기업들이 개발 속도를 높이기 위해 '오픈소스' 소프트웨어(SW) 활용을 늘리고 있으나, 보안 관리에는 여전히 소홀하다는 지적이 나왔다.

이희조 고려대학교 컴퓨터공학과 교수 겸 SW보안 연구소장은 23일 서울 남대문 코트야드 메리어트 호텔에서 열린 'SSD시큐어 디스클로저 타이푼콘(TyphoonCon)' 행사에서 "오픈소스 SW는 이미 디지털 전환과 비즈니스 혁명에 있어 빠질 수 없는 존재"라면서도 "이를 활용해 최종적으로 제품과 서비스를 제공하는 기업이 책임을 져야 하지만 서로 책임을 미루고만 있다"고 꼬집었다.

이 교수는 취약점이 존재하는 오픈소스 SW를 제대로 검증하지 않고 무작정 사용하기만 하는 행태가 개선돼야 한다고 강조했다. 이 소장은 "오픈소스는 재사용이 많이 되기 때문에 이름과 코드 등이 바뀌는 경우가 빈번하다"며 "취약점이 노출된 서브 컴포넌트 등이 의식없이 그대로 사용되고 있다"고 말했다. 

이어 "예를 들어 오픈소스 SW에서 취약점이 발견되면 자신들은 가져다 쓰기만 했기 때문에 책임과 조치는 코드를 가져온 리눅스, 몽고DB에서 져야 한다고 하는 식"이라며 "제품과 서비스 등을 제공하는 기업이 책임지지 않으면 결국 피해는 고객이 보게 되기 때문에 적극적 관리가 필요하다"고 강조했다.

아울러 이 교수는 국내 기업들이 보안 취약점을 드러내는 일을 부끄러워하고 숨겨선 안된다고 강조했다. 오히려 적극적으로 드러내고 신속하게 해결책을 찾아야 한다는 것.

그는 "국내 기업들은 취약점을 공개하는 일에 있어서 치부를 드러내거나 위협을 가하는 것으로 인식해 숨기는데 급급하다"며 "해외기업의 경우 취약점은 당연히 나올 수 있는 것으로 여겨 찾아낸 이에게 상금을 주기도 한다"고 설명했다. 

또 "숨기기만 하면 오히려 악의적 공격자가 다크마켓 등에 정보를 팔아넘기는 등 피해만 커진다"며 "앞으로 오픈소스가 여러 산업에 확대될 수 밖에 없는 상황인 만큼 기업들이 주도해 관리와 활용에 신경을 써야 한다"고 말했다.

김가은 기자 7rsilver@techm.kr