구글 "주요 오픈소스 개발, 익명으로 못하게 하자"

이미지출처: 지디넷코리아

구글 엔지니어들이 오픈소스 소프트웨어의 보안 수준을 높이기 위해, 개발 과정에서 지켜야할 새로운 규칙을 제안했다. 중요 오픈소스 프로젝트의 경우 익명으로 오너나 관리자가 될 수 없고, 프로젝트 오너라해도 코드 변경을 단독으로 결정할 수 없다는 등의 내용이 포함됐다. IT 업계에서 구글이 가진 영향력을 감안하면, 이번 제안이 새로운 표준으로 자리잡을 가능성도 있어 주목할만 하다.

구글은 최근 시큐리티 블로그를 통해 '오픈소스 취약점 논의를 전환하기 위한 프레임워크: 알고, 예방하고, 고치자' 라는 포스팅을 게시했다.

이번 포스팅은 오픈소스 소프트웨어의 보안 수준을 한 단계 높이기 위한 방안을 제시하고 있다. 포스팅 작성에는 구글이 개발해 오픈소스로 공개한 고 언어의 설계자 중 한명인 롭 파이크와 구글 인프라스트럭처 전무 겸 구글 펠로우 에릭 브루어 등 구글 소속 톱 엔지니어들이 참여했다.

구글 엔지니어들은 포스팅에서 "오픈소스 소프트웨어는 모든 코드와 종속성(디펜던시)이 공개돼 있고 검사 및 검증에 사용될 수 있으므로 더 보안을 강화해야 하지만, 현실적으로 어려움이 많다"는 점을 지적했다. 오픈소스 소프트웨어가 보통 수천 개의 패키지와 라이브러리에 직간접적으로 의존하고 있는데, 이 수 많은 개별 업체의 신뢰성을 다 확인하기가 쉽지 않다는 설명이다.

특히 공급망 공격을 포함해 악의적인 행동으로부터 주요 오픈소스 프로젝트를 보호하려면 보다 엄격한 개발 규칙이 필요하다고 봤다.

해커들이 보통 이미 알려진 취약점을 공격에 이용하기 때문에 사용하고 있는 오픈소스에 어떤 취약점이 있는지 알고, 예방하고, 수정하는 노력이 기본적으로 뒷받침 되어야 하지만, 이런 노력만으로 공급망 공격까지 대응하기 어렵다는 게 구글 엔지니어들의 생각이다.

공급망 공격은 해커가 소프트웨어 개발사 네트워크에 침투해 악의적인 소스코드를 추가하거나 파일을 변경하는 등의 공격을 말한다. 최근 미국 IT 모니터링 소프트웨어 솔라윈즈를 이용한 공급망 공격으로 미국 재무부, 보안업체 파이어아이, 소프트웨어 업체 마이크로소프트 등이 피해를 입자, 공급망 공격에 대한 우려가 커지고 있다.

이에 구글 엔지니어들은 다음과 같은 규칙을 중요 오픈소스 프로젝트에 적용하자고 제안했다.

1)코드에 대한 일방적인 변경은 안된다. 코드 변경은 두 독립적인 집단의 코드리뷰와 승인을 받아야 가능하다.

2)참여자를 인증해야 한다. 이는 익명으로 프로젝트 오너나 관리자가 될 수 없음을 의미한다. 기여자는 2단계 인증 등 강력한 인증을 사용해야 한다.

3)변경에 대한 알림이 필요하다.

4)소프트웨어 결과물에 대한 투명성을 활성화해야 한다.

5)빌드 프로세스를 신뢰할 수 있는 방법을 만들어야 한다.

정리하면 중요 오픈소스 프로젝트의 오너와 관리자는 식별 가능해야 하고, 프로젝트 오너나 관리자라고 해도 마음대로 코드를 변경할 수 없으며, 외부(서드파티) 검토를 받아야 한다는 게 핵심이다.

구글은 오픈소스 진영에서 이 같은 제안에 거부감을 가질 수 있다는 점을 인식하 듯 "우리가 제시한 규칙은 합의와 지속가능한 솔루션이 무엇보다 중요한 오픈소스 영역에서 하나의 주장일 뿐"이라고 설명했다.

[출처] 지디넷코리아(https://zdnet.co.kr/view/?no=20210212165839)