바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

[집중기획](3)오픈소스SW 잘 쓰려면 라이선스·보안 관리 관건

2016-12-16강진규 기자

[집중기획] 산업의 핵, 오픈소스SW

1. 세계는 지금 오픈소스 태풍
2. 오픈소스, 인프라 구축하고 개발지원 나서야
3. 최고의 기업비결은 오픈소스 활용
4. 오픈소스SW 전문기업을 키워야



오픈소스 소프트웨어(SW) 활용은 선택이 아니라 필수가 되고 있다. 시장조사기업 가트너에 따르면, 2013년을 기준으로 IT 분야 글로벌 3000개 기업 중 75%가 오픈소스SW를 활용하고 있으며, 2017년에는 99%의 기업이 오픈소스SW를 사용할 전망이다. 또 블랙덕소프트웨어가 2015년 10월부터 2016년 3월까지 200개 이상의 상용 SW를 분석한 결과 상용 SW의 35%가 오픈소스를 활용한 것으로 조사됐다.

해외 기업들은 오픈소스SW를 전략적으로 잘 활용하고 있다. 아이폰, 아이팟, 맥북 등을 판매하는 애플의 경쟁력은 오픈소스에서 나온다. 2011년 10월 애플은 음성인식 서비스 '시리(Siri)'를 선보이며 아이폰의 경쟁력을 한층 높였다.

시리는 수많은 사용자의 질문과 요청을 처리하고 있다. 애플은 서비스를 운영하기 위해 클러스터 관리기술인 '메소스'를 사용하고 있다. 메소스는 대규모 병렬컴퓨팅 인프라를 관리하는 오픈소스SW다. 시리는 데이터도 하둡분산파일시스템(HDFS)에 저장하고 있다. 애플은 내부적으로 하둡, H베이스, 엘라스틱서치, 리크, 카프카, 아즈카반, 볼드모트 등 다양한 오픈소스SW를 사용 중인 것으로 알려지고 있다.

애플은 2015년 12월 맥OS, iOS 등에서 사용하는 애플리케이션 개발에 이용되는 프로그래밍 언어 '스위프트(Swift)'를 오픈소스로 제공한다고 밝혔다. 스위프트가 오픈소스 형태가 되면서 IBM이 스위프트 확산에 후원자가 됐다. IBM은 스위프트를 윈도 환경에서도 사용할 수 있도록 하는 가상 환경을 제공하고 웹 서버 개발도 할 수 있는 프레임워크도 제공하고 있다.

애플처럼 오픈소스SW를 활용하는 기업이 많다. IT기업뿐만 아니라 제조기업, 금융회사 등 거의 모든 분야의 기업들이 오픈소스SW 사용을 늘려가고 있다.

하지만 무작정 오픈소스를 사용하는 것은 오히려 기업에게 독이 될 수 있다. 우선 오픈소스를 마음대로 가져다 쓰는 것이 문제가 될 수 있다. 오픈소스SW는 소스가 공개돼 있지만 엄연히 라이선스(저작권)가 있고, 이를 사용하기 위해 지켜야 할 의무사항이 존재한다. 이를 인식하지 못하고 그냥 가져다 사용하거나 의무사항을 지키지 않을 경우 저작권 위반으로 소송을 당할 수 있다.

SW 라이선스 분류  [자료: 공개SW포털]

(SW 라이선스 분류 [자료: 공개SW포털])


공개SW포털에 따르면, 스카이프는 인터넷전화(VoIP) 기기에 벨테가 저작권을 갖고 있는 SW를 사용했지만 소스코드를 공개하지 않아 의무사항을 어겼고 라이선스 문구도 붙이지 않았다. 결국 벨테는 2007년 독일 뮌헨 지방 법원에 라이선스 위반으로 스카이프를 고소했고, 스카이프는 벌금을 내고 소스코드를 공개해야 했다.

국내에도 이런 사례가 있었다. 과거 휴대용 게임기 개발업체 A사가 유럽시장에 출시한 게임기에 오픈소스SW를 사용했는데 해당 SW의 라이선스를 지키지 않았다. 이에 현지 오픈소스SW 개발자들이 항의하고 각서를 요구했다.

이처럼 오픈소스SW 라이선스를 지키지 않을 경우 법적 분쟁에 휘말리는 일은 언제든지 일어날 수 있다. 여기에 기업의 오픈소스SW 사용이 크게 늘어나고 있는 점을 고려하면 오픈소스SW 라이선스에 대한 전문적인 관리가 더욱 중요해지고 있다.

이를 보여주는 사례로 방위사업청의 무기체계 SW 개발 및 관리 매뉴얼 개정을 꼽을 수 있다. 방사청은 지난 7월 매뉴얼을 개정하면서 오픈소스SW 사용 시 라이선스를 준수해야 하며 라이선스에 저촉되지 않도록 관리해야 한다고 명시했다. 국방 SW 개발에서 오픈소스 라이선스 관리의 중요성을 방위사업청도 인정한 것이다.

대두되는 오픈소스 보안 관리 문제

최근에는 여기에 또 하나의 변수가 나타났다. 오픈소스 보안 문제다. 오픈소스SW는 소스가 투명하게 공개돼 있어 백도어 등의 염려가 없다. 또 공개된 개발 프로젝트 커뮤니티에 참여하는 개발자들이 취약점을 함께 찾아내고 고치기 때문에 일반 상용 SW보다 빠르게 취약점을 보완할 수 있다.

하지만 오픈소스SW 보안에 대해 관리와 인식 부족이 문제다.

오픈소스SW 전문가인 김병선 블랙덕소프트웨어코리아 상무는 “과거에는 오픈소스SW가 산업계에 미치는 영향이 크지는 않았지만, 이제는 모바일은 물론 가전, 임베디드 시스템 등 전 산업에 적용되고 있다”며 “금융권은 물론 정부, 공공기업에서도 내부 시스템에 오픈소스SW를 적극적으로 활용하고 있다”고 말했다.

김 상무는 “오픈소스SW 사용이 늘고 라이선스에 대한 인식도 개선되고 있지만 보안 관리는 크게 미흡해 우려 된다”며 “오픈소스SW에서 매년 4000개 이상의 보안 취약점이 발견되는데 98%의 기업이 이런 취약점을 모르고 있고 취약점과 보안 패치에 관해 67%는 모니터링을 하지 않고 있다”고 설명했다.

보안 전문가인 손장군 엔시큐어 이사는 “대기업 조차도 현장에 가보면 사용하고 있는 오픈소스SW 목록을 엑셀파일로 관리하고 있는 수준”이라며 “오픈소스SW 보안 취약점 관리는 제대로 되지 않고 있다”고 지적했다. 손 이사는 또 “오픈소스SW 관리를 한다는 기업들도 라이선스 관점에 머물러 있고, 오픈소스SW 보안 관리는 아직 약하다”고 평가했다.

오픈소스SW는 기업 내에서 IT개발부서, IT운용부서, 법무부서 등과 관련 있다. 최근 라이선스 이슈에 대해 관심을 두는 기업들은 법무부서에서 오픈소스SW 사용을 관리하기도 한다. 하지만, 오픈소스SW 보안에 대한 인식은 여전히 낮아 대부분의 기업에서 관리 주체가 불분명한 상황이다.

김병선 상무는 “개발부서에서는 오픈소스SW 사용에만 관심 있고 법무부서는 라이선스 관점만 보기 때문에 보안에 대한 관리를 못하고 있다”며 “오픈소스SW도 상용 SW처럼 취약점이 있고 보안 관리를 해줘야 한다는 인식이 부족하다”고 지적했다.

블랙덕소프트웨어에 따르면, 실제 기업 현장에서는 개발팀이 사용한 오픈소스SW의 존재를 보안부서에는 모르는 경우가 적지 않고, 오랜 기간 패치 등 관리가 되지 않은 오픈소스SW 취약점이 다수 발견되는 경우도 많다.

이처럼 오픈소스SW에 대한 보안 인식이 부족한 상황에서 취약점으로 인해 제품이나 시스템에 문제가 발생할 경우 기업은 큰 손실을 입을 수 있다. 실제로 지난 4월 파마나 최대 로펌인 모색 폰세카의 내부 자료 1150만 건이 유출된 파나마 페이퍼 사건에서 해커가 오픈소스SW 취약점을 이용한 것으로 알려졌다.

오픈소스SW 보안 관리 방안  [자료: 블랙덕소프트웨어]

(오픈소스SW 보안 관리 방안 [자료: 블랙덕소프트웨어])


이러한 문제를 해결하기 위해서는 기업들이 오픈소스SW 보안에 대해 철저히 관리하는 것이 중요하다는 지적이다.

손장군 이사는 “오픈소스SW를 사용해 개발할 때 시큐어코딩 관점에서 문제가 없도록 해야 한다”며 “또 개발 후에는 전문적인 보안 점검을 통해 문제가 없는지 확인하는 것이 중요하다”고 설명했다.

오픈소스SW 취약점에 대한 지속적인 모니터링도 필요하다. 오픈소스 커뮤니티와 보안 사이트, 전문 서비스 등을 통해 취약점을 확인하고 발빠르게 대처해야 한다.

한편, 관련업계에서는 오픈소스 보안 관리에 대한 관심이 커아지고 있다. 지난 10월 엔시큐어와 블랙덕소프트웨어코리아는 문제 해결을 위해 손잡았다. 블랙덕소프트웨어코리아가 보유한 오픈소스 보안 취약점 분석 및 관리 솔루션을 엔시큐어의 시큐어코딩 솔루션에 연계한 것이다.

향후 오픈소스SW 사용이 증가하면서 이러한 사례가 늘어날 전망이다. 오픈소스SW 분야에서는 보안 관리를 강화하기 위해 노력하고 보안 분야에서는 오픈소스 보안에 대한 대응책 마련에 나설 것으로 보인다.

[테크M = 강진규 기자(viper@techm.kr)]