[디지털데일리 오병훈 기자] “개발자는 오픈소스를 활용하는 과정에서 자신도 모르게 취약점이 포함된 소스코드를 사용하게 되는 경우가 많습니다. 개발 과정에서 취약점 및 라이선스 문제에 정확하고 빠르게 대처하기 위해서는 이를 가시화된 목록으로 정확하게 정리하는 것이 중요합니다.”

정성훈 시놉시스소프트웨어 인테그러티 그룹(SIG) 부장은 10일 디지털데일리가 주최하는 ‘2024년 금융리스크 관리&컴플라이언스’ 콘퍼런스에서 ‘금융권 오픈소스 소프트웨어 위험관리 전략’을 주제로 발표하며 이같이 말했다.

소프트웨어(SW) 개발자는 회사 요구에 맞춰 빠르게 애플리케이션을 제작하기 위해 자체 개발 코드 뿐 아니라 외부에서 들여오는 오픈소스 코드를 사용하는 경우가 많다. 이와 관련해 SIG는 상용 애플리케이션 코드 내 오픈소스 사용 현황을 조사한 ‘오쓰라(OSSRA)’ 보고서를 공개했다. 보고서에 따르면, ‘금융 서비스 및 핀테크’ 분야 내 오픈소스 기반 코드를 포함한 코드베이스(소스코드 집합) 비율은 74%로 나타났다. 오픈소스를 포함한 코드베이스는 99%에 이른다.

정 부장은 “(금융 및 핀테크 산업 외에도)모든 산업에서 오픈소스 기반 개발이 진행되고 있다”며 “따라서 상용 앱도 그 안에 포함된 오픈소스 관리가 필요하다. 취약점이 있으면, 이를 누가 관리하고 책임 소재는 어떻게 구분할지 확인할 필요가 있다”고 말했다.

오픈소스가 제대로 관리 되지 않을 때 오픈소스를 통해 흘러 들어온 취약점은 다양한 문제를 일으킬 수 있다. 예컨대, 오픈소스를 적용하니 그 내부에 미상의 라이브러리에 대한 정의가 포함돼 있거나 라이선스 문제가 포함된 오픈소스가 내포된 경에는 전사적으로 심각한 손해를 끼칠 수 있다는 것이 정 부장 설명이다.

미국 대규모 해킹 사태로 유명한 ‘에퀴팩스 해킹 사태’도 오픈소스 취약점으로 인해 발생했다. 문제가 된 것은 오픈소스 컴포넌트인 ‘아파치 스트럿츠’의 취약점이었다. 이 사건으로 약 1억4400만 이용자 주소와 생년월일 등 개인 정보가 유출된 바 있다.

정 부장은 “정보유출 사건의 많은 경우가 오픈소스 활용 과정에서 발생하는 SW 공급망 취약점으로 인해 발생했다”며 “우리 회사 내부 문제가 아닌 외부 라이브러리에서 기인한 문제로 봐야 한다”고 덧붙였다.

그는 오픈소스 취약점 보완을 위해 가장 중요한 것이 사용된 소스코드를 시각화된 목록으로 정리하는 것임을 강조했다. 자체 개발 코드와 오픈소스 코드를 구분해 언제든 오픈소스 관련 문제(이슈)가 발생했을 때, 해당 오픈소스 업데이트 현황과 보안 상황을 확인할 수 있어야 한다는 것이다. 이와 관련해 최근 해당 목록을 표준화된 양식으로 ‘에스밤(SBOM)’ 활용이 활발해지고 있는 추세다.

정 부장은 “최근 산업에서 기본적인 요구사항으로 SW 자재명세서인 SBOM이 요구되는 추세다”라며 “쉽게 말해서 식품에 단백질, 탄수화물 등 포함된 영양소를 표기하듯 SW에도 적용된 형태”라고 덧붙였다.

업체 간 협업 및 계약 과정에서도 SW가 어떤 구성으로 돼 있는지를 안내하는 목록을 주고받는 상황이 발생하는데, 과거엔 단순히 엑셀 파일로 정리된 목록을 주고받았지만 이제는 업체 간에 규격화된 SBOM 양식을 요구하는 방식으로 일이 진행되는 경우가 많다는 것이 그의 설명이다.

그는 마지막으로 “애플리케이션 구성 요소에 대해 관리하고 특히 오픈소스나 버전의 문제가 없는지 자체적으로 검증할 필요성이 커지고 있다”며 “보안 취약점뿐 아니라 법률적인 문제로 번질 수 있는 라이선스 문제는 없는지 확인하는 것도 중요하다”고 강조했다.