이원영 기자
구글이 10월 1일 오픈소스 소프트웨어 안전성에 기여하는 포상금을 지급하는 프로그램에 100만 달러를 제공한다고 발표했다.
구글은 오픈소스 소프트웨어 발전과 안전에 대해 상당한 투자를 실시하고 있으며 2021년 8월 오픈소스 보안 사업에 대해 1억 달러 지원책을 포함한 100억 달러 투자를 발표한 바 있다. 이런 노력에 이어 구글은 10월 1일 공식 블로그를 통해 리눅스재단이 운영하는 SOS(Secure Open Source) 파일럿 프로그램에 100만 달러를 기부한다고 발표한 것.
구글은 SOS 출자 선정 이유에 대해 SOS는 중요한 오픈소스 소프트웨어와 이를 지원하는 인프라를 공격으로부터 적극 보호하기 위해 다양한 개선을 하고 있으며 이에 보답하기 위한 것이라며 취약성 대책에 보상을 해주는 기존 프로그램을 보완하기 위해 SOS 지원 대상은 비교적 폭넓은 작업에 적용된다고 밝혔다.
SOS 지원 대상은 다방면에 걸친 포상금이 지급되는 프로젝트는 내용과 영향 등 전체를 보고 선발하지만 대개 사이버 보안에 대한 대통령령에 따라 미국국립표준기술연구소가 제정한 가이드라인과 기준에 의거해 선정한다. 기준은 보안 향상을 통해 혜택받는 사용자 수와 종류. 또 인프라와 사용자 보안에 얼마나 큰 영향을 주는가. 만일 프로젝트가 위기에 빠졌을 경우 심각성과 영향 범위. 또 개선된 취약점이 자유 소프트웨어 등 취약점을 평가하는 것(Census Program II)으로 지정되어 있는지 또 이와 비슷한 오픈소스 프로젝트(OpenSSF Critically Score 0.6) 이상 중요 점수가 주어지는가다.
보상금액은 프로젝트 영향과 복잡도에 따라 결정된다. 영향을 받는 코드와 지원 인프라 중요 취약점을 거의 확실하게 방지할 수 있는 복잡하고 영향력이 크며 지속적인 개선의 경우 1만 달러 이상이다. 또 보안 이점이 큰 복잡성이 중간 정도 개선이라면 5,000달러에서 1만 달러 사이이며 소규모 보안 관점에서 매리트가 있는 개선은 505달러다.
구글은 SOS가 전 세계가 필요로 하는 오픈소스 소프트웨어에 의존하는데 이 안전을 유지하기 위한 광범위한 자금과 지원이 필요한 현상을 해결하기 위한 노력 일환이라고 밝혔다. 따라서 이번 100만 달러 지출은 시작에 불과하다며 SOS 파일럿 프로그램이 미래 노력에서 출발점이 다른 다른 대규모 조직을 이끌도록 지속 가능하고 장기적인 운동 발전을 기대하고 있다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
