 개 이상의 취약점을 내포하고 있는 소프트웨어 코드베이스 : 81%
     3. * 4년 이상된 오픈소스 요소들을 사용하고 있는 소프트웨어 코드베이스 : 85%
     4. * 지난 2년 동안 개발자의 관리가 전혀 없었던 소프트웨어 코드베이스 : 88%
  2. 하지만 이는 지난해에 비해 코드에 대한 관리가 대체적으로 향상된 것으로 개발사들이 올바른 방향으로 가고 있다고 볼 수 있음
     1. * 작년에 발표된 보고서에 나타난 위 항목의 수치는 차례대로 84%, 85%, 91% 임
     2. * 또한, 가장 많이 익스플로잇 되는 상위 10개 고위험군 취약점이 발견되는 확률이 8%로 전년도(29%)에 비해 상당히 줄어들었음
  3. 또한, 오픈소스사용은 지속적으로 증가하고 있으며 그에 따른 위험요소도 상존함
     1. * 오픈소스는 오픈소스를 사용하지 않는 기업은 단 하나도 없다고 해도 과언이 아닐 정도로 광범위하게 퍼져 있으며, 2021년 시놉시스가 감사한 코드베이스의 78%가 오픈소스로, 모든 소프트웨어 개발행위에 오픈소스가 차지하는 비율을 무시할 수 없음
     2. * 오픈소스 사용자들 사이에서 최신화는 여전한 문제로 88%의 코드베이스들이 최신 버전이 이미 나와 있음에도 오래된 버전인 채로 사용되고 있음
  4. 오픈소스는 개발을 빠르고 쉽게 만들어 준다는 큰 장점을 가지고 있지만, 취약점이 개발자도 모르게 사용 가능하다는 단점도 가지고 있어 오픈소스에 대한 관리를 제도화하는 것에 대한 목소리가 점점 높아지고 있음
     1. * 소프트웨어 자재 명세서(SBOM) 개념도입으로 업데이트 관리 및 지속적인 사용자 교육 필요

• (플랫폼) 조달청, ‘IT상품·서비스 전용 공공조달 플랫폼’ 오픈
  1. 조달청은 IT 상품과 서비스 전용 공공조달 플랫폼인 '디지털서비스몰'을 운영한다고 밝힘
     1. * 디지털서비스몰은 클라우드, 빅데이터, 인공지능 등 IT 신기술 관련 상품과 서비스를 한 곳에 모아 편리하게 구매할 수 있도록 구축한 쇼핑몰
  2. 서비스몰은 클라우드, 상용 소프트웨어, 공개 소프트웨어 유지·관리, 데이터 거래, IT 전문가 지원 서비스 등 공공기관이 필요로 하는 다양한 IT상품·서비스를 공급
     1. * 아울러 간단한 정보화사업에 필요한 IT 전문가 지원 서비스를 카탈로그 계약방식으로 공급. 이와 함께 나라장터를 통해 발주되는 정보화 사업의 사전규격 공개, 공고, 낙찰현황 등 다양한 정보를 제공해 조달업체 등의 편의를 제공함

• (데이터) KETI, 스마트시티 데이터 허브기술 오픈소스로 공개
  1. 한국전자기술연구원(KETI)이 코로나19 역학조사 기간을 대폭 단축시킨 '스마트시티 데이터 허브 기술'을 공개하고 기술 확산에 나서고 있음
     1. * 스마트시티 데이터 허브는 도시 내 흩어진 방대한 데이터를 상호 연계하여 다양한 지능 서비스를 제공하는 개방형 사물인터넷(IoT) 플랫폼임
     2. * 스마트시티 데이터 허브 기술은 2020년 코로나19 역학조사 지원 시스템 기반기술로 확진자 활동 정보 분석에 활용
     3. * 오픈소스로 제공되는 City Data Hub는 모듈형 아키텍처를 채택하여 도시별 필요한 기능을 선택하여 시스템 구축이 가능하며, 필요한 모듈은 추가 개발하고 공개하여 City Data Hub 오픈소스 커뮤니티에 참여가능
  2. KETI는 2020년 스마트시티 데이터 허브 기술을 개발하고 현재는 대구광역시와 경기 시흥시에서 도시 서비스 실증을 진행하고 있음
     1. * KETI와 주요 개발기관은 데이터 코어, 보안, 분석 등 데이터 허브 필수·선택 모듈 총 8종을 홈페이지(www.citydatahub.kr)에 공개. 홈페이지에서 모듈별 역할과 상세 기능 확인가능

• (AI) 카카오브레인, 이미지 생성모델 ‘RQ-Transformer’ 오픈소스 커뮤니티에 공개
  1. 카카오브레인이 지난해 12월에 공개한 초거대 멀티모달(multimodal) AI ‘minDALL-E(민달리)의 업그레이드 버전인 이미지 생성 모델 ‘RQ-Transformer’를 오픈소스 커뮤니티 깃허브(GitHub)에 공개
     1. * 39억개의 매개변수(파라미터)로 구성된 RQ-Transformer는 3000만 쌍의 텍스트-이미지를 학습한 ‘text-to-image AI’ 모델로 계산 비용을 줄이고 이미지 생성 속도를 높인 동시에 이미지의 품질을 크게 향상시킨 모델
     2. * 고해상도의 이미지를 2차원의 코드맵으로 표현하는 기존 기술과 달리, RQ-Transformer는 3차원의 코드맵으로 표현된 이미지를 순차적으로 예측하여 생성하도록 학습된 이미지 생성 모델
  2. 카카오브레인은 독자적으로 개발한 기술을 기반으로, 생성된 컴퓨터 이미지의 품질을 개선하고, 적은 비용으로 훨씬 많은 데이터를 학습할 수 있도록 연구·개발을 이어갈 예정
     1. *카카오브레인은 “인간의 명령에 따라 이미지를 만들어내는 컴퓨터는 그 명령 뒤에 내재된 의도를 파악하고 이해하는 기술을 보여준다”며 “이번에 우리가 공개한 획기적인 text-to-image AI 모델이 인간과 컴퓨터가 자유롭게 대화하는 미래를 향한 여정의 첫 시작이 될 것“이라고 말함

• (SW) 한국 알(R) 사용자회, 통계 대중화 위해 ‘오픈통계패키지’ 개발
  1. 한국 알(R) 사용자회는 통계 대중화를 위해 통계 비전공자 및 일반인도 쉽게 사용할 수 있는 통계 패키지 소프트웨어 개발을 완료하여 인터넷에 공개함
     1. * 그간, 데이터를 분석하고 기초적인 통계 작업을 할 경우 통계 프로그램이 반드시 필요하지만, SAS/SPSS 등 고가의 상용 소프트웨어를 구매해야 함은 물론 영어로 되어 있어 일반인이나 통계학 학점을 따야 하는 통계 비전공 학생들도 어려움이 많았음
     2. * 통계 커뮤니티 회원들을 모태로 '한국 알(R) 사용자회' 비영리법인이 발족하면서 통계 대중화와 데이터 리터러시 함양, 디지털 불평등 해소를 위한 오픈 통계 패키지 개발을 시작함
  2. 오픈 통계 패키지(Rcmdr) 웹사이트에서 통계 패키지 설치는 물론 기초적인 통계 분석, 데이터 변환, 가설검정과 회귀분석, 다변량분석, 시각화 작업에 대한 노하우도 습득할 수 있어 데이터만 가지고 있으면 원스톱으로 기본적인 데이터 조작, 시각화 및 논문의 기본이 되는 통계 모형 개발과 가설검정, 다변량 분석과 문서 제작도 가능
     1. *'한국 알 사용자회'는 통계 대중화와 디지털 불평등 극복을 위해서 설치형과 서비스형 두 종류의 통계 패키지를 오픈소스 기여자의 자발적인 참여로 개발을 진행하고 있음. 누구나 무료로 라이선스에 구애받지 않고 자유로이 활용하는 것을 기치로 삼고 있는 오픈소스 소프트웨어 정신에 맞춰 데이터를 통한 가치 창출하는 시민활동도 이어나갈 예정

• (보안) 스프링프레임워크 ‘스프링’, REC 취약점 긴급 패치 배포
  1. 인기 자바 웹 애플리케이션 개발 프레임워크 '스프링'에 원격코드실행(RCE)이 가능한 제로데이 취약점이 발견. 긴급패치 배포
     1. * 스프링은 공식 블로그를 통해 취약점 픽스가 포함된 스프링 프레임워크 5.3.18버전과 5.2.20버전이 배포됨
     2. * 스프링은 자바 기반 애플리케이션 개발을 빠르고 효율적으로 진행할 수 있도록 지원하는 오픈소스 프레임워크. 국내에서도 널리 쓰이고 있으며 정부 정보시스템 개발에 사용되는 전자정부프레임워크도 스프링 기반임
  2. 아파치 톰캣 서버에서 공통 설정을 사용해 스프링 애플리케이션을 배포한 경우, 해커가 스프링4셸 취약점을 악용해 원격코드를 실행할 수 있다는 사실을 확인
     1. * 원격코드실행은 해커가 시스템에 원격 접속해 악성코드를 실행할 수 있어, 파급력이 큰 취약점으로 분류함
     2. * 스프링 프레임워크에서 발견된 이번 취약점(CVE-2022-22965)은 악용 방법이 쉽고, 원격코드 실행이 가능해 악용될 경우 파급력이 크다는 점에서 빠른 대응이 필요

• (클라우드) 오픈인프라스트럭처재단, 오픈스택의 25번째 버전 `요가' 배포
  1. 오픈인프라스트럭처재단, 올해로 출시 10주년 된 오픈소스 IaaS 플랫폼인 `오픈스택'의 25번째 버전 `요가'를 배포한다고 발표
     1. * 오픈인프라스트럭처재단은 오픈스택 개발 거버넌스를 관리하기 위한 리눅스재단 산하의 단체임
     2. * 시장 초기, 전 세계 통신사업자들이 오픈스택 기반의 퍼블릭 클라우드를 선보였으나 현재는 사내 IT 시스템의 인프라 플랫폼으로, 4G 및 5G 통신인프라의 토대로 자리잡음
     3. * 현재 오픈스택이 관리하는 CPU 코어의 수는 2천500만 개 이상으로 66%까지 성장, 세계 선두권 통신사업자의 90%가 오픈스택을 사용
  2. 이번 오픈스택 요가는 엔비디아 스마트NIC, DPU 지원을 포함하고 프로메테우스와 쿠버네티스 호환성 강화
     1. * 엔비디아는 오픈스택 배포에서 기능(암호화/복호화, 방화벽, 패킷 정밀 검사, 라우팅, 스토리지 네트워킹)들이 더 빠르게 작동하게 함
     2. * 오픈스택 컴퓨트 요소인 노바는 스마트NIC을 활용해 보안을 강화하고 RAM 자원을 활용해 부하를 줄일 수 있음
     3. * 오픈스택의 컨테이너 및 배포 도구인 콜라(Kolla)는 프로메테우스 리브버트 내보내기를 지원하고 가상네트워킹 도구인 태커(Tacker)는 컨테이너 네트워크 기능을 배포할 수 있음
  3. 오픈스택의 다음 정식 릴리스는 10월로 예정된 '제드(Zed)'임
  4. 2023년부터 오픈스택의 업데이트 주기 변경될 예정
     1. * 오픈스택은 그동안 1년에 2회 정식 버전을 출시해왔지만 2023년부터는 1년에 1개 메이저업데이트와 1개의 마이너업데이트로 출시

• (네트워크) 전문가가 추천한 네트워크·보안 리눅스 분야 오픈소스 툴
  1. * 레드햇 제품 보안 부문 부사장 빈센트 대넌, 블루브래킷(BluBracket) 제품 성장 책임자 케이시 비슨, 블루브래킷 보안 자문 위원 앤드루 슈미트, 헌트리스(Huntress) 선임 보안 연구원 존 해몬드 등 조언
  2. * 목록에 포함된 툴 대부분은 무료 오픈소스이며, 모두 엔터프라이즈 취약점 평가 및 침투 테스트 프로그램에서 필수적인 툴로 통함

  3. 구분	내용
     에어크랙-ng (와이파이 네트워크 보안)	⋅무선 네트워크 및 와이파이 프로토콜의 보안 테스트를 위한 툴 모음. 보안 전문가의 네트워크 관리, 해킹, 침투 테스트에 사용 ⋅주로 리눅스에서 사용하지만 윈도우, 맥OS, 프리BSD, 오픈BSD, 넷BSD와 솔라리스, 심지어 이컴스테이션(eComStation) 2에서도 작동
     임패킷 (네트워크 프로토콜 침투 테스트)	⋅시큐어오스(SecureAuth)에서 개발한 임패킷((Impacket)은 네트워크 프로토콜과 서비스의 침투 테스트를 위한 필수적인 툴 모음으로, 네트워크 프로토콜을 다루기 위한 파이썬 클래스로 구성. 패킷, SMB1-3, MSRPC 같은 일부 프로토콜은 프로토콜 구현 자체에 대한 저수준 액세스를 제공하는 데 초점을 둠
     NCAT (네트워크 연결 탐침)	⋅NMAP을 만든 회사에서 만든 NCAT은 인기 있는 NETCAT의 뒤를 잇는 툴. 명령줄에서 네트워크를 통해 데이터를 읽고 쓰는 과정을 편리하게 해주지만 SSL 암호화와 같은 기능을 추가하기도 함.
     NMAP (네트워크 스캔 및 매핑)	⋅NMAP은 원격 기기에서 액세스할 수 있는 포트를 발견하는 명령줄 네트워크 스캔 툴. 많은 보안 전문가가 NMAP을 이 목록의 툴 중에서도 가장 중요하고 효과적인 툴로 침투 테스터에게는 필수적임
     프록시체인스 (네트워크 터널링)	⋅네트워크 터널링에서 사실상의 표준으로 통하는 프록시체인스(ProxyChains)는 보안 전문가가 자신의 공격 리눅스 시스템에서 다양한 침해된 시스템을 통해 프록시 명령을 실행해 네트워크 경계와 방화벽을 가로질러 이동하고 탐지를 회피할 수 있게 해줌. 리눅스 운영체제를 사용해 네트워크에서 ID를 숨기고자 할 때 사용함
     리스폰더 (DNS 시스템에 대한 공격 시뮬레이션)	⋅리스폰더(Responder)는 NBT-NS(NetBIOS Name Service), LLMNR(Link-Local Multicast Name Resolution) 및 mDNS(multicast DNS) 포이즈너로, 침투 테스터가 DNS 서버에서 발견된 기록이 없을 때 이름 확인 프로세스 중에 인증 정보 및 기타 데이터를 훔치기 위한 공격을 시뮬레이션하는 데 사용함
     sqlmap (데이터베이스 서버에서 SQL 주입 결함 탐색)	⋅qlmap은 데이터베이스 서버를 점유하는 데 사용 가능한 SQL 주입 결함을 탐지 및 악용하는 프로세스를 자동화하는 오픈소스 침투 테스트 툴. 강력한 탐지 엔진이 포함돼 있으며 데이터베이스 핑거프린팅, 기반 파일 시스템 액세스, 범위 외 연결을 통해 운영체제에서 명령 실행하기를 포함한 다양한 침투 테스트용 기능 제공
     와이어샤크 (인기 있는 네트워크 프로토콜 분석기)	와이어샤크(Wireshark)는 1998년에 처음 나온 네트워크 프로토콜 분석기, 또는 일반적인 용어로 네트워크 인터페이스 스니퍼이며 최신 버전은 3.6.3임 ⋅와이어샤크를 사용해 기기의 네트워크 활동을 관찰해 어느 기기와 통신하는지(IP 주소), 통신하는 이유가 무엇인지를 알아볼 수 있음.  자체 트래픽만이 아닌 전체 네트워크 트래픽을 관측할 수 있음

※ 참고문헌 Reference

• 우주로 쏘아 올린 오픈소스, Open UP, 2022.04.26.
  https://www.oss.kr/oss_guide/show/8a49b70f-af95-4fe2-9fc4-9d772b6660dc
• 거의 모든 오픈소스들에 보안 취약점이 한 개 이상 존재한다, 보안뉴스, 2022.04.13.
  https://www.boannews.com/media/view.asp?idx=106024
• 조달청, ‘IT상품·서비스 전용 공공조달 플랫폼’ 오픈, 디지털타임스, 2022.04.14.
  http://www.dt.co.kr/contents.html?article_no=2022041402109931731004
• KETI, 스마트시티 데이터 허브기술 오픈소스 공개, 전자신문, 2021.04.14.
  https://www.etnews.com/20220414000254
• 카카오브레인, 이미지 생성 모델 ‘RQ-Transformer’ 오픈소스 커뮤니티에 공개, 데일리한국, 2022.04.19.
  https://daily.hankooki.com/news/articleView.html?idxno=814099
• 통계 대중화 위한 '오픈 통계 패키지' 나왔다, 오마이뉴스, 2022.04.18.
  hhttp://www.ohmynews.com/NWS_Web/View/at_pg.aspx?CNTN_CD=A0002827262
• 서울시, ‘S-Map’ 디지털 실험공간 오픈랩 서비스, 서울일보, 2022.04.19.
  https://www.seoulilbo.com/news/articleView.html?idxno=537485
• 인기 자바 프레임워크 '스프링', REC 취약점 긴급 패치, ZDNetKorea, 2022.04.01.
  https://zdnet.co.kr/view/?no=20220401124537
• 오픈스택 10주년, 25번째 버전 '요가' 공개, ZDNet Korea, 2022.04.01.
  https://zdnet.co.kr/view/?no=20220401111706
• '전문가들이 추천한' 네트워크·보안 리눅스 툴 10선, CIO, 2022.04.14.
  https://www.ciokorea.com/t/13933/%EC%98%A4%ED%94%88%EC%86%8C%EC%8A%A4/232444
• 공개SW 포털(oss.kr) ‘공개SW 소식’ 참조