김택완 블랙덕소프트웨어코리아 대표ⓒEBN

"소프트웨어 개발 방법이 변했습니다. 과거 개발자가 처음부터 끝까지 소프트웨어를 개발했다면 지금은 오픈소스를 대거 차용하는 방식이 됐습니다."

김택완 블랙덕소프트웨어코리아 대표는 4일 EBN과의 인터뷰에서 작금의 소프트웨어 개발을 '레고'를 조립하는 과정에 비유했다.

개발자는 일정 부분 이상을 오픈소스로 채워넣은 뒤 빈 부분을 개발하기 시작한다. 레고 블럭이 일정 모형을 갖춰 토대를 완성시켰다면 이후는 개발자 몫이다.

오픈소스는 무상으로 공개된 일종의 소스코드 설계도를 말한다. 개발기간과 비용을 대폭 낮출 수 있어 대부분의 소프트웨어 제작에 오픈소스가 활용된다. 핸드폰, TV 등에 탑재되는 소프트웨어의 90%, 자동차의 경우 약 30%가 오픈소스로 제작된다. 이에 따라 이를 악용한 보안 위협도 증가하는 추세다.

김 대표는 "오픈소스는 '공개'돼있다는 특징으로 인해 취약점 발견 시 누구나 유튜브 등을 통해 아마추어 해커가 될 수 있다"며 "현재는 이미 알려진 보안 취약점조차 제대로 조치가 안되고 있는 상황"이라고 우려했다.

실제 '하트블리드(HeartBleed)' 취약점의 경우 2014년 발견됐지만 현재 절반 이상에 해당하는 60%가 패치가 안 된 상태다. '셸쇼크(Shellshock)' 취약점의 경우 1989년 발견됐지만 현재까지 보안 구멍으로 존재한다.

블랙덕소프트웨어에 따르면, 매년 오픈소스 취약점을 기반으로 한 공격은 20%씩 증가 추세다. 상용코드와 달리 모니터링부터 업데이트까지 모두가 사용자 몫이기에 관리가 어렵다.

김 대표는 "이틀 전에 개발한 소프트웨어에서 어제 취약점이 발견됐다면 제조업체가 이를 발견하기까지 시간차가 발생할 수밖에 없다"며 "오픈소스 보안 취약점의 문제는 '문제가 뭔지 모른다는 것'"이라고 설명했다.

ⓒ블랙덕소프트웨어

기업 입장에서는 오픈소스 취약점을 목록화하고 싶으나 이행이 쉽지 않다는 사실도 문제로 지적된다. 개발자는 오픈소스 일부에 있는 소스를 수정해 사용하거나 전체 중 일부를 이용한다. 문제가 되는 소스코드를 찾는 것에 한계로 작용한다.

블랙덕소프트웨어는 오픈소스 보안, 컴플라이언스 및 거버넌스 솔루션을 공급하고 오픈소스 컨설팅을 수행하는 기업이다. 지난해 영국 벨파스트(Belfast)와 캐나다 벤쿠버에 오픈소스 취약점 연구소를 설립했다. JP모건, 체이서, GM, 시스코, IBM 등이 고객사다.

한국에는 지난 2006년 법인을 설립했다. 올해부터 오픈소스 보안관리 자동화 솔루션 '블랙덕 허브(Black Duck Hub)'를 국내에 판매하기 시작했다.

김 대표는 "4차산업혁명은 사물(things)이 컴퓨터화하는 것을 말하지만 이것은 껍데기일 뿐, 핵심은 소프트웨어“라며 "오픈소스를 악용한 해킹 위협이 늘어남에 따라 오픈소스 가시성 확보가 기업의 새로운 과제가 될 것"이라고 전망했다.

©(주) EBN 무단전재 및 재배포 금지