[ 오픈테크넷 2021 - 삼성전자, “오픈소 | 커리어리

[ 오픈테크넷 2021 - 삼성전자, “오픈소스가 미래다” ] “오픈소스 하나만 잘하면 앞으로 최소 50년의 소프트웨어(SW) 커리어에는 전혀 문제 없을 것이라 장담합니다.” 과학기술정보통신부 주최, 정보통신산업진흥원(NIPA)·디지털데일리가 공동 주관으로 개최한 ‘오픈 테크넷 서밋 2021 버추얼 컨퍼런스’ 둘째날 박수홍 삼성전자 그룹장은 ‘오픈소스, 뉴노멀 시대의 소프트웨어 혁신 경쟁력’라는 주제 발표를 통해 이같이 자신했다. 그는 “1991년 리눅스 커널이 개발되던 당시의 오픈소스와 현재의 오픈소스 환경을 많이 달라졌다”며 “현재의 오픈소스는 100% 상업화됐으며 모든 기업들이 돈을 벌기 위해 오픈소스를 한다”고 말했다. 오픈소스 인력이 주목받고 있는 이유는 기업들의 오픈소스 참여와 맞닿아 있다. 그는 “기업들이 오픈소스, 오픈소스하는 이유는 오픈소스를 빼면 사실상 사업이 안되기 때문”이라며 “우리가 생각할 수 있는 모든 분야, 소매부터 통신, 로봇, 헬스케어 등 평균 80% 이상 오픈소스를 사용한다”고 말했다. 이처럼 기업이 오픈소스를 사용하는 가장 큰 이유는 효율성이다. 예를 들어 삼성전자가 A라는 스마트폰을 만들 때 필요한 기술이 있다고 하면, 기술을 정의하고 이에 필요한 소프트웨어 개발이 필수적이다. 이때 모든 개발자들이 제일 먼저 하는 것이 관련 오픈소스를 구글이나 네이버에 찾는 것이다. 이를 찾으면 원하는 기능만큼 해당 오픈소스가 제공하는지를 확인한다. 그는 “회사가 제품을 만들 필요한 기능이 조금씩 다르기 때문엔 오픈소스에서 약 80% 정도, 나머지 20%는 자체적으로 개발을 해서 상품화를 한다”며 “이 80%가 없었다면 전부 다 직접 개발을 해야 하지만 오픈소스를 통해 이 80% 개발에 들어가는 시간, 개발자 비용 등을 절감할 수 있다”고 설명했다. 그는 이어 “기업들은 오픈소스를 잘하는 사람들을 채용한다”며 “오픈소스를 잘하면 원하는 회사 어디든 갈 수 있고 이직도 쉽다”고 말했다. 일반적으로 오픈소스 개발 커리어가 그대로 유지되기 때문에 개발자들은 더 좋은 조건으로 이동이 쉽다. 현재 많은 기업이 작게는 수십명, 많게는 수백명 혹은 그 이상의 규모 조직을 운영하며 오픈소스를 발전시키고 있다. 삼성전자 역시 ‘오픈소스 그룹’이라는 오픈소스 전담 조직을 운영하고 있다. 사실상 소프트웨어를 다루는 모든 기업이 오픈소스에 사활을 걸고 있다. 이유는 기업 입장에선 오픈소스가 돈이 되기 때문이다. 그는 “오픈소스를 잘하면 많은 사람이 쌓고 싶어하는 스펙이나 학력, 학연·지연 이 모든 것들이 의미 없어진다”며 “오픈소스라는 오픈돼 있는 전쟁터에서 인정을 받은 사람이기 때문에 누구도 이 사람을 서류로 평가하지 않기 때문”이라고 힘주어 말했다.

[오픈테크넷 2021] 삼성전자, "오픈소스가 미래다"

Ddaily

2021년 9월 27일 오전 11:49

댓글 0

함께 보면 더 좋은

< '보안도 왼쪽으로'··· 오픈소스 SW 보안과 시프트레프트 전략의 상관관계 > 오픈소스 소프트웨어는 대다수 애플리케이션에서 큰 비중을 차지하지만, 개발자와 보안 부서에는 보안 관련 과제를 던지는 존재다. 이번주 공개된 2종의 보고서에는 오픈소스 소프트웨어의 과제를 ‘시프트 레프트’ 전략을 확대 적용하면서 극복할 수 있다는 내용이 실려 주목을 끈다. 개발자 보안 업체인 스니크(Snyk)와 리눅스 재단은 ‘오픈소스 보안 현황(The State of Open Source Security)’ 보고서에서 10곳 중 4곳 이상의 기업(41%)이 오픈소스 보안에 확신이 없다고 지적했다. 또한 지난 3년 간 오픈소스 프로젝트에서의 취약점 수정 기간이 꾸준히 늘어 2018년(49일)보다 2021년(110일)에는 2배가 넘었다고 발표했다. 오픈소스에 대한 논쟁 : 생산성 vs. 보안 550명 이상의 응답자를 확보한 이번 보고서는 애플리케이션 개발 프로젝트의 취약점이 평균 49개, 일명 오픈소스 코드라고 칭하는 직접 의존성이 평균 80개라고 밝혔다. 그러나 오픈소스 소프트웨어 개발 또는 사용에 대한 보안 정책을 마련한 기업은 절반에 약간 못 미치는 49%였다. 규모를 중대형 기업으로 좁혀보면 이 수치는 27%에 지나지 않는다. 스니크 개발 관계 이사인 매트 저비스는 발표문에서 “오늘날 소프트웨어 개발사는 자체적인 공급망을 보유하고 있다. 자동차 부품을 조립하는 것처럼 자사만의 독특한 코드로 기존 오픈소스 구성요소를 이어서 코드를 조립한다. 생산성과 혁신을 대폭 개선할 수는 있지만 그만큼 보안 위험이 커진다는 단점이 있다”라고 지적했다. "시프트 레프트로 취약점 조기 발견할 수 있어" 애플리케이션 자동화 테스트 업체 시프트 레프트(ShiftLeft) 역시 '애플리케이션 보안 발전(AppSec Progress)' 보고서를 발행하면서 오픈소스 소프트웨어 보안 역시 시프트 레프트 전략, 또는 소프트웨어 개발 생명주기 시작을 조기에 앞당기는 것으로 보완할 수 있다고 주장했다. 보고서는 시프트레프트의 코어(Core) 제품 사용자 경험을 통해 2개 스프린트 기간 안에 76%의 취약점을 수정할 수 있었다고 밝혔다. 취약점을 조기에 수정할 수 있었던 것은 그만큼 빨리 발견했기 때문이다. 시프트레프트 CEO 매니쉬 굽타는 개발자가 만드는 코드의 모든 변경을 중앙값 90초 안에 스캔하면, 코드가 아직 만든 지 얼마 되지 않아 생생하게 기억에 남아 있을 때이므로 취약점 수정이 훨씬 쉽다”라고 주장했다. 시프트레프트의 보고서는 소프트웨어 개선 외에도 스캔 시간이 빨라진 이유가 더 있다고 밝혔다. 시프트레프트는 “코드 라인이라는 면에서 애플리케이션 평균 규모는 점점 축소되고 있다. 따라서 마이크로서비스나 더 작은 모듈형 애플리케이션으로 이동하는 기업도 늘었다”라고 요약했다. 취약점 스캔 증가 시프트레프트 고객사들은 공격자가 취약점의 단 3%만 악용할 수 있게 되면서 애플리케이션에서 밝혀야 하는 오픈소스 소프트웨어 취약점 규모가 97% 축소되는 사례를 경험했다. 굽타는 오픈소스 소프트웨어 취약점 분석 시에 중요한 것은 애플리케이션에 취약점이 얼마나 많은지가 아니라 공격자가 악용할 수 있는 취약점 개수라고 강조했다. 시프트레프트는 또한, 고객사의 취약점 완화 시간이 2021년 19일에서 2022년 12일로 37% 단축됐다고 보고했다. 개발자와 보안 팀이 개발 프로세스 초기에 더 많은 양의 취약점 스캔을 수행한 덕이다. 굽타에 따르면 한 달에 3만 회 스캔을 수행하는 기업도 있다. 취약점의 실제 악용 가능성 보고서는 “실제로 공격자가 오픈소스 소프트웨어 취약점에 접근할 수 있는가?”라는 질문을 던졌다. Log4j 같은 제로데이 취약점이 2021년 12월 발견 이후 현재까지도 일부 기업을 괴롭히는 상황에서 이 질문은 매우 중요하다. 시프트레프트는 자사의 고객사 애플리케이션의 Log4j 취약점 중 96%가 공격받을 위험이 없다고 답했다. 즉, 악용할 수 없는 취약점을 수정하는 것은 전혀 보안에 위협이 되지 않는다는 의미다. 이런 취약점의 우선순위를 낮추고 다른 것에 집중하는 것이 옳은 판단일 것이다. 원문보기: https://www.ciokorea.com/news/241869#csidx859cd0222ae85edba0edb116f249603

'보안도 왼쪽으로'··· 오픈소스 SW 보안과 시프트레프트 전략의 상관관계

CIO Korea

추천 프로필

현직자에게 업계 주요 소식을 받아보세요.

현직자들의 '진짜 인사이트'가 담긴 업계 주요 소식을 받아보세요.

커리어리 | 일잘러들의 커리어 SNS