구글은 1월 13일(현지시간) 오픈소스 소프트웨어를 보호하기 위해 민관 협력이 필요하다고 밝혔다. 2021년 12월부터 큰 화제가 되고 있는 오픈소스 라이브러리 Log4j에서 발견된 취약성 문제에 따라 백악관에서 열린 오픈소스 소프트웨어 보안 회의에서 발표한 것.
이 가운데 구글은 중요한 인프라와 국가 안보 시스템에서 채용되고 있는 오픈소스 소프트웨어는 보안을 유지하는 작업 대부분을 자원봉사자가 실시하고 있다고 지적했다. 오픈소스 소프트웨어는 코드가 널리 공개되어 있으며 투명성과 많은 눈이 감시하기 때문에 보통 안전하다는 전제로 사용된다. 하지만 일부 프로젝트는 많은 눈이 향하고 있지만 다른 프로젝트에는 전혀 눈을 돌리고 있지 않다고 한다.
실제로 스팀이나 아이클라우드, 아마존, 트위터, 마인크래프트 등에서도 이용되는 로깅 라이브러리인 Log4j의 경우 깃허브 상 메인테이너는 3명이었다고 전해지고 있다. 구글 측은 삶에서 디지털 인프라 중요성을 감안할 때 곧 물리적 인프라처럼 생각할 수 있다며 오픈소스 소프트웨어는 온라인 세계 많은 부분을 연결하는 조직이며 도로와 다리처럼 주목하고 자금을 제공해야 한다는 말로 업계와 정부가 협력해 중요한 오픈소스 프로젝트를 지원해야 한다고 강조했다.
오픈소스 보안 우선순위를 관리하고 취약성을 수정하는데 도움이 되는 오픈SSF(Open Source Security Foundation)는 이미 있지만 구글은 이런 조직을 지원하기 위해 1억 달러를 지출했다고 한다. 관련 내용은 이곳에서 확인할 수 있다.