“공급망 보안 중요성 커졌다”…오픈소스보안커뮤니티코리아 창립

소프트웨어(SW) 공급망 보안 중요성이 갈수록 커지는 가운데 국내에서 오픈소스 등 공급망 보안을 논의하는 커뮤니티가 창립된다. 보안기업과 SW기업 모두를 아우르며 국내 공급망 보안 강화에 기여할 것으로 기대를 모으고 있다.

최윤성 고려대 소프트웨어 보안학과 교수는 4일 오전 서울 강남구 그랜드인터컨티넨탈 서울 파르나스 호텔에서 열린 '오픈SSF 코리아 커뮤니티 데이'에서 “한국은 오픈SSF와 같은 커뮤니티가 활성화하지 않았다는 의견이 있는데, 우리도 곧 오픈소스보안커뮤니티코리아를 발족할 예정”이라고 말했다. 최 교수는 오픈소스보안커뮤니티코리아 창립 조직위원회 리더(회장)를 맡고 있다.

오픈소스보안커뮤니티코리아 설립이 주목을 받는 것은 공급망 보안이 더 이상 선택이 아닌 필수가 됐기 때문이다. SW 공급망 보안은 SW 개발·설계·배포·업데이트 등 공급망 전 과정에 발생할 수 있는 보안 위협을 예방·대응하는 체계다. SW가 최종 사용자에게 전달되기 전까지 거치는 모든 과정에서 보안 취약점을 식별·보호하는 게 핵심이다. 특히 공개적으로 누구나 접근할 수 있는 오픈소스의 경우 공급망 보안 관점에서 보안성과 무결성 관리가 매우 중요하다.

오픈소스보안커뮤니티코리아는 오픈소스 등 공급망 보안 강화의 첨병이 될 전망이다. 현재까지 국내 정보기술(IT) 대기업과 정보보호기업, 오픈소스 SW기업 등 15개사가 참여할 예정으로, 연구자 등 개인도 가입이 가능하다. 참여사를 중심으로 내부 시스템, 소통 채널 등 구체적인 세부 사항을 마련하고 있으며, 내년 초 본격적인 활동을 시작할 계획이다.

오픈소스보안커뮤니티코리아는 경계 없는 커뮤니티, 교육, 로컬라이제이션(현지화) 등 크게 세 축으로 운영된다. 우선 오픈소스 개발자와 보안 전문가는 물론 정부 기관과 기업, 국가와 사회 등 경계를 넘어선 커뮤니티를 지향한다. 또 기존 지식을 재창조하는 교육을 실시하는 한편 한국을 포함한 아시아에서 나아가 글로벌을 혁신하는 로컬라이제이션 전략을 취할 방침이다.

최 교수는 “보안 기업과 SW기업 양측이 모여 교류하며 간극을 없애 나간다는 것이 커뮤니티의 가장 큰 의미”라며 “오픈소스 분야에서 새롭게 창출되는 기회와 인재를 연결하자는 목표를 갖고 창립을 준비하고 있다”고 말했다.

오픈소스보안커뮤니티 코리아는 오픈소스 스튜어드(steward)를 지원하는 역할도 수행한다. 오픈소스 스튜어드는 리눅스재단, 오픈SSF와 같이 디지털 제품을 판매하진 않지만, 오픈소스 프로젝트를 관리하고 주도하는 곳을 지칭한다.

최 교수는 “오픈소스 보안의 본질은 공동의 노력과 신뢰를 바탕으로 SW개발자와 보안 전문가가 SW 투명성을 통해 긴밀하게 협력하는 체계”라며 “커뮤니티를 통한 투명성과 협력이 우리의 가장 강력한 방어 전략이 될 수 있다”고 말했다.

조재학 기자 2jh@etnews.com