[디지털데일리 서정윤 기자] 오픈소스 없이 모든 코드를 개발하는 건 점점 상상하기 어려워지고 있다. 다만 오픈소스를 사용할 경우 보안이나 라이선스에 문제가 생길 수 있어 주의가 필요하다. 이에 SCA(Software Composition Analysis)를 활용해 기업에서 사용되는 오픈소스를 관리해야 한다는 주장이 나왔다.

제병주 시높시스코리아 소프트웨어 통합 그룹 기술영업 총괄은 5일 오전 서울 중구에서 진행된 '금융분야 오픈소스 보안/관리전략' 세미나에서 "프로젝트 내에서 어떤 오픈소스가 사용됐는지 식별하는 과정이 반 이상을 차지할 정도로 오픈소스가 야기할 수 있는 문제에 대비하는 게 중요하다"며 SCA의 중요성을 강조했다.

국방 등 특수분야를 제외한 96%의 영역에서 시스템을 개발할 때 오픈소스를 사용하고 있다. 전체 소스 코드 중에서 오픈소스가 차지하는 영역도 76%로 적지 않은 편이다. 개발 기간을 단축하고 업무를 효율화하기 위해 최근 금융권 등 다양한 영역에서도 오픈소스가 사용되고 있지만, 공개된 소스코드를 사용하는 만큼 악용될 경우 심각한 문제가 일어날 수 있다.

시높시스의 조사에 따르면 전체 프로젝트 중 보안 취약점이 있는 오픈소스를 사용한 프로젝트는 84%에 달했다. 고위험 보안 취약점이 있는 오픈소스를 사용한 프로젝트도 45%나 됐다. 제 부장은 "소스코드가 공개돼 있다 보니 해커들이 분석해 어떤 식으로 오픈소스를 해킹할 수 있는지도 드러나 있다"며 "악용될 때 심각한 문제가 야기될 수 있다"고 말했다.

오픈소스 라이선스를 관리할 필요도 있다. 시높시스측은 전체 프로젝트에서 라이선스 충돌이 있는 프로젝트가 54%, 라이선스가 없거나 커스텀 라이선스를 사용한 프로젝트는 31% 수준이었다. 제 부장은 "커스텀 라이선스 등의 경우 어떻게 조치해야 하는지 기업도 잘 모르는 경우가 많다"며 "법무팀 검토를 거치는 등 별도의 관리가 필요하다"고 지적했다.

제 부장은 기업에서 체계적으로 오픈소스를 관리하는 게 중요하다고 설명했다. 오픈소스를 관리하는 전담조직을 만들어 담당자를 설정하고, 어떻게 관리해야 하는지 설정해야 한다는 설명이다. 제 부장은 "이미 많은 기업들이 오픈소스 전담 조직을 구성하고 있다"며 "컴플라이언스, 법무 등 관련 담당자를 설정해 법무적인 검토가 이뤄지도록 해야 한다"고 말했다.

오픈소스 담당자가 설정된 뒤에는 정책과 프로젝트를 만들어 운영하는 것도 중요하다. 제 부장은 "목적, 보안취약점 원칙, 라이선스 준수 원칙, 관리 대상 프로젝트, 담당자의 역할, 프로세스 등을 명시해 문서화해야 한다"고 말했다.

오픈소스를 통합 관리할 수 있도록 SCA 도구를 활용하는 것도 중요하다. SCA는 오픈소스를 식별하고 이슈검토 및 해결, 사용 승인, 지속적으로 관리할 수 있도록 돕는 프로그램이다. 정확하고 빠르게 오픈소스를 식별하고 오픈소스에 어떤 보안 취약점과 라이선스 문제가 있는지 보여주는 게 특징이다.

제 부장은 "시높시스코리아에는 별도의 전문가 조직이 있어 계속적으로 문제에 대응하고 있다"며 "갑작스러운 변화에 대응할 수 있도록 기술을 지원하겠다"고 말했다.