[디지털데일리 이안나기자] 디지털전환과 인공지능(AI) 시대 도래로 오픈소스 소프트웨어 활용이 급증하고 있다. 문제는 오픈소스 확산과 함께 소프트웨어 공급망 안정성과 관리 체계 중요성이 함께 대두됐다는 점이다. 이에 기업들은 소프트웨어 자재명세서(SBOM)과 체계적인 오픈소스 거버넌스 도입이 필요해졌다.

서성한 에스코어 오픈소스 소프트웨어(OSS) 사업팀장은 3일 서울 강남구 코엑스에서 열린 ‘리얼 서밋 2024’에 연사로 참가해 기업이 오픈소스를 적용·관리하기 위한 파트너 기업 선정 중요성에 대해 강조했다. 리얼 서밋은 삼성SDS가 주최하는 행사로 올해 6회째를 맞았다.

정보통신산업진흥원(NIPA) 통계에 따르면 국내 기업 10곳 중 7곳이 오픈소스를 활용하고 있다고 답했다. 이중 특히 IT 기업은 대부분, 일반기업은 60%가 사용 중이라고 했다. 단, 서 팀장은 “오픈소스를 쓰고 있지 않다고 답한 40%조차 회사 홈페이지에 오픈소스 라이브러리가 포함됐다”고 짚었다. 오픈소스가 거의 모든 기업에 부지불식간 쓰이고 있다는 의미다.

최근 발생한 상용 소프트웨어 보안 사고는 기업들에 경각심을 불러일으켰다. 지난 7월 발생한 크라우드스트라이크 보안 소프트웨어(SW) 오류 사태는 상용SW조차 취약점에서 자유롭지 않다는 걸 보여줬다.

반면 오픈소스 소프트웨어는 글로벌 커뮤니티 지속적인 검증과 보완을 통해 안정성을 확보하고 있다. 물론 이를 제대로 관리하지 않으면 상용SW 못지않은 리스크를 초래할 수 있다. 이에 미국 연방정부나 유럽연합에선 광범위하게 쓰이는 오픈소스에 보안 취약성 문제가 발생하지 않도록 대비하고 있다. SBOM이 대표적이다.

SBOM은 소프트웨어 제품 구성 요소를 투명하게 관리하는 필수적 도구다. 음식이나 의약품 원재료 성분표처럼 모든 오픈소스 및 상용 소프트웨어(SW)를 명확하게 기록하는 역할을 한다.

서 팀장은 “리스크를 최소화하기 위해 SBOM을 기반으로 한 투명한 관리가 필요하다”며 “특히 미국과 유럽연합 강력한 규제 움직임을 고려할 때, 수출기업과 금융권을 비롯한 모든 기업이 SBOM 준비에 박차를 가해야 한다”고 강조했다.

오픈소스 SW를 도입하는 데 있어 중요한 것은 체계적인 거버넌스다. 거버넌스 체계란 단순히 오픈소스 도입과 사용을 넘어 해당 SW 라이선스 관리, 보안 취약점 모니터링, 지속적인 업데이트와 패치 적용까지 모두 포함한다.

오픈소스 거버넌스 체계가 없다면 보안 취약점이 발견됐을 때 신속한 대응이 어렵고, 컴플라이언스 준수에도 문제를 겪을 수 있다. 국내서도 지난 5월 국정원과 과학기술정보통신부에서 전 범위 SBOM을 2027년까지 준비하라는 가이드를 내놨다.

서 팀장은 남은 2년까지 시간이 길지 않다고 꼬집었다. 그는 “다른 조직에선 전략 수립부터 개발까지 1년 넘게 오픈소스를 준비하고 있고, 각 분야별 현황 파악 및 기술적 준비, 프로젝트, 운영도 해야한다”며 “기업이 오픈소스를 쓰고 있다고 자각하는 것부터 구성원이 라이선스 교육도 받아야 한다는 점을 고려하면, 지금 바로 시작해도 2년이 넉넉지 않다”고 강조했다.

그는 “에스코어는 기업들이 오픈소스를 안전하게 도입하고, 지속적으로 관리할 수 있는 전방위적 거버넌스 서비스를 제공한다”며 “SBOM 작성부터 보안 검증, 라이선스 관리까지 통합적 솔루션을 제시한다”고 소개했다.

특히 클라우드 시대엔 운영체제(OS)·클라우드 네이티브·데이터베이스(DB)·미들웨어 풀스택이 모두 연관된다. 각 상품에 문제가 생겼을 때 클라우드서비스제공업체(CSP)에 문의하면 원론적인 답변만 받는 이유는, CSP가 인프라·플랫폼만 제공하는 기업이어서다. 반면 에스코어는 쿠버네티스, 마리아DB, 카프카 상품 등을 지원한 사례가 있다.

결국 시스템 아키텍처와 애플리케이션 특성까지 종합적으로 검토해 해결할 수 있는 오픈소스 전문가가 필요하다는 게 서 팀장 설명이다. 그는 “AI·클라우드 시대 복잡한 시스템은 결국 양질 오픈소스를 선정하고, 이들을 잘 연결해 최적의 품질을 내고 풀스택과 연결된 시스템 복합적 지원이 가능해야 한다”고 말했다.