• 2022년 1월 13일, 미국 백악관(White House)은 오픈소스 소프트웨어의 보안 강화 및 신속한 대응체계 구축을 위해 정부 및 민간 이해관계자들과 오픈소스 소프트웨어 간담회를 개최함

- (개요) 대부분의 주요 소프트웨어 패키지에는 국가 안보 커뮤니티에서 사용하는 소프트웨어를 포함한 오픈소스 소프트웨어가 포함되어 있으며, 오픈소스 소프트웨어는 사용범위가 넓고 자발적으로 지속적인 보안 관리를 하고자 하는 사람이 많아 고유한 보안 문제에 직면하고 있음¹⁾

- (주요내용) 간담회 참석자들은 오픈소스 커뮤니티에 효과적으로 참여하고 오픈소스 소프트웨어의 보안에 변화를 줄 수 있는 방법에 대해 다음과 같은 3가지 주제에 초점을 맞추어 실질적이고 건설적인 토론을 진행함

(1) 코드 및 오픈소스 패키지의 보안 결함 및 취약점 예방
· 참가자들은 보안 기능을 개발 도구에 통합하고 디지털 ID와 같은 더욱 강력한 기술을 사용하여 코드를 작성, 보관 및 배포하는 데 사용되는 인프라 구축을 통해 개발자가 보안 코드를 더 쉽게 작성할 수 있도록 하는 아이디어에 대해 논의함

(2) 결함 발견 및 수정 프로세스 개선
· 가장 중요한 오픈소스 프로젝트의 우선순위 지정 및 지속가능한 관리 메커니즘 마련 방법을 논의함

(3) 수정 배포 및 대응 시간 단축
· 대통령의 행정명령에 따른 소프트웨어의 구성 요소 목록(Software Bills of Material)²⁾의 사용을 확대·개선하여 이용자가 사용하는 소프트웨어에 무엇이 포함되어있는지 더 쉽게 알 수 있도록 하는 방안에 대해 논의함

- (향후계획) 모든 참가자(민간 부문 및 정부)는 앞으로 이러한 이니셔티브를 지원하기 위한 논의를 계속할 것이며, 동 이니셔티브는 관심 있는 모든 공공 및 민간 이해관계자에게 개방됨


1) 2021년 12월 자바 기반 오픈소스 로깅 유틸리티 '로그4j'에서 치명적인 보안 취약점이 발견되어 전 세계 기업·기관의 혼란이 발생한 바 있음.
2) 소프트웨어 구성요소 목록(Software Bills of Material, SBOM)은 소프트웨어를 구성하는 여러 구성요소의 목록을 일목요연하게 정리하는 것으로, 소프트웨어 구매자와 공급자 간에 제품의 최신 내역 정보를 공유함으로써 완성된 솔루션을 원활히 관리하게 해줌(출처: 지디넷 코리아 “한국 소프트웨어도 SBOM 고민할 때다‘).