[디지털데일리 이안나기자] 급변하는 IT환경에서 기업들은 빠르고 유연하게 고객이 원하는 서비스를 제공해야 할 과제가 생겼다. 기존 앱을 클라우드 중심 모델로 업데이트하고, 기능 중심 개발을 위해 컨테이너를 활용하는 ‘애플리케이션 현대화’가 주목받고 있는 이유다.

이때 개발시간을 단축하면서 비용도 절감하는 방법은 바로 ‘오픈소스 소프트웨어(OSS)’ 활용이다. 오픈소스는 누구나 자유롭게 활용·수정·배포할 수 있는 코드를 의미한다. 문제는 오픈소스를 제대로 활용하기 위해선 깊은 이해가 필요하며, 저작권 침해 및 보안 위협을 최소화하기 위한 고려도 필요하단 점이다.

삼성SDS 자회사인 에스코어는 오픈소스 도입·사용·운영까지 가능하도록 원스톱 서비스를 제공하는 오픈소스 전문기업이다. 삼성그룹 기술 서비스를 다년간 수행한 경험 기반으로 2022년부턴 대내외 오픈소스 거버넌스 구축 사업을 본격화했고, 지난해 매출 1000억원을 돌파했다.

◆ OSS 거버넌스 필수 시대, 외부 사업 시동 건 에스코어

최근 서울 송파구 잠실 에스코어 본사에서 <디지털데일리>와 만난 서성한 에스코어 OSS사업팀 팀장은 <디지털데일리>와 만나 “에스코어는 주로 시스템 소프트웨어나 클라우드 중심으로 오픈소스 영역을 많이 해왔다”며 “삼성그룹 메일 엔진을 오픈소스 기반으로 내재화하는 등 10년 정도 쌓은 역량으로 다른 회사에 기여하며 사업을 키우고자 한다”고 말했다.

에스코어 OSS사업팀이 강조하는 건 오픈소스 거버넌스 체계 구축 필요성이다. 실제 국내외에선 ‘제대로 된’ 오픈소스 활용법을 강조하는 분위기가 조성되고 있다. 미국 연방정부에선 소프트웨어(SW) 자제명세서(SBOM) 제출을 의무화하는 행정명령이 등장했고, 국내선 금융분야 오픈소스 활용관리 안내서가 공표됐다.

연지영 OSS기술그룹 프로는 “오픈소스 거버넌스 필요성이 인식된 게 처음엔 라이선스 분쟁 때문이어서, 초기엔 라이선스 위반을 하지 않기 위한 체계 구축에 집중했다”며 “이젠 보안 취약점 문제까지 대두가 되면서 취약점 관리까지 다룰 수 있는 컨설팅을 진행하고 있다”고 전했다.

SBOM은 소프트웨어(SW)에 사용된 오픈소스·라이브러리 등 구성 요소를 나타내 공급망 투명성을 높인다. 전날인 18일 과학기술정보통신부와 국가정보원 등은 ‘SW 공급망 보안 가이드라인1.0’을 공개하며, SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련·확산할 필요가 있단 점을 강조했다.

국제적으로 통용되는 SBOM 표준은 사이클론DX와 SPDX(Software Package Data Exchange)가 있는데, 정부에선 국내 상황에 맞춘 자체 SBOM 표준을 제정하고 있다. 실제 오픈소스 보안 취약점을 보완하고 오픈소스 라이선스 위반 소송에 휘말리지 않기 위한 방안으론 SBOM 관리가 필수라고 볼 수 있다.

◆ “SBOM 마련보다 중요한 건 취약점 대응·해결 방법”

이민우 에스코어 OSS전략사업 그룹장은 “정부 차원에서 SBOM 가이드라인을 제시하면 산업 전반에 그 필요성이 증대될 수 있다는 데서 긍정적”이라면서도 “SW 구성요소를 잘 뽑아 만든 자재서가 SBOM인데, 그 자체는 라이브러리 개념일 뿐 문제 해결책은 아니다”라고 말했다.

2021년 발생했던 ‘로그4J(Log4J)’ 사태를 떠올리면 이 의미를 이해하기 쉽다. 당시 광범위하게 사용되던 로그 기록·관리 모듈 오픈소스 로그4j가 가장 심각한 보안 취약점을 갖고 있단 점이 알려졌다. 해킹 위협이 커졌음에도 불구 많은 기업들은 자체 SW에 로그4J를 쓰고 있는지조차 파악할 수 없어 문제가 됐다.

공급망 단계를 나눠 SBOM을 작성하면 각 부분마다 어떤 오픈소스가 적용됐는지 파악할 수 있어, 문제가 생기면 빠르게 파악할 수 있다는 장점이 있다. 하지만 보안 취약점이 나왔을 때 이를 관리하고 대응할 수 있는 지원은 별도로 필요하다.

SBOM 작성을 포함한 오픈소스 관리 중요성은 점점 더 중요해질 전망이다. 미국 연방정부 SOBM 제출 권고는 언제든 의무 사항으로 바뀔 수 있다. 해외로 직접 수출하는 기업뿐 아니라 수출기업에 SW를 납품하는 기업 역시 오픈소스 관리를 고려해야 한다는 의미다.

일부 대기업은 오픈소스 거버넌스를 전담하는 조직도 있다. 하지만 아직까지 자체 소프트웨어에 어떤 오픈소스를 적용했는지 파악하고 있지 못한 경우가 대다수다.

임호현 OSS기술그룹 프로는 “에스코어는 오픈소스 관련 조직구성부터 정책을 어떻게 갖춰야 하는지, 어느 단계에서 오픈소스 점검을 받아야 하는지 등 전반적으로 논의해 구축하는 컨설팅 서비스를 제공한다”며 “거버넌스 파트 자체도 경쟁사들보다 많은 인력을 보유하고 있다”고 말했다.