최근 기업 IT 환경에서 오픈소스 소프트웨어(OSS)는 빠른 시장 변화에 대응해 서비스 및 애플리케이션을 개발할 수 있는 수단으로 자리매김했다. 그러나 높아진 활용률에 비해 보안에 대한 대책은 여전히 미흡한 상황이라는 지적도 나오고 있다.

10일 정보통신산업진흥원(NIPA)의 '오픈소스 소프트웨어 실태조사 보고서'에 따르면 국내 기관 및 기업들의 OSS 활용률은 절반을 훌쩍 넘는 61.5%로 집계됐다. 특히 전사적 OSS 활용률은 지난 2020년(10.7%)에서 26.4%로 크게 증가했다. 

이처럼 OSS 활용이 가파르게 증가하고 있는 반면 보안 관련 전담조직이나 대책과 같은 기초 실태는 열악한 것으로 나타났다. 보고서에 따르면 OSS 전담 조직을 보유한 기업은 전체 중 단 7%에 불과했다. 이에 따라 OSS를 활용하는 기업과 기관들 중 44.2%는 관련 문제 발생 시 개발자가 자체적으로 대응하고 있는 것으로 나타났다.

OSS는 프로그램을 구성하는 소스코드를 무료로 공개해 자유롭게 복제·수정·배포·사용할 수 있는 SW를 의미한다. 커뮤니티를 중심으로 공개된 SW를 공유하고 활용할 수 있다. 보안 취약점이나 버그 또한 다수 개발자들과 함께 개선·발전시킬 수 있다는 장점이 있지만, 동시에 많은 보안 취약점을 포함하고 있다. 복제와 수정, 배포가 자유로운 만큼 악성코드, '백도어(Back door)' 등을 삽입해 악의적 목적으로 활용하는 경우도 빈번하다.

특히 커뮤니티 내에서 인기있는 OSS의 경우 검증없이 재사용되는 경우가 많아 광범위한 피해를 양산할 가능성이 높다. 실제로 지난 4일 글로벌 오픈소스 개발자 커뮤니티 '깃허브(Github)'에서는 악성코드를 포함한 오픈소스 저장소(리포지토리) 복사본(클론) 프로젝트가 수천개 발견되기도 했다.

개발자들도 이같은 상황을 모르는 것은 아니다. 국내 한 개발자는 "OSS에 대한 위험성은 알고 있지만 구더기 무서워서 장 못담굴 수는 없는 것"이라며 "검토 없이 적용하는 것이 문제인 것"이라고 말했다. 다만 이같은 검증도 쉽지 않은 것이 현실이다. 악성코드 또한 코드 관점에서 정교하게 짜여진 것이기 때문에 확인이 쉽지 않은 탓이다.

국내외 기업들은 이미 OSS와 관련된 문제를 맞닥뜨리고 있다. 보안 기업 스니크와 리눅스 재단이 발표한 '2022 오픈소스 보안 현황' 보고서에 따르면 OSS를 사용하는 기업 550곳 중 41%는 보안에 확신을 갖고 있지 않은 것으로 나타났다. 

실제로 지난 3년간 오픈소스 프로젝트에 포함된 취약점은 가파르게 증가했다. 보고서에 따르면 기업들이 OSS 내 취약점을 수정하는데 소요된 시간은 지난 2018년 49일에서 지난해 110일로 2배 이상 늘었다. 그러나 이에 대한 보안 정책을 수립한 기업은 49%에 불과한 것으로 분석됐다.

업계에서는 OSS를 사용하는 기업 및 기관이 적극적으로 관리에 나서야 하는 것은 물론, 정책적 뒷받침이 필요하다고 입을 모은다. 국내 보안업계 관계자는 "지난해 '로그4제이(Log4j)' 취약점이 오픈소스 보안에 대한 필요성을 인식시키는 계기가 됐다"며 "그러나 지금은 사용하는 기업이나 기관에서 코드를 검증하는 것외에는 별다른 대책이 없는 상황"이라고 설명했다.

또 그는 "미국이 정부와 산업계가 주도해 OSS 등 SW공급 보안 강화에 대한 투자에 나선 것처럼 국내도 OSS에 대한 보안 투자가 필요하다"며 "정책적으로 OSS 보안 체계 수립을 의무화하는 방안도 검토돼야 한다"고 덧붙였다.

이희조 고려대학교 SW보안연구소장은 "OSS가 이미 디지털 전환에 핵심적 역할을 하고 있는 만큼, 향후에도 다양한 산업에서 활용될 수 밖에 없는 상황"이라며 "OSS 활용률이 증가하는 만큼 생태계를 이해하고 그에 맞는 관리체계를 구축해 OSS에 포함된 소스코드가 어떻게 수정됐는지 파악하고 취약점을 탐지할 수 있어야 한다"고 강조했다.

또 이 소장은 "특히 기업에서 OSS를 활용해 다양한 제품을 만들어내는 만큼 취약점이 발생한 부분을 패치를 통해 수정하는 등 책임있는 적극적 관리가 필요하다"고 말했다.

김가은 기자 7rsilver@techm.kr