美 상원, '오픈소스 SW 보안법' 상정

미국 의회가 오픈소스 소프트웨어의 보안을 다루는 법률 제정을 속도감 있게 추진한다. 연방정부의 오픈소스 소프트웨어 사용에서 발생할 수 있는 보안 문제를 법적으로 규정하고, 보안 문제를 방지하기 위한 연방정부의 역할과 책임을 규정하는 법률이다. 법률안이 통과되면 오픈소스 소프트웨어 사용 시 보안성을 반드시 확보해야 한다는 게 법적으로 확정된다. 29일(현지시간) 미국 지디넷은 최근 미국 상원 국토안보위원회에서 민주당과 공화당 공동으로 발의된 '오픈소스 소프트웨어 보안 법(Securing Open Source Software Act)'의 내용과 문제점을 분석해 보도했다. 법률안을 발의한 미국 상원의원 개리 페터스(미시건주, 민주당)는 이 법에 대해 "오픈소스 소프트웨어 보안과 기타 목적에 관한 사이버보안 및 인프라 보안국(CISA) 국장의 의무를 설정한다"고 밝혔다 발의에 참여한 롭 포트만(오하이오주, 공화당) 상원의원은 "컴퓨터와 우리가 매일 사용하는 전화, 웹사이트는 사이버 공격에 취약한 오픈소스 소프트웨어를 포함하고 있다"며 "양당의 오픈소스 소프트웨어 보안법은 미국 정부가 미국인의 가장 민감한 데이터를 보호하기 위해 오픈소스 소프트웨어의 보안 취약성을 예상하고 완화하도록 한다"고 설명했다. 이 법안은 작년 로그4J 보안취약점 사태 이후 추진됐다. 로그4J는 오픈소스 코드 공격에 얼마나 취약한지 보여줬고, 새 법안은 미국 CISA에서 오픈소스 소프트웨어를 연방정부와 중요 인프라 및 기타 기관에서 안전하게 사용한다는 것을 보증하도록 돕게 해야 한다는 의지를 담았다. 미국 정부는 지속적으로 오픈소스 소프트웨어 보안 문제에 주목해왔다. 미국 행정부는 22일 발표에서 "전세계 컴퓨터의 압도적 다수가 오픈소스 코드에 의존한다"는 내용을 추가했다. 지난 1월 미국 연방 거래위원회는 로그4J 보안문제를 해결하지 않는 회사를 처벌하지 않겠다고 경고하기도 했다. 미국 정부는 그동안 오픈소스 소프트웨어를 적극적으로 지원해왔다. 2000년 국가안보국이 SE리눅스 개발을 지원했고, 2016년 당시 미국 최고정보책임자(CIO)였던 토니 스콧은 "연방정부를 위해 특별히 개발된 새로운 소프트웨어는 연방 기관 간 공유 및 재사용할 수 있어야 한다"며 "여기에 새로운 연방 자금 지원 사용자지정 코드의 일부를 대중에게 공개하는 파일럿 프로그램을 포함한다"고 오픈소스 코딩 정책을 제안했다. 오픈소스 소프트웨어 보안법은 그동안 정책과 규제 영역에 있던 오픈소스 소프트웨어를 연방 법의 영역으로 이동시킨다. 이 법안은 CISA가 연방정부에서 오픈소스 코드를 사용하는 방법을 평가할 수 있는 '리스크 프레임워크'를 개발하도록 지시한다. CISA는 또한 중요 인프라 소유자와 운영자가 동일한 프레임워크를 사용하는 방법을 결정하게 된다. 오픈소스소프트웨어보안재단(오픈SSF)의 법률 분석에 따르면, CISA는 정부, 산업계, 오픈소스 커뮤니티 프레임워크와 소프트웨어 보안의 모범사례를 통함해 오픈소스 코드 위험을 처리하기 위한 초기 평가 프레임워크를 만든다. 이 법안은 CISA가 오픈소스 소프트웨어의 리스크를 완화하는 방법을 식별하도록 요구한다. CISA는 보안 문제를 해결항 오픈소스 개발자를 고용해야 한다. 또, 일부 연방 기관에서 '오픈소스 프로그램 오피스(OPSO)'를 시작할 것을 제안하고, 미국 예산관리국(OMB)이 CISA 소프트웨어 보안 소위원회에 자금을 지원하며, 사용자의 오픈소스 소프트웨어 보호 방법에 대한 연방 지침을 발행해야 한다고 명시했다. 법안에 나오는 여러 아이디어는 오픈소스 보안 분야에서 익숙한 것들이다. 오픈SSF는 "SBOM의 사용, 개발과 빌드 및 배포 프로세스의 보안 관행 중요성, 리스크 평가 프레임워크 요구 등의 아이디어는 이미 친숙한 것"이라고 언급했다. 미국 지디넷의 스티븐 보간니콜스는 "이 법안은 놀랍게도 다른 요점을 놓치고 있다"며 "예를 들어 오픈소스뿐 아니라 모든 소프트웨어의 잠재적 위험을 확인해야 한다"고 지적했다. 시스코시스템즈의 브래드 아킨 최고보안및신뢰책임자 겸 수석부사장은 미국 의회에서 로그4J에 대해 "오픈소스 소프트웨어는 일부의 제안처럼 실패하지 않았으며, 로그4J 취약점이 오픈소스 소프트웨어의 고유한 결함 또는 증가된 위험의 증거라 판단하는 건 잘못됐다"며 "모든 소프트웨어는 설계, 통합 및 작성 시 인간의 판단에 내재된 결함으로 인해 취약점을 포함한다는 게 진실"이라고 증언했다. 오픈SSF는 정부와 법안 개선을 위해 협력한다는 입장이다. 오픈SSF는 "모두를 위한 오픈소스 보안 향상을 위해 업스트림 및 기존 커뮤니티 모두와 협력하고 작업하는데 전념하고 있다"며 "우리 모두가 의지하는 오픈소스 소프트웨어의 보안을 개선하기 위해 전세계 정책 입안자와 협력하기를 기대한다"고 밝혔다. 오픈SSF외에도 오픈소스 보안의 근본적 개선에 협력하려는 단체는 더 있다. 그러나 이들은 우려의 시선을 보낸다. 오픈소스이니셔티브(OSI)의 미국 정책 책임자인 뎁 브라이언트는 "의회가 모든 소프트웨어의 문제를 해결하는 대신 오픈소스를 소프트웨어의 특별한 종류로 취급하도록 하는 프레임워크를 구축하고 있다"고 우려했다. 유명한 오픈소스 분야 변호사이자 OSS캐피털의 총괄파트너인 헤더 미커는 "오픈소스 소프트웨어를 포함한 소프트웨어 인프라의 보안 관리 개선을 위한 초당적 노력은 좋은 일"이라고 평가했다.