[디지털데일리 이안나기자] “오픈소스 거버넌스 자동화는 기업 소프트웨어 개발 과정에서 필수입니다. 매주 75만개 새로운 오픈소스가 릴리즈되고, 10만개 새로운 보안 취약점이 발견되는 현실에서, 자동화된 관리체계 없이는 효과적인 대응이 불가능합니다.”

김재천 OSC코리아 대표는 24일 서울 강남구 양재동 엘타워에서 디지털데일리 주관으로 열린 ‘오픈테크넷서밋 2024’에서 오픈소스 거버넌스 자동화 필요성에 대해 강조하며 이같이 말했다.

오픈소스 사용이 보편화되면서 기업들은 새로운 도전에 직면하고 있다. 과거 2000년대 초반엔 리눅스·유닉스 진영간 갈등으로 복잡한 라이선스 관리가 필수였다면 2010년엔 취약점을 통한 침해사고들이 일어나면서 라이선스보다 보안·관리쪽으로 무게중심이 이동했다. 2020년도에 들어선 소프트웨어 공급망 공격인 악성코드(멀웨어)가 가장 큰 위협이 됐다.

김 대표는 특히 이 악성코드 공격 위험성을 강조했다. 그는 “취약점은 소프트웨어 ‘결함’으로 만들어지고, 취약점이 있더라도 환경에 따라 취약하지 않을 수도 있다”며 “반면 악성코드는 악의적으로 만든 코드로, 다운로드 자체가 실행이기 때문에 연쇄적으로 큰 리스크를 가져올 수 있다”고 설명했다.

실제 악성 소프트웨어를 통한 공급망 공격은 최근 급증 추세다. 2023년엔 이전 해까지 발견된 모든 악성패키지 2배에 달하는 악성패키지가 탐지됐다.

이러한 위협에 대응하기 위해 김 대표는 오픈소스 거버넌스 자동화 중요성을 강조했다. 자동화를 위해서는 ▲고품질 데이터베이스 ▲정확한 컴포넌트 식별 능력 ▲유연한 정책 설정 그리고 ▲개발자 중심 해결 방안 제공이 필요하다고 설명했다.

김 대표는 “보안 솔루션 소나타입은 매일 800만개 보안 공지와 깃허브 커밋을 검색하고, 5500만개 취약점 데이터를 관리한다”며 “이중 1400만개는 전문가가 심층분석한 딥다이브 데이터로 좋은 품질 데이터를 다룬다”고 전했다.

또한 오픈소스 거버넌스 자동화 구현 방안으론 ‘인라인 실시간 점검’ 시스템을 제안했다. 이는 개발자가 기존 작업 방식을 유지하면서, 백그라운드에서 자동으로 보안 점검이 이루어지는 방식이다. 소나타입 리포지토리 방화벽은 60개 시그널을 분석하는 AI·ML 알고리즘을 통해 오픈소스를 평가, 유해한 것으로 판단되는 경우 자동으로 다운로드를 차단한다.

소프트웨어 공급망 관리를 위해 소프트웨어 자재명세서(SBOM) 관리 중요성도 커지고 있다. 마치 엑스레이처럼 소프트웨어가 어떤 요소들로 이뤄졌는지 분석을 하는 방법이다. 이를 통해 위협 요소가 무엇인지 파악을 하는게 SBOM 취지다. 미국·유럽에선 SBOM 제출을 의무화하고 있고 국내에서도 가이드라인을 마련해 이에 대비할 수 있는 시간을 줬다.

김 대표는 SBOM 관리가 단순히 컴포넌트 목록을 나열하는 데 그치는 것이 아니라는 점을 언급했다. 취약점 정보를 지속 업데이트하고 발견된 취약점에 대응 방안까지 명시하는 ‘VEX ’ 개념을 포함해야 한다고 전했다.

그는 “오픈소스 거버넌스 자동화와 SBOM 관리는 현대 소프트웨어 개발에서 필수적”이라며 “개발 초기 단계부터 보안을 고려하는 시프트 레프트' 접근법과 정확한 데이터베이스, 개발자 중심 솔루션으로 기업은 보안 위협에 효과적으로 대응할 수 있다”고 말했다.