오픈소스를 사용하지 않는 소프트웨어 개발은 이제 상상하기 어렵습니다.
하지만 오픈소스 생태계의 보안 위협도 함께 증가하고 있죠.
여러분은 OpenSSF(Open Source Security Foundation)를 알고 계신가요?
오늘은 개발자와 운영자라면 꼭 알아야 할 OpenSSF에 대해 알아보겠습니다.
리눅스 재단과 OpenSSF, 어떤 관계일까요?
리눅스 재단(Linux Foundation)은 2000년에 설립된 비영리 단체로, Linux 개발과 오픈소스 소프트웨어 프로젝트를 지원하는 대표적인 기관입니다.
전 세계 오픈소스 생태계의 중심 역할을 하고 있죠.
그리고 OpenSSF(Open Source Security Foundation)는 바로 이 리눅스 재단 산하에서 운영되는 글로벌 오픈소스 보안 협의체예요.
2020년에 출범한 OpenSSF는 전 세계 기업과 커뮤니티가 함께 참여하여 오픈소스 생태계의 보안을 개선하고 있습니다.
쉽게 말해, 리눅스 재단이 오픈소스의 '발전'을 담당한다면, OpenSSF는 오픈소스의 '보안'을 전담하는 조직이라고 볼 수 있어요.
OpenSSF는 실제로 어떤 일을 하나요?
OpenSSF는 오픈소스 생태계의 보안을 강화하기 위해 구체적인 도구와 프레임워크를 개발하고 있습니다.
현재 10개의 워킹 그룹을 통해 다양한 프로젝트를 운영 중이에요.
대표적인 프로젝트들을 살펴볼까요?
•
Scorecard: 오픈소스 프로젝트의 보안 수준을 0-10점으로 자동 평가하는 도구입니다. 소스코드, 빌드 프로세스, 의존성 관리 등을 종합적으로 체크해요.
•
Sigstore: 소프트웨어 아티팩트에 안전하게 서명하고 검증할 수 있는 도구 모음으로, "이 소프트웨어가 정말 개발자가 만든 게 맞나?"를 확인할 수 있게 해줍니다.
•
Alpha-Omega: Microsoft, Google, Amazon 등의 지원을 받아 가장 중요한 오픈소스 프로젝트들의 보안을 집중적으로 개선하는 프로젝트예요.
•
SLSA: 소프트웨어 공급망 보안을 위한 프레임워크로, 코드 작성부터 최종 배포까지 전체 과정의 무결성을 보장합니다.
개발자와 기업이 알아야 할 오픈소스 보안
개발자가 챙겨야 할 4가지 보안 체크리스트
오픈소스를 안전하게 사용하려면 단순히 코드를 가져다 쓰는 것 이상의 주의가 필요합니다:
1. 프로젝트 보안 상태 점검
OpenSSF Scorecard 같은 자동화 도구를 활용해보세요. 사용하려는 오픈소스의 커밋 서명 여부, 보안 정책 유무, 종속성 관리 상태, CI 활용도 등을 종합적으로 체크할 수 있습니다. 0-10점으로 평가되는 보안 점수를 정기적으로 확인하는 습관이 중요해요.
2. 저장소 접근 권한 강화
저장소 권한은 최소한으로만 부여하고, 반드시 다중 인증(MFA)을 적용하세요. 피싱 공격이나 인증 정보 탈취 위험을 크게 줄일 수 있습니다. 특히 production 브랜치에 병합할 수 있는 권한은 엄격하게 관리해야 해요.
3. CI/CD 파이프라인에 보안 게이트 설정
지속적 통합과 배포 과정에서 보안 검사를 필수 단계로 만들어야 합니다. 자동 빌드가 실행되기 전에 보안 게이트를 설정하고, 승인 절차를 거치도록 하면 악성 코드가 포함될 위험을 차단할 수 있어요.
4. 취약점 조기 발견과 신속 대응
OSS-Fuzz 같은 퍼징 테스트 도구를 활용하면 코드 내 숨어있는 취약점을 찾아낼 수 있습니다. 발견된 문제는 즉시 수정하고 패치를 적용하는 빠른 대응 체계를 갖춰야 해요.
기업이 구축해야 할 4가지 보안 체계
기업 입장에서는 조직 차원의 체계적인 관리가 필요합니다:
1. OSPO 구성과 보안 거버넌스 체계화
오픈소스 전담 조직(OSPO)을 구성하세요. 보안 정책 수립, 위험 관리, 교육, 모니터링을 책임지는 팀이 있어야 체계적인 보안 관리가 가능합니다. 산발적인 대응이 아닌 조직적인 거버넌스가 필요해요.
2. SBOM 기반 공급망 보안 체계 구축
소프트웨어 구성 요소 목록(SBOM)을 생성하고 지속적으로 관리하세요. 마치 제품의 '성분표'처럼 우리 소프트웨어에 들어가는 모든 오픈소스를 투명하게 관리하고, 이를 기반으로 보안 정책과 프로세스를 수립해야 합니다.
3. 전사적 보안 문화 정착
개발자와 운영 담당자를 대상으로 정기적인 보안 교육을 제공하세요. 단순히 정책을 만드는 것을 넘어, 보안 모범 사례가 조직 문화로 자리잡도록 지속적인 노력이 필요합니다.
4. 자동화된 취약점 탐지 시스템 구축
OSS-Fuzz, Package Analysis, OpenVEX 같은 도구를 적극 도입하세요. 코드 취약점과 의심스러운 패키지를 자동으로 탐지하고 차단하는 시스템을 갖추면, 수동으로 놓칠 수 있는 위험 요소들을 효과적으로 관리할 수 있습니다.
한국에서도 OpenSSF 커뮤니티가 출범합니다
반가운 소식이 있습니다!
OpenSSF의 한국 지부 역할을 하는 "오픈소스 보안 커뮤니티"가 창립을 준비 중이에요.
오는 11월 4일 "OpenSSF Community Day Korea 2025" 행사를 통해 공식 발족할 예정입니다.
이는 국내 오픈소스 생태계의 보안 수준을 한 단계 끌어올릴 수 있는 중요한 계기가 될 것입니다.
오픈소스 보안에 관심 있는 개발자, 보안 담당자, 그리고 기업 관계자 여러분의 많은 참여 부탁드립니다!
행사 등록 및 자세한 정보•
일시: 2025년 11월 4일
에스코어의 참여와 역할
에스코어는 이번 오픈소스 보안 커뮤니티의 창립 멤버로 참여하여 국내 오픈소스 보안 분야에서 영향력을 확대해 나갈 예정입니다.
앞으로 에스코어는 오픈소스 보안과 관련된 전문적인 기술 지원 및 거버넌스 컨설팅 서비스를 제공할 계획이에요.
기업들이 안전하게 오픈소스를 활용할 수 있도록, 그리고 국내 오픈소스 생태계가 더욱 건강하게 성장할 수 있도록 적극적으로 기여하겠습니다.
마치며
오픈소스는 현대 소프트웨어 개발의 필수 요소입니다. 하지만 그만큼 보안에 대한 관심과 투자도 함께 이루어져야 해요.
OpenSSF와 같은 조직의 활동이 중요한 이유죠.
11월 4일 OpenSSF Community Day Korea 2025에 많은 관심 부탁드립니다.
함께 더 안전한 오픈소스 생태계를 만들어가요!
관련 링크
•
OpenSSF 공식 웹사이트: https://openssf.org
•
Linux Foundation: https://www.linuxfoundation.org
•
OpenSSF가 이야기하는 안전한 개발을 위한 가이드: https://best.openssf.org/Concise-Guide-for-Developing-More-Secure-Software.html
성소연 프로
기업에서 오픈소스를 안전하게 사용할 수 있도록 돕는 거버넌스 업무를 담당하고 있어요