오픈SSF 행사 한국서 첫 열려...최윤성 교수 "개발자 보안, 국내외 핵심 협력 부상"
"미국과 유럽연합(EU), 우리나라에서 디지털 제품과 소프트웨어(SW)에 대한 사이버규제들이 생겨나고 있고 있습니다. 이러한 규제에 대한 대응, 또 보안 취약점에 대해 우리가 공동의 비전을 갖고 해결해 나가야 합니다." 최윤성 고려대 소프트웨어 보안학과 교수는 4일 서울 강남 파르나스에서 열린 '오픈SSF 커뮤니티 데이'에서 기조연설자로 나서 이 같이 밝혔다. 이날 최 교수는 '오픈소스 개발자의 보안 전략'을 주제로 발표했다. 이번 '오픈SSF(Open Source Security Foundation) 커뮤니티 데이' 행사는 최 교수가 제안, 올해 처음으로 한국에서 열렸다. 오픈소스보안커뮤니티 코리아 리더이기도 한 그는 프로그램 마련에도 참여했고, 커뮤니티 데이 공식 키노트로도 선정됐다. 특히 SW공급망 분야 전문가로 이 분야 지침(가이드라인)을 집필하기도 했다. 정부 자문도 많이 하고 있다. 그에 따르면, 미국은 의료기기와 디지털 제품 등에 대한 사이버보안을 강화하기 위한 법제화를 2023년 시행했고, EU도 사이버복원력법(CRA, Cyber Resilience Act)을 2022년 제안하고 2024년 채택했다. EU 시장에서 판매하는 모든 디지털 제품(소프트웨어·하드웨어 포함)에 일정 수준 이상의 사이버보안 요건 충족을 의무화한 법이다. 우리나라도 최근 S-BOM을 의무화한 공급망 보안 강화 정책을 발표했다. 최 교수는 보안 취약점과 관련 글로벌 트렌드로 리스크 관리, 투명성, 리포팅 세 가지를 꼽았다. 이날 최 교수는 글로벌 소프트웨어 공급망 보안 강화와 정책 준수, 취약점 대응 역량 확보의 중요성을 강조했다. 최근 의료기기, IoT, AI, 스마트 자동차 등 디지털 제품 분야에서 오픈소스 활용 확대와 함께 각국이 투명한 보안 정보 관리와 위험 대응 체계 구축을 법제화하고 있다. 최교수는 오픈소스 소프트웨어에 대한 '스튜어드(관리자)' 역할을 EU CRA가 신설한 주요 개념으로 소개했다. 오픈SSF와 리눅스재단 등 비영리 오픈소스 단체도 공급망 보안정책 수립 및 취약점 정보 공유, 공동위험 저감 활동을 수행할 의무를 강조하고 있다. 발표에 따르면, 최근 1년간 공개된 전체 보안 취약점(CVE)이 4만 건에 달하며, 실제 위험은 더욱 커졌으며, 주요 오픈소스 컴포넌트에 집중되고 있다. 고려대 연구팀의 'A' 산업 대상 연구 결과, 톱20 오픈소스 컴포넌트에서 전체 CVE의 80%가 발생, 공급망 관리 중요성이 부각됐다. 이에, 자동화한 SBOM(소프트웨어 구성요소명세서) 관리와 VEX(취약점 예외 검증)를 통해 각 환경에 맞는 실질적 위험 평가와 원천 차단 전략의 필요성을 함께 제시했다. 최 교수는 SBOM 외에도 “공동체 기반 위협 인텔리전스(SIREN 프로젝트) 및 지역 단위 오픈SSF 교육·네트워크(서울 오픈SSF Meetup 등) 활성화가 집단지성에 기반한 효과적인 방어법”이라며 학계·산업계·공공분야 간 협력과 정보 공유, 지역 혁신을 통한 글로벌 대응 역량 강화가 오픈소스 SW 공급망 보안 강화의 핵심 요소임을 강조했다. 특히 최 교수는 "한국에서도 곧 커뮤니티를 발족할 예정"이라고 밝혀 시선을 모았다. 현재 오픈SSF에는 세계적으로 9개 그룹(933명)이 활동 하고 있다. 한편 이번 '오픈SSF 커뮤니티 데이 코리아'는 국내외 오픈소스 및 보안 전문가들이 참여한 행사로, 오픈소스 서밋 코리아와 동시 개최, 산업·학계·공공·기술 커뮤니티 협력을 도모했다. 최 교수는 "이번 첫 커뮤니티 데이는 지식공유, 정책토론, 실전형 네트워크 형성까지 오픈SSF와 리눅스재단 주도의 새로운 글로벌 보안 전략을 서울 현장에서 제시한 역사적인 자리"라고 밝혔다. 행사에는 과기정통부 김수환 사무관과 람 이옝가(Ram Iyengar, OpenSSF 커뮤니티 매니저), 쥴리안 고든(Julian Gordon, 리눅스재단 APAC VP), 제니퍼 크롤리(Jennifer Crowley, 리눅스재단) 등이 참석했다. 또 공식행사 후 스패로우(대표 장일수)가 추최한 만찬이 열려, 오픈SSF와 국내 오픈소스 보안 커뮤니티가 한자리에 모여 공동세미나 개최 및 오픈소스보안에 기여하기 위한 다양한 협력 논의를 했다. 김수환 사무관은 인사말에서 "오픈소스는 디지털 혁신 원동력이자 모든 산업과 기술 근간이 되고 있다. 오픈소스 없이는 디지털 사회 구현도 불가능했고, 인공지능에 이렇게 혁신적인 발전도 없었을 것이다.하지만 개방성과 확장성은 동시에 소프트웨어 공급망 보안과 보안 취약점 관리라는 새로운 도전 과제를 가져왔다"고 짚으며 그 사례로 2021년 발생한 '로그 포 제이' 사건을 언급했다. 이어 이 사건으로 한 줄의 코드가 우리 사회와 경제에 얼마나 큰 영향력을 미칠 수 있는지 깨달을 수 있는 계기였다면서 "이는 오픈소스 생태계 신뢰성과 투명성에 대한 중요성을 다시 한번 일깨워줬다"면서 "AI 모델과 데이터 학습 과정의 투명성과 검증 방법은 더 이상 먼 미래의 과제가 아니다. 오픈소스는 수많은 개발자들이 협력과 공유의 정신으로 이룩한 생태계다. 오픈소스 보안 역시 마찬가지다. 특정인이나 특정 집단만의 노력으로는 달성할 수 없고 정부의 지원이나 제도만으로도 달성할 수 없다. 오픈소스 생태계에 참여하고 있는 모든 구성원의 노력과 참여가 필요하다"고 밝혔다.
