![유럽연합이 '자유오픈소스소프트웨어감사(FOSSA)' 3차사업 일환으로 2019-2020년 15개 오픈소스 소프트웨어 프로젝트 대상 버그바운티를 운영할 계획이다. 버그바운티 참가자에게 보안취약점 신고 보상금으로 배정된 금액은 총 85만1천유로, 한국 돈으로 약 10억8천만원에 달한다. [사진=Pixabay]](https://image.zdnet.co.kr/2018/12/31/imc_dxzkezrptzsltXB9.jpg)
유럽연합(EU)이 새해 오픈소스 프로젝트 15개를 대상으로 보안취약점 제보자에게 보상을 주는 '버그바운티(bug bounty)'를 운영한다. 주요 '자유 오픈소스 소프트웨어(FOSS)' 개발 프로젝트의 보안성을 강화하기 위해 EU 예산을 직접 투입한다는 소식이다.
EU는 지난 2015년부터 자유 오픈소스 소프트웨어 감사(Free Open Source Software Audit) 프로젝트를 추진해 왔다. 그 일환으로 주요 오픈소스 프로젝트의 보안취약점을 해결한 참가자에게 보상금을 지급하는 버그바운티 시범사업을 시작했고, 새해 그 운영규모를 확대한다.
EU 예산을 통해 2019~2020년 운영되는 15개 오픈소스 프로젝트 대상 버그바운티 총 보상금 규모는 85만유로 이상으로 한화 기준 약 11억원에 달한다. 이 보상금이 배정된 15개 오픈소스 프로젝트 가운데 14개가 2019년 1월부터 시작된다.
EU 입법기구인 유럽의회(EP)의 줄리아 레다(Julia Reda) 의원은 지난 27일 블로그를 통해 "유럽연합 집행위원회는 EU 기관들이 의존하는 자유 소프트웨어 프로젝트에 15개 버그바운티 중 14개를 1월 중 운영할 것"이라고 밝혔다. [발표 원문 바로가기]
버그바운티는 소프트웨어 개발 프로젝트에서 버그나 취약점 등 보안 문제를 발견한 사람에게 상금이나 포상을 지급하는 대회 또는 사업을 뜻하는 용어다. 발견된 문제가 보안 관점에서 얼마나 심각한지, 그에 따른 피해가 얼마나 클 수 있는지를 기준으로 차등화한 보상을 준다.
레다 의원은 "(버그바운티 지원 대상) 소프트웨어 프로젝트는 과거 지원 대상 및 공개 설문조사를 통해 선정한 후보 가운데 선택됐다"면서 "여러분은 제시된 프로젝트의 소프트웨어를 분석하고 버그 또는취약점을 제출해 참여할 수 있다"고 설명했다.
지원 대상인 프로젝트 14개에는 파일질라(Filezilla), 아파치 카프카(Kafka), 푸티(PuTTY), VLC 미디어플레이어, 키패스(KeyPass), 세븐집(7-zip), 드루팔(Drupal), 아파치 톰캣(Tomcat) 등 한국을 비롯해 세계적으로 널리 활용되고 있는 유명 오픈소스 소프트웨어가 포함돼 있다.
한국에서 오픈소스 소프트웨어는 아직 그 사용 대가로 개발자 커뮤니티에 참여나 기여를 해야 한다는 인식이 형성돼 있지 않다. 유료 제품의 무료 대안으로 쓸 수 있어 라이선스 비용을 낮출 수 있다고 여기는 기업 및 기관 담당자들의 관점이 일반적이다. 이런 가운데 공공 조직이 직접 예산을 들여 글로벌 오픈소스 프로젝트의 발전을 꾀하는 시도가 수년째 지속, 확대되고 있다는 소식이 눈길을 끈다.
아직 글로벌 오픈소스 프로젝트 대상 버그바운티를 운영한 국내 사례는 없다. 수년간 한국인터넷진흥원(KISA)과 민간기업간 협력을 통해 '보안취약점 신고포상제'라는 이름으로 버그바운티 형태의 취약점 보상제도가 운영됐다.
다만 그 대상은 오픈소스가 아니라 각 협력 민간기업이 개발하고 출시한 상용 제품이라는 점, 해당 제품의 버그바운티 보상금을 그 개발업체가 내놓는다는 점에 차이가 있다. [관련기사 '"보안취약점 신고포상제, SW→서비스로 확대돼야"' 바로가기]
■ 2014년 오픈소스 HTTPS 구현 라이브러리 오픈SSL 치명적 버그 '하트블리드' 발견이 계기
EU의 버그바운티 프로그램 운영은 'FOSS 감사(Audit)' 프로젝트 3차 사업 일환이다. EU 당국은 지난 2015년 FOSSA 사업을 처음으로 승인했다. 2014년 오픈SSL(OpenSSL) 프로젝트에서 치명적 보안취약점, 일명 '하트블리드(Heartbleed)' 버그가 발견된 사건이 계기가 됐다.
오픈SSL은 인터넷 통신을 수행하는 소프트웨어에 HTTP를 트래픽을 암호화하는 HTTPS 접속 기능을 구현할 수 있게 해주는 오픈소스 라이브러리 프로젝트다. 하트블리드는 오픈SSL을 적용한 시스템이나 프로그램의 통신내용 및 비밀키를 노출시킬 수 있는 버그였다.
구글, 페이스북, 트위터 등의 인터넷 서비스와 델, IBM, 시스코, 주니퍼, HP 등의 네트워크 통신 기능을 갖춘 솔루션 및 장비에 오픈SSL이 사용되고 있었다. 크고 작은 수많은 IT업체가 오픈SSL을 쓰면서도 하트블리드 버그를 제때 발견하지 못했다. [관련기사 '하트블리드 취약점 경보의 오해와 진실' 바로가기]
하트블리드 버그는 오픈SSL 라이브러리에 2012년 3월부터 추가된 '하트비트(Heartbeat)' 프로토콜에 있었다. 하트비트 프로토콜은 서버의 암호화통신 유지상태를 확인하는 기능을 하는데, 하트블리드 버그는 요청한 정보의 크기를 확인하지 않아 발생했다. [관련기사 '그런데요, 하트블리드가 대체 뭔가요?' 바로가기]
오픈SSL을 비롯한 대다수 오픈소스 프로젝트는 자원봉사나 파트타임 개발자들의 참여로 만들어지고 있다. 개발 과정에 발생하는 버그가 충분히 검증되지 않은 채 배포되는 경우가 많았다. 하트블리드 버그가 발견되지 않은 채 2년 넘게 수많은 곳에서 활용된 배경이었다.
소스코드가 외부에 노출돼 있는 오픈소스 프로젝트는 취약점을 노출당할 위험이 크기도 하지만 수많은 사용자를 통해 미리 문제를 발견하고 해결할 가능성도 열어 놓고 있다. 다만 이는 오픈소스를 소비만 하지 않고 그 발전에 최소한의 기여를 하고 있을 때 성립하는 논리다.
오픈소스 소프트웨어를 활용함으로써 발생하는 이익이 있다면 적어도 일정부분 이상은 그 프로젝트와 커뮤니티에 되돌아가야 한다는 지적이 있다. EU가 직접 예산을 들여 FOSSA 프로젝트를 추진하는 것에는 이같은 인식이 깔려 있는 것으로 보인다.
레다 의원은 "그 문제는 많은 사람들에게 FOSS가 인터넷과 다른 인프라의 무결성 및 신뢰성에 중요하다는 점을 일깨웠다"며 "다른 여러 조직처럼 EP, 유럽이사회(the Council), 유럽위원회(the Commission)는 웹사이트와 다른 여러가지를 자유 소프트웨어 기반으로 만들었다"고 지적했다.
■ 2020년까지 지원대상 오픈소스 프로젝트 15개 버그바운티 포상금으로 85만1천유로 배정
FOSSA 프로젝트 1차 사업은 2015~2016년 시범사업으로 진행됐다. 첫 사업 예산은 100만유로(약 12억7천만원)였다. 첫 사업에서 EU는 그 행정조직 및 소속 공무원들이 사용하는 주요 오픈소스 프로젝트를 조사해 목록을 만들고 공개 설문조사를 진행해, 이 사업의 보안감사 지원 대상을 결정했다. 그렇게 결정된 대상은 '아파치 웹서버'와 패스워드 관리프로그램 '키패스'였다.
FOSSA 프로젝트 2차 사업은 2017년 후속 진행됐다. 버그바운티 운영대행 전문업체 '해커원'을 통해 운영됐다. 지원 대상은 멀티미디어 재생 애플리케이션인 'VLC 미디어플레이어'였다. 이 때 배정된 예산은 200만유로에 달했는데, 버그바운티에 보상금으로 할당 가능한 예산은 6만유로였다.
FOSSA 프로젝트 3차 사업은 2019부터 2020년에 걸쳐 진행된다. 이 기간중 15개 프로젝트 대상 버그바운티가 85만1천유로(약 10억8천만원) 규모로 운영된다.
15개 프로젝트 대상 버그바운티 가운데 14개가 2019년 1월부터 시작한다. 해커원이 맡은 '미드포인트' 버그바운티는 유일하게 2019년 3월부터 시작한다. 프로젝트 시작일부터 보안전문가와 보안전문회사는 아래 오픈소스 프로젝트에서 취약점을 찾아 제보하고 확인된 취약점을 통해 패치가 이뤄지면 상응하는 보상금을 받는다.
지원 대상 프로젝트 15개 중 파일질라, 아파치 카프카, 노트패드++, 푸티, VLC 미디어플레이어, 미드포인트(midPoint), 6개 프로젝트 버그바운티를 해커원이 운영한다. 플럭스(FLUX TL), 키패스, 세븐집, 디지털시그니처서비스(DSS), 드루팔, GNU C라이브러리(glibc), PHP심포니, 아파치 톰캣, WSO2, 9개 프로젝트 버그바운티를 인티그리티가 운영한다.
프로젝트별 버그바운티 총 보상금을 보면 파일질라는 2019년 1월 7일부터 8월 15일까지 5만8천유로(약 7천만원) 규모로 운영된다. 아파치 카프카, VLC 미디어플레이어도 그와 동일하다. 같은 기간중 노트패드++는 7만1천유로(약 9천만원) 규모로 운영된다. 푸티 버그바운티는 1월 7일부터 12월 15일까지 9만유로(약 1억1천만원) 규모로 운영된다.
관련기사
- 하둡-컨테이너-쿠버네티스 접목 시도 본격화2018.12.31
- "차세대 바이너리분석엔진 'B2-R2' 오픈소스로 푼다"2018.12.31
- 큐브리드, 오픈소스DBMS 전환 10주년 기념2018.12.31
- "오픈소스 보안 취약점 발견도 블록체인으로"2018.12.31
플럭스 버그바운티는 1월 15일부터 10월 15일까지 3만4천유로, 키패스 버그바운티는 1월 15일부터 7월 31일까지 7만1천유로 규모로 운영된다. 세븐집은 1월 30일부터 4월 15일까지 5만8천유로, DSS는 1월 30일부터 10월 15일까지 2만5천유로, 드루팔은 1월 30일부터 10월 15일까지 8만9천유로 규모로 운영된다.
glibc, PHP심포니, 아파치 톰캣, WSO2 프로젝트 버그바운티 모두 1월 30일부터 시작한다. glibc는 12월 15일까지 4만5천유로, PHP심포니와 아파치 톰캣은 10월 15일까지 각각 3만9천유로, WSO2는 4월 15일까지 5만8천유로로 운영된다. 미드포인트 버그바운티는 3월 1일부터 8월 15일까지 5만8천유로 규모로 운영된다.
