EU는 공공서비스에서의 SW공급망 강화를 위해 FOSSEPS(Free and Open Source Software for European Public Services) 파일럿 프로젝트를 발표했다. 공공서비스에서 사용하고 있는 공개SW 정보를 수집하고 중요도와 위험도가 높은 공개SW 프로젝트를 선정해 별도의 보안 향상을 위한 지원을 제공하고자 한다. 민간 SW보안 포럼 OpenSSF에서도 알파-오메가 프로젝트를 통해 중요·위험도가 높은 공개SW를 선정·관리하고 있으며, 미국 백악관도 민관 미팅에서 중요 공개SW 선정·관리의 필요성을 제기하였다. 공개SW가 선택이 아닌 필수인 만큼 국내에서도 안전한 공개SW 활용을 위한 대응책 마련이 필요하다.
EU has started FOSSEPS (Free Open Source Software for European Public Services) pilot project to improve software supply chain for public services. In the project, all the information of open source software used in public services is to be collected, and highly critical open source software projects are to be supported to secure the entire software. In OpenSSF, software security forum, all the high-risk software is to be identified and secured through Alpha-Omega project, and the same issue has been raised in the Whitehouse meeting. Since open source software is not a choice but a necessity, the way to use open source software safely should be set-up also in Korea.
유럽 의회(European Parliament)와 집행위원회(European Commission)는 유럽 공개 SW 생태계 강화를 위해 2022년 2월에 FOSSEPS 파일럿 프로젝트를 발표했다. 회원국 공공서비스 대부분에 활용되고 있는 공개SW2)에 대해 지속가능성, 보안성 강화, SW자산 공유화를 통해 공개SW 생태계를 강화하겠다는 취지이다. 프로젝트의 주요 내용으로는 공공서비스에서 개발·활용 중인 공개SW 정보를 카탈로그로 관리하고 위험한(critical) 공개 SW 프로젝트를 선정해 보안성 강화를 위한 협력체계 구축을 제시하고 있다. Log4j3) 사태와 같이 SW공급망4)을 통해 발생할 수 있는 보안 위협에 대비하고, 공개SW를 유럽의 공유 자산으로 인정하고 관리하겠다는 측면에서 기존의 공개SW 정책을 새로운 시각으로 확장하고 있다.
EU는 2020년 10월, 공공 및 기술의 혁신을 위해 ‘Think Open’이라는 타이틀을 내걸어 「공개SW 전략 2020-2023」5)을 발표하고 공개SW 활성화를 촉진해오고 있다. 회원국 간의 상호운용성 향상을 위해 추진된 ISA2 프로그램을 Interoperable Europe으로 확대 개편하고, 디지털 서비스 전담 부처 DIGIT6)에 공개SW 전략 수립 및 정책 추진 조직인 OSPO(Open Source Program Office) 기능을 부여해 공개SW 기반 조성을 위한 조직 체계를 구축하였다. 이러한 조직적 기반과 유럽 의회의 예산 편성 지원7)을 바탕으로 DIGIT는 공개SW에 대한 지속가능성, 보안성 강화, SW자산 공유화를 목표로 설정한 FOSSEPS 프로젝트를 개설하였다.
FOSSEPS는 주요 업무 패키지를 (1) 유럽 앱 카탈로그 벤치마킹, (2) EU 앱 카탈로그 생성, (3) 중요 공개SW 저장소 생성, (4) 공개SW 협력8), (5) 프로젝트 확산, (6) 교훈 문서화 이렇게 총 6가지로 정의하였다. 이 중 (3)은 SW공급망 보안 강화와 관련된 내용으로, 이를 위해 중요SW9) 에 대한 정의, 중요SW 목록화, EU 공공서비스 내 중요SW 조사, Top-30 중요 SW 선정, 해당 SW프로젝트와의 위험성 대응 협력을 계획하고 있다. EU 공공서비스 내에서 사용하고 있는 중요SW를 조사하기 위해 DIGIT는 중요SW 조사 가이드10)를 배포하고 온라인 조사 사이트11)를 통해 관련 정보를 입력하도록 하였다. 조사를 통해 선정된 최상위 중요 SW는 EU에서 관리하고 SW프로젝트 개발팀과의 긴밀한 협력체계를 유지함으로써 개발 중단, 취약점 노출 등 위험에 대응하고 공공서비스에서의 안전한 공개SW 활용 환경을 조성하고 있다.
글로벌 기업의 OpenSSF를 통한 협력
SW공급망 강화를 위한 움직임은 유럽 공공영역에서뿐만 아니라 글로벌 선도기업, 즉 민간 영역에서도 자체적인 협력체계 구성과 같은 형태로 나타났다. 리눅스 재단 프로젝트의 일환으로 공개SW 보안 강화를 위해 범산업적 커뮤니티 OpenSSF12)가 2020년에 결성되었다. 개발·테스트·투자 및 인프라 구축 과정에서의 안전한 공개SW 활용을 목적으로 교육·훈련, 정보공유 등을 수행하고 있으며, 구글, MS, IBM, 아마존, 인텔, 메타 등 글로벌 기업 다수가 참여하고 있다.
SW공급망 강화를 구현하기 위해 OpenSSF는 중요SW를 식별하고 이에 대한 대응 체계를 구축하는 알파-오메가 프로젝트를 발표하였다.13) 알파-오메가 프로젝트는 최상위 중요SW를 식별하고 이를 관리하는 알파 프로젝트와, 롱 테일(long tail)에 포함되는 다수의 중요SW를 자동화된 방식으로 모니터링하는 오메가 프로젝트로 구성된다. 최상위 중요SW는 위험성 지표에 기반해 OpenSSF의 Securing Critical Projects 워킹그룹에서 선정14)하며, Node. JS, Kubernetes15), 리눅스 등과 같이 타 프로젝트의 활용 및 의존도가 높고 기여자가 많은 핵심 생태계 서비스가 이에 포함되고 있다. 알파 프로젝트 팀은 최상위 중요SW 프로젝트 관계자에게 위협 모델링, 자동화된 보안 테스트, 소스코드 감시, 발견된 취약점 개선 등에 대한 지원을 제공하고, 대응 결과를 점수 카드나 배지 형태로 공개함으로써 해당 프로젝트의 보안 대응 자세를 투명하고 표준화된 방식으로 가시화하고자 노력하고 있다. 오메가 프로젝트는 10,000개 이상의 널리 배포된 공개SW 프로젝트에 대해 자동화된 방법과 도구를 통해 치명적인 보안취약점을 식별한다. 클라우드 규모의 분석, 보안 분석가의 감시, 취약점 대응책 보고를 통해 이를 수행하고, 신규 취약점 식별의 정확도를 높이기 위한 SW공학자 전담팀을 구성해 분석 파이프라인을 최적화한다.
미국의 민간확산을 위한 공공주도 정책
미국 바이든 정부는 연방기관과 국가 기반 시설의 안전을 위해 SW공급망 보안을 강화하는 행정명령을 발표하였다.16) 이를 통해 중요SW를 정의하고, 연방기관에서 사용하고 있는 중요SW 정보를 취합했으며, 앞으로 연방기관에 납품하는 SW제품에 대해 구성요소 정보를 명기하는 SBOM(Software Bill of Materials) 제출을 의무화하였다.
백악관은 행정명령의 실제 시행일인 2022년 5월에 앞서 민관 관계자들을 초청해 공개SW의 확산과 보안성 강화에 대해 논의하는 자리를 가졌다.17) 논의 주제는 소스코드에서의 보안 결함 예방, 결함 발견·수정 절차 개선, 수정사항의 배포·구현 시간 단축, 세가지로 구성되었다. 첫 번째 주제에 대해서는 개발 도구 및 인프라에서 보안성 검토 기능을 추가해 안전한 소스코드 생산을 유도하는 기술적 논의가 이루어졌다. 두 번째 주제에 대해서는 최상위 중요 공개SW 프로젝트 선별과 이들의 유지·보수를 위한 지속가능한 방법론의 필요성이 제기되었다. 마지막 주제에서는 행정명령에 담긴 SBOM 활용의 가속화와 개선에 대한 토론이 진행되었다. 논의 내용에 대한 결정사항이 발표된 것은 아니지만, 이러한 논의를 지속적으로 유지하고 민관 관계자가 모두 관심을 가지고 있다는 점에서 주목할 필요가 있다. 미국 정부는 행정명령을 통한 공공주도의 정책으로 SW공급망 강화를 위한 제반과 환경을 민간에 확산시킬 수 있도록 준비하고 있다.
안전한 공개SW 활용을 위한 방향
디지털전환 가속화로 SW신기술이 디지털 서비스와 생활 전반에 자리매김하면서 공개SW는 선택이 아닌 필수가 되었다. 공개SW만이 줄 수 있는 특별한 가치가 있는 만큼 공개SW에 특화된 관리 방식이 요구되는 시점이다. 유럽, 미국, 그리고 글로벌 선도 기업들은 이에 주목하고 SW공급망 보안 강화를 위해 중요SW를 식별·목록화·관리하고 취약점 모니터링 및 개선을 위한 대응 체계를 구축하고 있다.
국내 SW산업에서도 공개SW 활용도가 높은 만큼 공공주도로 SW공급망 강화를 위한 체계를 구축하고 이를 민간에 확산할 필요가 있다. 그러므로 공공영역에서의 중요SW 식별·관리와 위험요소 감시·대응을 위한 체계를 우선적으로 구축해야 한다. 이를 위해 다음 세 가지를 제안한다. 첫째, 공공기관·부처에서 사용 중인 공개SW 프로젝트들을 조사하고, 활용도, 갱신도, 위험도 등을 지표화해 최상위 중요SW를 목록화해야 한다. 최상위 중요SW 목록과 위험도 지표는 OpenSSF에서 공개한 내용을 벤치마킹하고 이를 기반으로 국내 실정에 맞게 활용할 수 있다. 둘째, 선정된 최상위 중요SW 관련 공개SW 프로젝트와의 협력을 통해 보안성 강화를 지원해야 한다. 관련 프로젝트에 대한 버그바운티를 정기적으로 운영하고, 컴퓨팅 또는 전문가를 통해 분석된 위험요소 정보를 프로젝트에 전달함으로써 개선을 지원할 수 있다. OpenSSF의 알파-오메가 프로젝트에서는 이러한 협력체계를 구체화해 마련하고 있고, FOSSEPS 프로젝트의 European Public Services Open Source User Group도 참고할 필요가 있다. 셋째, 위험요소 발견 시에는 해당 SW를 사용하고 있는 기관에 전달하고 빠르게 대응할 수 있는 체계를 구축해야 한다. 이를 위해 공공에서 활용 중인 공개SW가 패키지, 클라우드, 라이브러리 등 형태에 관계 없이 조사해야 하고, 조사된 이후에도 주기적인 갱신을 통해 최신화할 필요가 있다. FOSSEPS는 이를 온라인 조사 사이트를 통해 취합하였고, 미국은 공공조달에서의 SBOM 의무화를 통해 관리하고자 하였다.
공개SW는 최신 기술을 빠르게 도입할 수 있게 해 전 산업에 보편적인 기반 기술로 자리매김하고 있다. 이제는 공개SW를 안전하게 활용할 수 있는 환경 조성이 요구된다. 빠른 최신 기술 적용만을 위해 위험요소를 간과하거나 관심에서 소외되어 업데이트가 활발히 진행되지 않는 공개SW가 국가 기반 시설이나 일상 서비스에 활용되어 국민의 생활을 침해할 수도 있다. 이를 예방하기 위한 대응 체계 구축은 공개SW 자체만큼 필수적이다.
1) Free and Open Source Software for European Public Services, https://joinup.ec.europa.eu/collection/fosseps
2) 소스코드가 공개되어 있어 사용·수정·배포를 자유롭게 허용하는 소프트웨어로, 자유SW와 오픈소스SW를 포괄하는 광의의 오픈소스SW를 뜻함
3) Log4j는 로그 관리를 위해 대부분의 Java 응용 프로그램에서 사용되고 있는 공개SW로, Check Point Research 보고서에 따르면 2021년 12월에 발견된 결함으로 전 세계 기업 네트워크의 48%에서 악용 시도가 발생하였으며, 결함 발견 당시 보안 패치가 배포되었음에도 각 시스템 관리자는 Log4j 사용 여부 식별에 어려움을 가짐
4) SW공급망과 SW생태계 차이: SW공급망은 하위 공급자를 소유하지 않지만 제품의 공급과 비용을 결정함으로써 계층적 제어를 갖는 반면, SW생태계는 모듈화되어 서로에게 독립적인 영향을 미침