본문 바로가기

 

과기정통부, '아파치 로그4j 2' 긴급 보안업데이트 권고 및 점검 실시

- Open UP -

 

  • 과기정통부, 아파치 로그4j 2에 대한 심각한 보안취약점 발견됨에 따라 긴급 보안 업데이트  권고 및 긴급 점검 실시
    1. '로그4쉘'이라고 명명된 이번 취약점(CVE-2021-44228)은 원격코드실행이 가능하므로 즉각적인 보안 조치 필요
  • 깃허브 ‘2021 옥토버스 현황’에 따르면 코로나19로 원격근무가 증가하면서 온라인 환경에서 업무 효율성을 높여주는 자동화 기술이나 문서화 작업에 대한 관심이 증가하고 있으며
    1. 개발자들은 코로나 종식 이후에도 사무실과 재택근무를 혼합해 일하는 걸 선호

 

□ 과기정통부, '아파치 로그4j 2' 긴급 보안업데이트 권고 및 긴급 점검 실시

  • 아파치 로그4j(Apache Log4j) 2 서비스에 대한 보안 취약점이 발견됨에 따라 과기정통부에서 12일 긴급 보안업데이트를 권고
    1. * 로그4j는 사실상 거의 모든 서버에서 서버·프로그램 등의 운영 관리를 목적으로 로그기록을 남기는 데 사용하는 프로그램임
    2.  
    3. 로그4j의 보안 취약점을 막을 수 있는 긴급 보안업데이트를 진행하지 않을 경우 공격자가 원격에서 공격 코드를 실행할 수 있어 정보 탈취, 서비스 중단 등 심각한 피해 예상
      1. * 로그4j 긴급 보안 업데이트와 관련한 자세한 내용은 한국인터넷진흥원(KISA) 보호나라 홈페이지 내 보안공지 또는 자료실의 보안공지 1614번 항목을 확인

 

  • 아파치 재단은 해당 취약점을 해결한 보안 업데이트를 지난 6일 발표
    1. 아파치재단은 로그4j 2에서 발견된 취약점의 보안 위협 수준을 최고인 10단계로 평가하며 ‘매우 심각한 수준의 취약점’이라고 발표
      1. * '로그4쉘(Log4shell)'이라고 명명된 이번 취약점(CVE-2021-44228)은 원격코드실행(RCE)이 가능하며, 쉽게 악용할 수 있어 보안에 매우 치명적인 것으로 평가
      2. * 널리 쓰이는 프로그램에서 취약점이 발견됐기 때문에 실제 공격이 발생했을 때 피해가 커질 수 있음

 

  • 이번 취약점은 지난달 24일 알리바바 클라우드 보안팀에 의해 최초 보고, 온라인 게임 ‘마인크래프트’에서 취약점이 발견되면서 이슈화
    1. * 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 현상이 관찰됨
    2. 글로벌 보안 기업들도 잇따라 로그4쉘 관련 공격 포착
      1. * (시스코의 보안 전문 조직 탈로스) 로그4쉘 관련 미라이 봇넷 공격 시도 발견
      2. * (중국 보안 기업 넷랩)로그4쉘 취약점을 악용한 랜섬웨어 '무스틱' 및 미라이 봇넷 공격 시도 정황 포착
      3. * (글로벌 보안 기업 체크포인트) 로그4쉘 관련 공격 시도 47만건 이상을 탐지 및 보호, 이 중 45% 이상이 이미 알려진 악성 그룹에 의해 수행

 

  • 과학기술정보통신부는 정보통신, 금융, 의료 등 주요정보통신기반시설(90개 기관, 147개 시설) 대상으로 상황 파악 진행
    1. 전체 민간분야 기반시설(147개 시설) 중 30개 시설(20.4%)에서 아파치 로그4j 2를 사용, 조속한 보안 패치가 완료될 예정
    2. 이외에 소프트웨어 정책국과 협력하여 국가 기반 시설, ISMS 인증기업(758개사), CISO(2만3835명), C-TAS(328개사), 클라우드 보안인증 기업(36개사), 웹호스팅사(477개사), IDC(16곳)를 대상 보안업데이트 긴급 전파
    3. 13일 금융보안원은 국내 금융사 서버 대상 ‘로그4j 2’ 오류를 이용한 공격에 노출된 사실 파악하였으나 구체적인 피해는 없는 것으로 확인
      1. * 금융위원회, 금융감독원 등 금융당국과 긴밀한 정보공유체계를 유지하고 해당 취약점을 탐지할 수 있는 탐지툴을 개발해 신속하게 배포
    4. 공공기관의 사이버 보안을 담당하는 국가정보원은 12일 긴급 점검 결과, 현재까지 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 확인
    5. 과기정통부, 16일 아파치 로그4j 2 보안취약점 대응을 위한 긴급정보보호최고책임자(CISO) 간담회* 개최
      1. * 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호최고책임자협의회, 한국공개소프트웨어협회, 한국정보보호산업협회 및 국내 주요기업 CISO 참여
      2. * 기업의 취약점 대응현황 긴급점검, 정부 지원 및 민·관 협력 대응방안 등 논의

 

  • 정보통신산업진흥원에서는 공개소프트웨어 포털(oss.kr)을 통하여 보안취약점 게시판을 운영 및 공개소프트웨어 보안·라이선스 검증지원을 제공
    1. 보안취약점 게시판을 통해 취약점이 발견된 공개소프트웨어에 대한 컴포넌트명, 심각도, 대응방안 등의 정보확인이 가능하며,
    2. 기업이 공개소프트웨어를 활용하여 소프트웨어 개발시 보안취약점을 미리 파악할 수 있도록 보안·라이선스 검증을 지원하고 있음
      1. * 보안취약점 게시판 ▶▶ https://www.oss.kr/info_sec
      2. * 공개소프트웨어 보안·라이선스 검증 지원 신청 ▶▶ https://www.oss.kr/license_verify

 

 

□ 깃허브 연례 보고서 ‘2021 옥토버스 현황(2021 State of the OCTOVERSE)’을 통해 2021년 오픈소스 트렌드 분석

  • 코로나19 사태가 장기화되면서 오픈소스 업계도 과거 방식으로 돌아가기보단 코로나 환경 속에 적응하며 현 상황에 맞는 새로운 기업문화와 원칙을 만들어야 한다는 목소리가 높아짐
    1. 깃허브는 데이터를 통해 연간 활동을 분석하고 오픈소스 업계에서 나타난 변화를 소개하고 이에 맞는 전략을 제시
    2. 심층 분석은 ‘코드 작성과 배포’, ‘문서화 체계’, ‘지속 가능한 커뮤니티’라는 3가지 주제로 진행

 

  • 깃허브 연간 활동 현황 분석
    1. 1) 깃허브에 생성된 코드와 커뮤니티
      1. 깃허브의 총 이용자 수는 약 7천3백만 명
      2. 2021년 깃허브 신규 가입자 수는 약 1천6백만 명
      3. 포춘50 기업(미래유망기업)의 84%가 깃허브 기업용 버전을 이용
      4. 약 6천1백만 개의 레포지토리가 새로 생성
    2. 2) 국가 및 대륙별 사용자 현황
      1. 깃허브 사용자 현황은 과거 비율로만 공개됐지만 올해 처음으로 구체적인 수치로 공개됐으며 한국 사용자 수는 약 120만 명
      2. 순위 국가명 사용자수(단위:명)
        1 미국 13,551,846
        2 중국 7,555,311
        3 인도 7,210,455
        4 브라질 2,369,096
        5 영국 2,276,780
        6 러시아 1,981,853
        7 독일 1,929,413
        8 일본 1,747,877
        9 캐나다 1,636,278
        10 인도네시아 1,629,831
        11 프랑스 1,541,090
        12 한국 1,239,541
      3. [국가별 깃허브 사용자 수]
      4. * 출처 : https://octoverse.github.com/#future
      5.  
      6. 대륙별 비율은 작년과 크게 다르지 않으며 북아메리카(31.5%), 아시아(31.1%), 유럽(27.3%), 남아메리카(5.9%), 아프리카(2.3%), 오세아니아(1.7%) 순으로 집계
    3. 3) 주요 사용 언어
      1. [연도별 깃허브 프로젝트 내 인기 프로그래밍 언어]
      2. * 출처 : https://octoverse.github.com/#top-languages-over-the-years
      3.  
      4. 깃허브에서 가장 많이 사용 중인 언어는 자바스크립트이며, 파이썬, 자바, 타입스크립트, C# 순으로 인기가 높음
      5. 대다수 언어가 작년과 동일한 순위를 유지하고 있으며 C언어 인기도는 점점 하락 중

 

  • 코드 작성과 배포에 대한 분석
    1. 1) 자동화
      1. 자동화 기술을 도입하면 기술성과를 높이는 동시에 협업 문화를 증진 시키는 것으로 나타남
        1. * 여기서 말하는 자동화 기술은 CI/CD(Continuous Integration/Continuous Deploy)로 소스코드의 빌드, 테스트, 병합, 배포 과정 등을 자동화해주는 기술을 가리킴
        2. * 깃허브는 자체적으로 ‘액션(Actions)’이란 서비스로 CI/CD 자동화 기술을 제공 중
      2. 규모가 큰 프로젝트에서 깃허브 액션을 사용한 결과 하루 풀 리퀘스트 (Pull Request, PR)를 병합하는 양이 2배 증가했으며, 모든 규모의 오픈소스 프로젝트를 기준으로는 PR 처리 양이 36% 향상
        1. * 풀 리퀘스트(Pull Request, PR)란 코드를 수정하고 검토자에게 기술을 업데이트해달라고 요청하는 과정이며, 해당 요청을 처리하는 것을 ‘병합(Merge)한다’고 표현
    2. 2) 코드 재사용
      1. 기존 오픈소스 프로젝트를 재활용해서 소스코드를 개발하는 프로젝트가 점점 많아지고 있는 추세
        1. * 대표적으로 도커(Docker)는 4만 개가 넘는 오픈소스 기술을 활용하고 있으며 여기에 관여된 오픈소스 개발자는 약 63만 명
      2. 코드 재사용을 편하게 할 수 있는 환경에서 개발자의 업무 성과는 최대 87%까지 높일 수 있음
        1. * 따라서 코드 접근 권한을 두거나 정보를 여러 곳에 나눠 저장하는 것은 코드를 재사용을 막는 걸림돌이 될 수 있음
    3. 3) 코드 검색
      1. 깃허브의 총 이용자 수는 약 7천3백만 명개발자 중 60%가 필요한 정보를 쉽게 찾을 수 있을 때 업무를 더 잘할 수 있다고 느끼며, 레포지토리 검색이 잘 될 경우 업무 생산성이 11% 증가됨
      2. 팀 내부에서 검색 기능을 강화하면 일관된 코드 문법을 유지하는데 효과적
    4. 4) 업무방식
      1. 설문 조사 응답자의 업무 방식을 조사한 결과 코로나 이전 사무실에서 근무한 비중은 40%, 재택근무는 26.5%, 사무실과 재택근무를 혼합한 형태는 28.1%였음
      2. 코로나 종식 이후에 ‘어떤 업무 방식을 선호하겠는가’란 질문에 47.6%가 사무실과 재택을 혼합한 형태를 선택했으며, 재택근무는 38.8%, 사무실 근무는 10.7%만 선택
        1. * 개발자들은 이로서 더이상 코로나 이전 상태로 돌아가는 방식을 선호하지 않음을 시사
      3. [깃허브 사용자의 코로나 이전 업무 형태(좌)와 코로나 종식 이후 선호하는 업무형태(우)]
      4. * 출처 : https://octoverse.github.com/writing-code-faster/#where-work-will-happen-next
    5. 5) 검토자와 기여자의 균형
      1. 풀 리퀘스트(PR)를 집중적으로 검토하는 인력을 따로 둘 경우 오류를 줄이고, 코드 로직을 일관적으로 유지하는데 도움이 됨
      2. 하지만 전담 검토자를 추가할 때마다 PR를 병합하는 속도가 느려지기 때문에 적절한 수의 검토자를 두는 게 필요
      3. 오픈소스 프로젝트에서 PR 하나당 검토자를 3명 이하로 할당할 경우, 24시간 이내 통합될 확률이 높음
      4. 기업에서 PR를 확인하는 전담 검토자 1명을 지원할 경우, 하루 안에 PR이 병합될 가능성이 높음
      5. 2021년 기업에서 PR를 처리하는 속도는 일반 커뮤니티보다 2배 높음
        1. * 깃허브는 이런 속도를 봤을 때 현재 기업들의 업무 생산성이 코로나 사태 이전 수준으로 돌아왔다고 평가
        2. * 재택근무 및 코로나 환경에서 일하는 방식에 개발자들이 어느 정도 적응했다는 것을 시사

 

  • 문서화 체계에 대한 분석
    1. 기업 및 커뮤니티 모두가 양질의 문서가 제공될 경우 업무 생산성이 높아진다고 응답
    2. 문서가 최신이고, 상세한 내용을 담고, 기사, 영상, 토론 게시판 같은 다양한 형태로 지원될 경우 생산성이 50% 증가한다고 답변
      1. * 문서는 리드미(Readme), 기여 가이드리인, 이슈 문의 및 답변 기록 등을 포함하며 문서 내용은 신입 교육 자료, 거버넌스, 튜토리얼, 코드 구조 및 의존성 소개, 모범 사례 등을 제공
    3. 문서 발행 일자가 최신이고 다른 사람들의 추천을 볼 수 있는 지표(예:좋아요 수)가 많을수록 문서에 대한 신뢰도가 높아짐
    4. 기업 및 커뮤니티에서 운영 중인 오픈소스 프로젝트에선 대부분 리드미 파일을 구비해놓았으며, 기여 가이드라인은 기업에서 운영하는 오픈소스 프로젝트에서 더 많이 작성해놓음
    5. [커뮤니티 주도 오픈소스, 기업 주도 오픈소스, 일반 기업 프로젝트들의 리드미 파일(좌) 및 기여 가이드라인(우) 지원 비율]
    6. * 출처 : https://octoverse.github.com/#code-needs-documentation-to-become-a-project
    7. * 출처 : https://octoverse.github.com/creating-documentation/#contribution-guidelines
    8.  
    9. 굿 퍼스트 이슈(Good First Issues, 초보 기여자가 시작하기 좋은 이슈)를 별도로 표시해서 오픈소스 프로젝트를 관리하면 새로운 기여자를 늘리는 데 효과가 좋음
    10. 굿 퍼스트 이슈 표시가 40% 이상 있는 프로젝트에선 신규 기여자를 21% 추가로 영입할 수 있었음
    11. 데브옵스 연구기관인 도라(DORA)의 통계를 인용해 문서화가 잘 갖춰진 곳은 생산성이 2.5배 높다고 소개
      1. * 출처 : State of DevOps 2021 https://services.google.com/fh/files/misc/state-of-devops-2021.pdf
    12. 문서화 문화가 잘 정착된 대표 프로젝트에 ‘쿠버네티스 독스 스페셜 인터레스트 그룹(Special Interest Group, SIG)’으로 소개
    13. 쿠버네티스 독스 SIG은 누구나 문서 작성을 할 수 있으나 참여자를 멤버, 검토자, 승인자, 관리자로 나눠 문서를 체계적으로 생산 중
    14. 기여자 분류 기여자들의 조건 및 주요역할
      멤버
      (Member)
      1. 깃허브 계정으로 로그인 및 이중 인증
      2. 공식 기여 가이드라인을 숙지
      3. 최소 1개 이상 서브 프로젝트에 기여
      4. 2명의 검토자에게 피드백을 받아야 함
      검토자
      (Reviewer)
      1. 멤버로 활동한지 최소 3개월이 지나야함
      2. 20개 이상의 풀 리퀘스트를 검토하거나 통합
      3. 담당 코드 저장소에 대한 충분한 지식을 보유
      4. 검토자가 된 이후에는 타 멤버들의 기여를 파악하고 적절한 전문가에게 풀 리퀘스트 분배 및 관리
      승인자
      (Approver)
      1. 검토자로 활동한지 최소 3개월이 지나야함
      2. 30개 이상의 풀 리퀘스트를 검토하거나 통합
      3. 승인자가 된 이후에는 멤버 및 검토자들의 멘토 역할을 해야함
      4. 코드리뷰같은 방식으로 코드 품질을 전체적으로 관리해야함
      관리자
      (Subproject
      owner)
      1. 하위 프로젝트에 대한 기술적 방향과 우선순위를 설정
      2. 직접, 회의, 이메일, 게시판을 통해 토론과 기술 방향을 주도
      3. 쿠버네티스 관련 다른 하위 프로젝트와 협력
      4. 모든 커뮤니티 멤버에게 멘토링 제공
    15. [쿠버네티스 독스 SIG에서 분류한 멤버들의 주요 역할과 요구사항]
    16. * 출처 : https://github.com/kubernetes/community/blob/master/community-membership.md
    17.  

 

  • 지속 가능한 커뮤니티에 대한 분석
    1. 규모가 큰 오픈소스 프로젝트에선 '커뮤니티 행동강령(codes of conduct)'을 열려있는 문화를 표현하는데 활용
    2. 사용자들은 기여 가이드라인, 굿 퍼스트 이슈, 존중하는 말투로 토론하는 것이 커뮤니티에 대한 신뢰와 안정성을 평가하고 있음
    3. 신규 기여자들은 복잡한 기술 커뮤니티 외에도 단순히 흥미나 취미를 기반으로 가벼운 프로젝트에 관심을 가지고 있으며, 신규 기여자가 가장 많이 유입된 프로젝트는 게임, 만화, 과학, 교육 관련 프로젝트가 포함
    4. [가입한지 2년 이내 사용자가 많은 오픈소스 프로젝트]
    5. * 출처 : https://octoverse.github.com/sustainable-communities/#gateways-to-open-source
    6.  
    7. 최근 오픈소스 커뮤니티에서 주로 주목하고 있는 사항은 크게 아래의 5가지로 조사됨
      1. △법률적 문제를 일으키지 않고 혁신을 추구하는 방법
      2. △전 세계 퍼져있는 개발자들과의 효율적인 글로벌 협력
      3. △어떤 차별도 없이 누구나 개발자가 되도록 평등한 기회를 보장하는 방식
      4. △커뮤니티 안에서 의견 조율 및 중재를 하고 건강한 온라인 협업 문화를 만드는 것
      5. △정부의 오픈소스 프로젝트에 대한 투자 및 기여 상황으로 조사됨

 

 

□ 주목할 만한 월간 이슈(12월)

  • (금융) 케이뱅크, 계정계 시스템을 유닉스에서 리눅스로 전환 추진
    1. 상반기 중 계정계 간편결제 시스템을 리눅스로 전환하고, 지난달 11월 계정DB(데이터베이스), 카드AP(애플리케이션)도 리눅스 체제로 전환
    2. 2022년까지 뱅킹AP의 리눅스 전환을 통해 채널계를 포함하여 정보계와 계정계의 모든 시스템을 리눅스로 전환 예정
    3. 리눅스로의 전환을 통해 비용 약 30% 절감, 처리속도 개선도 기대
      1. * 최근 고객이 급증, 동시접속 고객 최대 10배로 증가했음에도 안정적인 서비스 제공 중
    4. 또한 리눅스 전환을 통해 최종적으로 클라우드로 시스템으로 전환, 고객의 이용 환경을 획기적으로 개선한다는 방침
  • (자동차) '현대차 자율주행' 모셔널, VR '뉴리얼리티' 오픈소스 공개
    1. 모셔널이 개발한 가상현실(VR) 환경인 뉴리얼리티(nuReality)를 오픈소스로 공개, 모회사이자 합작관계인 현대자동차의 자율주행 차량 개발에 적극적으로 활용할 계획
      1. * 지속적인 오픈소스 공개를 통해 자율주행 관련 연구의 가속화 및 데이터 공유 문화 확립 등을 목표로 세계 자율주행 자동차 업체들과 연구성과를 공유 추진
    2. 자동차의 교차로 정지 상황, 보행자와 자전거가 도로를 횡단하는 상황 등 도로에서 흔히 볼 수 있는 총 12가지 상황을 뉴리얼리티에 포함
  • (머신러닝) MIT AI연구소, '시각적 관계 작성 방법' 머신러닝 플랫폼 오픈소스로 공개
    1. 미국 메사추세츠공과대학교(MIT) 컴퓨터과학인공지능연구소(Computer Science and Artificial Intelligence Laboratory, CSAIL) 연구팀은 장면에서 물체 간의 근본적인 관계를 이해하는 인공지능 머신러닝 모델을 개발
      1. * 이를 통해 산업용 로봇이 창고에 물건을 쌓거나 기기를 조립하는 것과 같이 복잡한 다단계 작업을 수행해야 하는 상황에도 적용
    2. 이번 연구 결과는 세계 최고 권위의 인공지능(AI) 학회인 신경정보처리시스템학회(Neural Information Processing systems. NeurIPS)2021’에서 '시각적 관계 작성 방법 학습(Learning to Compose Visual Relations)'란 제목으로 발표되었으며 코드는 깃허브를 통해 공개
  • (오픈소스) 국립중앙도서관, 공공도서관 자료관리시스템 웹버전(KOLAS-WEB) 프로그램 오픈소스로 공개
    1. 개작 프로그램 소스를 공개할 의무가 없는 오픈소스 소프트웨어 라이선스를 적용해 누구나 자유롭게 활용 가능
      1. * KOLAS-WEB은 개발자가 선호하는 프로그램언어 JAVA로 개발
    2. 지난해 7월 공공도서관 자료관리시스템 클라이언트-서버 버전(KOLASⅢ) 프로그램 소스 공개 후 1년 5개월 만에 추가 공개
      1. * 업무기능과 데이터베이스 구조가 KOLASⅢ와 동일하여 KOLASⅢ 사용 도서관에서는 KOLAS-WEB 오픈소스를 활용해 웹버전 형태의 도서관 자료관리시스템으로 쉽게 전환 가능

 

□ 시사점

  • 향후 로그4쉘과 비슷한 보안 문제 발생에 대비하기 위해 정기적으로 보안 취약점을 점검하여 능동적으로 대처하는 것이 필요
  • 코로나19로 변화된 업무 방식에 대해 개발자들은 심리적으로 적응하고 있으며 현 상황에서 업무 생산성을 높이는데 필요한 기술 및 기업/커뮤니티 차원의 문화적 지원이 더욱 중요해질 전망

 

※ 참고 Reference

 

 

Creative Commons LicenseOpen UP에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.
.
.
2021
공개SW 가이드/보고서 - 번호, 제목, 작성자, 조회수, 작성
번호 제목 작성자 조회수 작성
공지 [2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file support 12394 2024-01-03
공지 [2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file support 9891 2024-01-03
공지 [2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file support 9835 2024-01-03
공지 공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file support 22363 2022-07-28
공지 공개소프트웨어 연구개발 수행 가이드라인 file OSS 20739 2018-04-26
408 [12월 월간브리핑] 과기정통부, '아파치 로그4j 2' 긴급 보안업데이트 권고 및 점검 실시 support 2544 2021-12-21
407 [11월 월간브리핑] '공개소프트웨어 활용 가이드 4종' 발간으로 오픈소스의 안전한 활용⋅확산 기대 support 2979 2021-11-23
406 [2021년] 개방형OS 도입 가이드 발간 2 file support 15556 2021-11-23
405 [2021년] 공공 공개소프트웨어 거버넌스 가이드 개정판 발간 file support 14172 2021-11-23
404 [2021년] 기업 공개소프트웨어 거버넌스 가이드 발간 file support 14603 2021-11-23
403 [2021년] 공개소프트웨어 라이선스 가이드 개정판 발간 file support 16419 2021-11-23
402 [10월 월간브리핑] 국내 기업의 오픈소스 거버넌스 현황 support 3695 2021-10-26
401 기업의 오픈소스 나침반, OSPO support 3690 2021-10-26
400 [9월 월간브리핑]국내외 오픈소스 동향 및 개발자·기여 활동 현황 support 2177 2021-09-29
399 [기고] 오픈소스를 통해 진정한 개발자로 성장하기 위한 조언 support 2800 2021-09-27
맨 위로
맨 위로