오픈소스 소프트웨어를 겨냥한 일련의 피해가 발생하자 전 세계 디지털 플랫폼과 네트워크의 근간이 되는 각종 프로젝트 안전 방법이라는 논의가 재점화되었다. 최근의 여러 사이버 보안 공격은 이른바 ‘프로테스트웨어(protestware)’라고 일컫는다. 모두 러시아가 우크라이나를 침략하여 우크라이나를 겨냥한 공격이 계속 이어지는 도중 우크라이나 지지 의사를 표현할 코드 변경 작업을 하는 오픈소스 개발자와 관련된 사건이기 때문이다.
간혹 오픈소스 소프트웨어를 변경해 전쟁 반대 오버레이(overlay)나 우크라이나와의 연대 메시지를 보여주는 사례가 알려졌다. 그러나 가장 최근의 사례에서는 인기 소프트웨어 패키지를 변경해 러시아와 벨라루스 컴퓨터에 악성 데이터 와이퍼를 배포했다. 오픈소스에서 이어진 전쟁 반대 시위 물결은 불과 2개월 전, 오픈소스 프로그램 유지 담당자가 널리 채택된 오픈소스 프로젝트 2개의 보안을 해친 프로테스트웨어와 관련이 없는 듯한 사건과 함께 시작됐다. 당시의 공격 동기는 과도한 작업과 부적절한 보상이 이루어졌다고 느끼면서 분노한 것이 공격 동기인 것으로 보인다.
지금까지 오픈소스 공격을 상대적으로 훌륭하게 제어했으나 테크 업계 전체가 오픈소스와 관련된 다른 소프트웨어 공급망 보안 문제 해결에 서두르자 생태계의 신뢰성 추가 하락이라는 위협이 제기됐다. 또, 재정 지원 및 자동화 툴 약속과 함께 백악관이 오픈소스 보안 문제에 주목하는 것을 반길 만하다. 오픈소스 커뮤니티는 더 강력하면서 지속 가능한 도움이 필요하다.
3월 24일(현지 시각), 러시아의 우크라이나 침략 행위를 노골적으로 맹비난한 단체인 오픈소스 이니셔티브(Open Source Initiative)는 공식 성명을 통해 심각한 피해를 유발하는 프로테스트웨어를 공개적으로 비판하며, 오픈소스 개발자에게 각자 러시아와 우크라이나의 사이버 전쟁에 맞설 오픈소스 유지 작업자라는 지위를 활용할 창의적인 대체 방안을 찾도록 간절히 요청했다.
오픈소스 이니셔티브는 공식 성명에 “의도적인 오픈소스 프로젝트 피해 유발 행위의 단점이 잠재적인 장점보다 훨씬 더 심각하며, 결과적으로 그 역풍이 오픈소스 프로젝트와 오픈소스 책임 기여자 모두에게 피해가 될 것이다. 더 나아가 모든 오픈소스에 피해가 발생할 것이다. 현명한 방식으로 각자의 힘을 발휘하기를 바란다”라고 작성했다.
오픈소스 소프트웨어는 누구나 무료로 접근할 수 있으므로 툴과 프로그램을 개인 프로젝트부터 주요 고유 소프트웨어까지 모든 곳에 적용할 수 있다. 단순히 이미 작성된 버전의 프로그램을 제작할 때, 처음부터 구성요소를 작성하고 테스트하는 데 시간을 소요하는 것을 원하지 않을 것이다. 그러나 모든 소프트웨어가 자발적으로 작업에 참여하는 개발자 1명이나 여러 명이 유지하는 프로젝트에 의존하거나 프로젝트의 유지 작업이 더는 이루어지지 않는다는 의미이다.
[사진=Pixabay]
오랫동안 알려진 오픈소스 소프트웨어의 장점은 개인이 검토하도록 개방돼, 고유 코드와 비슷하거나 더 강력한 보안을 지원할 수 있다는 점이다. 많은 이가 검토할수록 버그가 적을 것이라는 생각 때문에 오픈소스의 보안이 우수하다는 주장이 제기됐다. 그러나 실질적으로 오픈소스의 세이프가드는 종종 보안 검토 작업을 신중히 완료하는 데 제약이 있다. 보안 타격과 함께 제기된 의문 사항은 오픈소스의 분산화된 독립 공간이라는 전제의 중점을 공격한다.
보안 기업 체인가드(ChainGuard) 창립자이자 오픈소스 공급망 연구원인 댄 로렌스(Dan Lorenc)는 “실제로 오픈소스 내부 공격 빈도 증가를 막을 체계적인 작업이 이루어지지 않는다. 시간이 지나면서 여러 프로젝트가 널리 알려지고, 종종 익명을 사용하는 이들이 과거 수행한 작업 때문에 서로의 디지털 신원을 신뢰한다. 전 세계에서 승인된 오픈소스 작업자와 오픈소스 프로그램 명단은 없으며, 프로젝트마다 다른 관행에 따라 작업 승인자가 된다”라고 설명했다. 즉, 코드 변경 사항 승인과 배포 권한을 지닌 개발자가 된다는 의미이다.
오픈소스 프로젝트 유지 작업 담당자가 개인적인 이유나 범죄 혹은 정부 영향력 탓에 악의적인 활동을 할 것이라는 위협을 완벽히 제거할 방법은 없다. 그러나 이른바 내부 위협은 민간 기업 내부에서도 완벽하게 제거할 수 없다. 오픈소스 커뮤니티와 깃허브 등 오픈소스의 주요 웹사이트는 갈수록 자동화된 코드 스캔 툴을 모색해 더 많은 디지털 감시 작업 프로그램을 관리가 가장 까다로운 프로젝트에 적용하고는 정식 배포 전 버그나 의심스러운 변경 사항을 잡아낼 수 있다.
광범위한 보안 관리 작업을 적용하는 것이 특히 중요하다. 악성 공격 세력이 프로젝트에 침입하거나 과도한 업무에 지친 보안 유지 담당자가 관리 권한을 건네 악성 프로그램 무엇이든 마구 배포하는 데 악용할 수 있기 때문이다. 자동화 스캔 프로그램은 제한이 있지만, 로렌스는 종종 사이버 공격을 개시할 의도로 설치한 버그보다 우연히 등장하는 버그를 발견하는 데 더 능숙하다고 말한다.
하지만 사이버 보안 분야에서 장기간 연구원과 실무자로 활동한 이들이 단호한 태도를 보였으나 공개성이라는 특성에 바로 중요한 보안 요소가 존재한다고 설명했다. 보안 유지 작업이 일반적으로 추구할 수 있는 오픈소스 보안 지원 범위를 대거 확장하는 상황과 특히, 재미있는 취미 활동과 같은 프로젝트가 결국 전 세계 공급망의 중요한 고리로 변하는 상황이다.
구글 클라우드 인프라 부사장 에릭 브루어(Eric Brewer)는 “오픈소스를 활용하기 쉽지만, 자발적인 참여 작업은 임시방편이나 온갖 노력일 뿐이다. 또, 오픈소스로 이익을 누린 이들은 대부분 실제 이익을 본 사실을 깨닫지 못하며, 의미 있는 방식으로 작업에 이바지하지 않는다”라고 말했다.
브루어 부사장은 오픈소스 소프트웨어를 도로나 공공재와 같은 공공 기반 시설과 비유했다. 기반 시설 지원 자금을 줄인다면, 결과적으로 부적절한 운영과 보안 문제가 발생한다. 또, 브루어 부사장은 오픈소스 지지 세력이 지난 몇 년간 오픈소스 보안 지원 부족 문제를 경고했으나 결국, 러시아 사이버 공격 조직이 개시한 솔라윈즈 공급망 해킹 사태나 전 세계 기관과 네트워크의 공격을 드러낸 로그4j(Log4j) 오픈소스 로깅 라이브러리 보안 취약점 공개와 함께 오픈소스 보안 인식이 나아졌다는 점을 강조했다.
2022년 1월, 백악관은 구글, 마이크로소프트, 메타, 깃허브, 아파치 소프트웨어 재단을 포함한 테크 업계 대기업과 함께 오픈소스 보안 회담을 주관했다. 구글과 같은 기업은 최근 몇 달간 공급망과 오픈소스 보안, 각종 사이버 보안 기능 지원을 위해 거액의 금전적 지원을 약속했다.
다만, 브루어 부사장은 단순한 자금 지원을 넘어서 지속 가능한 지원 노력을 펼칠 것이라고 강조했다.
브루어 부사장은 “구글은 오픈소스 보안 유지 담당자가 반드시 이행하지 않는 약속을 하는 것을 확인할 필요가 있다. 목표는 유지 작업자의 역할 대체가 아닌 유지 작업지 지원과 도움, 필요한 도움 확인 등이다. 보안 유지 담당자는 구글이 일으킬 수 있는 가장 심각한 문제를 잠깐 해결한 뒤 사라진다. 바로 가장 간단한 보안 유지 작업 방식이다. 따라서 일관적인 지원과 지속 가능한 약속이 필요하다”라고 말했다.
로렌스는 보안 피해 위협과 관련, 단기적으로 최근 유명한 공격 사례가 여러 차례 발생한 뒤 모방 공격 행위가 급격히 증가할 것을 우려한다. 또, 오픈소스 보안 문제 해결에 적용할 모든 문제를 한 번에 완벽히 해결할 기술적 해결책은 없다는 사실을 강조했다. 다만, 오픈소스 보안 유지 작업자를 위한 금전적, 윤리적 지원 추가가 중요한 프로젝트의 중요한 보안 기능을 생성할 것이라는 점에 동의했다.
오픈소스 개발의 전반적 합의가 이루어지면서 주된 악 대상이 되자 프로젝트 보안 유지의 위험성이 심각한 수준으로 상승했다. 그와 동시에 각국 정부와 다른 중요한 기관의 오픈소스 채택 기피라는 결과로 이어질 대중적 반발을 막는 일도 매우 어려워졌다.
소프트웨어 엔지니어링 컨설턴트 제럴드 베니쉬크(Gerald Benischke)는 블로그에 “오픈소스 프로젝트를 러시아에 맞설 무기로 사용하고자 하는 강력한 유혹에 맞서야 한다고 생각한다. 오픈소스는 위험한 선례를 남긴 적이 있으며, 결과적으로 오픈소스 운동에 타격을 가하면서 여러 기관이 불투명하면서 불확실한 방식으로 상업용 소프트웨어 사용을 피할 도피처를 모색하도록 유도할 수 있다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202203/3829_5095_4337.jpg)
뉴스레터 신청