2020-09-25 22:10 (금)
“금융권, 오픈소스 리스크 관리 X…법적 분쟁·보안사고 위험 ↗”
상태바
“금융권, 오픈소스 리스크 관리 X…법적 분쟁·보안사고 위험 ↗”
  • 길민권 기자
  • 승인 2020.07.26 23:31
이 기사를 공유합니다

손장군 엔시큐어 이사 “리스크 관점에서 오픈소스 관리 필요...자동화된 도구 필수”
시높시스 OSSRA(Open Source Security and Risk Analysis, 오픈 소스 시큐리티 & 리스크 분석) 보고서 내용.
시높시스 OSSRA(Open Source Security and Risk Analysis, 오픈 소스 시큐리티 & 리스크 분석) 보고서 내용.

오픈소스가 다양한 산업군에서 사용되고 있지만 보안 및 라이선스 리스크 관리가 안되고 있다. 특히 비대면 환경에서 금융권은 오픈소스를 사용해 각종 모바일 앱을 출시하면서도 오픈소스 사용에 대한 법적 고지 의무를 대부분 위반하고 있다. 더불어 오픈소스 보안취약점 관리도 제대로 안되고 있어 심각한 보안사고 발생이 우려되는 상황이다.

오픈소스의 보안취약점과 라이선스 관리를 리스크 관점에서 준비해야 한다는 목소리가 높다. 특히 오픈소스의 종류가 다양하고 종류별 라이선스 규정이 달라 이 부분을 간과하면 심각한 법적 분쟁과 막대한 금액의 손해배상을 해야 한다. 국내에도 오픈소스 라이선스 규정 위반에 따른 피해 사례가 다수 있다. 금융권이 이를 간과하고 있어 위험한 상황이다.

◇삼성전자, 한컴, LG CNS 등 오픈소스 라이선스 규정 위반으로 손해배상-대표 체포까지

오픈소스 라이선스 법적 분쟁 사례. 금융보안원 자료.
오픈소스 라이선스 법적 분쟁 사례. 금융보안원 자료.

실제로 지난 2018년 국내 대표 소프트웨어 기업 한컴이 오픈소스 분쟁소송에 휘말려 23억원을 지불해야 했다. 한컴오피스에 듀얼라이선스인 고스트스크립트(Ghostscript)를 사용하면서도 코드 공개를 하지 않고 라이선스 비용도 지불하지 않았다. 무료로 사용할 경우 코드를 공개해야 하고 코드 공개를 안 할거면 사용료를 지불해야 하는데 이를 위반한 경우다.

거슬로 올라가면, 2008년 LG CNS 대표가 오픈소스 저작권 위반 혐의로 체포된 사례도 있다. 스페인 ‘SteemaSoftware’의 ‘Tee Chart’라는 오픈소스를 모회사에서 무단으로 제품에 적용했고 이 제품을 LG CNS가 구매해 사용했다. 심지어 GS인증까지 받은 제품이었지만, ‘SteemaSoftware’ 측은 해당 회사 뿐만 아니라 구매해 사용한 LG CNS까지 고소해, LG CNS 대표가 체포되는 상황까지 갔다.

삼성전자도 자사 제품에 오픈소스 Busybox를 사용하고도 라이선스 규정을 준수하지 않아 소프트웨어자유법률센터가 삼성전자를 GPL(General Public License) 위반혐의로 뉴욕법원에 제소한 사례도 있다. 2009년 합의로 종료됐지만 막대한 소송비용, 배상비용, 기업이미지 실추 등 손해가 발생한 바 있다. 삼성전자는 이를 계기로 오픈소스 라이선스 관리 프로세스를 구축하고 리스크 관점에서 적극적으로 대응하고 있다.

금융보안원 자료.
금융보안원 자료. 대부분 금융권 앱을 보면 오픈소스를 사용하면서도 해당 라이선스 규정을 어기는 경우가 많아 향후 법적 분쟁 위험성이 큰 상황이다.

위 사건 모두 오픈소스 라이선스 준수 의무를 지키지 않으면 얼마나 큰 리스크가 발생하는지 보여준 사례라 할 수 있다. 특히 GS인증을 받은 제품이라도 오픈소스 라이선스 문제가 발생할 수 있어 주의해야 하고 사내 모든 제품과 IT 시스템에 어떤 오픈소스가 사용되고 있고 보안취약점 관리가 제대로 되고 있는지 체계적인 관리가 필요하다는 것을 보여주고 있다.

◇금융권, OSS 리스크 관리 안되고 있어…법적 분쟁·보안사고 발생 우려↗

한편 금융권이 고객들에게 서비스하고 있는 모바일 금융앱들을 살펴보면 대부분 애플리케이션들이 오픈소스를 사용하고 있음에도 불구하고 저작권에 대한 법적 고지의무 등 기본적으로 준수해야 할 오픈소스 라이선스 규정도 지키지 않고 있는 상황이다.

특히 카카오뱅크 등 최근 핀테크 기업들은 서비스 앱에서 어떤 오픈소스를 사용하고 있는지 오픈소스 고지의무를 잘 이행하고 있지만 문제는 기존 은행들이 제공하는 앱들을 살펴보면 어디에도 오픈소스 사용 고지의무 내용을 찾을 수 없다.

금융보안원 측도 2016년 ‘오픈소소 SW 사용 위협 및 대응 방안’ 보고서에서 “여전히 많은 조직들에서는 오픈소스 SW를 단순히 무료 SW라고 인식하는 한편, 무분별한 사용 및 관리로 인한 라이선스 위반 및 보안 위협에 노출되어 있다”며 “더욱이 미션 크리티컬 업무와 개인정보 등 중요 정보를 다루는 금융권의 경우, 이러한 위협에 더욱 큰 피해가 예상된다”고 우려를 표명했다.

또 “2014년 이후, Heartbleed 및 Shellshock 등 오픈소스 SW 보안 취약점으로 인한 해킹 사고가 이어지고 있지만, 촉박한 개발 기간 등으로 인해 여전히 많은 조직들이 오픈소스 SW 관리에 소홀한 상황”이라고 강조했다.

은행, 카드사, 증권사, 보험사 등 금융권 오픈소스 리스크 관리를 위해 오픈소스 SW 거버넌스(Governance) 전담 조직 구성과 관련 솔루션 도입 등이 시급한 상황이다.

금융권의 경우, 핀테크 활성화 정책과 금융 소비자들의 다양한 요구에 부합하기 위해 스마트폰, 빅데이터, 클라우드 기반의 다양한 금융 서비스 개발이 필요해졌고, 이에 대한 경쟁력 확보를 위해 OSS 도입이 점차 증가하고 있다.

해외 글로벌 금융사는 물론이고, 국내 금융권에서도 증권부문을 중심으로 오픈소스 SW(Open-Source Software, 이하 ‘OSS’) 사용이 활성화되고 있다. 대표적으로 코스콤과 한국거래소에서는 차세대 거래 시스템과 같은 미션 크리티컬 서비스를 OSS 기반으로 구축해 운영중이다. 이처럼 OSS의 안정성 증대와 급변하는 금융 서비스 요구로 인해 금융 시스템의 OSS 전환은 향후 지속되고 있다.

하지만 OSS 사용 증가와 함께, 라이선스 위반 및 보안 관련 문제들 역시 급증하고 있으며 금융권도 이러한 문제로부터 자유롭지 못한 상황이다. 특히 금융권의 경우 보안사고 발생 시 개인정보 유출 및 금전적 피해로 인한 경제·사회적 파급효과가 매우 심각하기 때문에 더욱 주의해야 한다.

코스콤 발표에 따르면 이미 세계 금융거래의 50% 이상이 OSS를 통해 처리되고 있다. 특히 인공지능, 블록체인, 클라우드, 빅데이터, IoT 등 IT 신기술 영역에서 오픈소스 활용이 두드러지고 있으며, 금융권도 IT 신기술 활용을 위해 필수적인 오픈소스를 적극 도입하고 있는 추세다. 이에 오픈소스 라이선스 리스크는 금융권에 막대한 리스크로 작용할 전망이며, 오픈소스 중 60%가 하나 이상의 보안취약점을 보유하고 있다는 점도 큰 위협요인이 아닐 수 없다. 한국의 은행, 보험, 카드, 증권 등 금융기관의 발 빠른 OSS 거버넌스 구축이 필요한 시점이다.

◇”금융권, 자동화된 오픈소스 리스크 관리 프레임워크 구축 필요”

금융권을 비롯한 대부분 산업군에서 오픈소스 사용 비율은 계속 증가하고 있다.

OSS 리스크를 완화 및 개선하기 위한 가장 바람직한 방안은 OSS 리스크 관리 프레임워크를 구축하는 것이다. 그래야만 OSS를 효과적으로 활용하고, 라이선스 관리 및 컴플라이언스를 통해 OSS 사용에 따른 다양한 위험 요소를 제거 및 예방할 수 있다.

금융보안원은 ‘2020년 사이버 보안 이슈 전망 보고서’에서 “금융권의 디지털 전환을 위해서는 오픈소스의 활용이 필수불가결한 상황이다. 하지만 이를 악용하는 공격 시도도 계속 증가할 전망이다. 특히, 공격자들은 외부에 공개된 클라우드 관련 오픈소스 취약점과 보안 패치관리가 어려운 IoT 관련 오픈소스 취약점 발굴에 집중할 것”이라며 “오픈소스 활용 전 과정에 걸친 위험(리스크)관리 프레임워크 구축이 필요하다. 오픈소스의 도입부터 실 업무 적용까지 전 단계에 걸쳐 라이선스 위반 리스크를 모니터링하고 취약점 발견이나 사고 발생 시 체계적으로 대응할 수 있는 오픈소스 위험관리 프레임워크 구축이 필요하다”고 강조했다.

손장군 엔시큐어 이사는 “금융권의 오픈소스 사용은 계속 증가하고 있지만 오픈소스 리스크 관리는 제대로 안되고 있다. 오픈소스 리스크 관리 프레임워크를 구축하기 위해서는 전담 인력 몇 명이 수작업으로 감당하기는 불가능하다. 사내 모든 시스템과 도입한 제품, 앞으로 개발할 서비스까지 어떤 오픈소스를 사용했고 버전별로 어떤 취약점이 존재하고 이를 해결하기 위해서는 어떻게 해야 하는지 완벽하게 파악하는데 한계가 있다. 그래서 자동화된 오픈소스 리스크 관리 도구 도입이 필수적이다”라고 말했다.

OSS 리스크 관리 자동화를 위해서는 방대한 양의 OSS DB 구축, 라이선스 및 소스코드 비교 기술이 필요하다. 이로 인해 미국 FS-ISAC 등에서도 전문 솔루션을 사용할 것을 권장한다. 대표적인 솔루션 중 하나가 바로 ‘블랙덕(Black Duck)’이다.

◇OSS 리스크 관리 자동화 솔루션 ‘블랙덕’

블랙덕 제품 및 서비스를 제공하고 있는 시높시스의 ‘2020 오픈소스 시큐리티 & 리스크 분석 보고서’에 따르면, 오픈소스 사용 애플리케이션의 코드베이스 중 75%가 취약점을 가진 코드였으며 고위험군 코드도 49%로 조사됐다. 또 67%의 코드가 라이선스 리스크를 갖고 있는 것으로 조사됐다. 또 업데이트 되지 않고 4년 이상된 코드 비율이 82%, 2년 이상된 코드 비율이 88%로 달하는 것으로 조사됐다.

시높시스의 OSS 라이선스 관리 솔루션인 ‘블랙덕’을 국내에 공급하고 있는 엔시큐어(문성준 대표)는 “블랙덕은 GPL 및 BSD, 아파치 등 다양한 오픈소스 라이선스 정보를 제공하며 270만 개 이상의 오픈소스를 목록화해 라이선스 준수 사항을 확인 및 분석할 수 있다. 또한 소스코드 품질 관리를 위해 소프트웨어 개발 수명 주기에 따라 오픈소스 취약점을 탐지할 수 있다”고 설명했다.

또 “10만여 보안 취약점 및 2천600여 오픈소스 라이선스 분석을 수행하고 고객이 배포한 프로젝트의 소스코드 및 바이너리로부터 오픈소스 라이선스 식별, 식별된 오픈소스를 기존에 알려진 보안취약점과 자동 맵핑, 라이선스 준수 및 컴포넌트 품질 위험도 분석, 정책 위반 표기 및 조치 프로세스 트래킹, 오픈소스 소프트웨어 관리 정책 설정 및 실행, 데브옵스(DevOps) 환경과 오픈소스 소프트웨어 관리 통합, 식별된 새로운 보안취약점의 지속적인 모니터링을 지원한다”고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★

◇국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스(MPIS 2020) 개최
-주 최: 데일리시큐 / 후 원: 보건복지부, 병원정보보안협의회 등
-일 시: 2020년 7월 30일(목) 09:00~17:00
-장 소: 한국과학기술회관 지하1층 대회의실
-참석대상: 전국 의료기관 및 관련 공공기관 개인정보보호/정보보안 담당자(무료 참석)
(이외 참석자는 11만원 유료 참석만 가능)
-사전등록: 사전등록 클릭
-참가기업 문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)