posted by 알짜 정보 岳岩 2019. 12. 24. 06:51

6년 동안 오픈소스 프로젝트 보안 강화 지원해왔던 구글, 더 과감한 투자 결단
작은 규모의 프로젝트 운영자는 보안 강화가 부담스러울수도…그래서 먼저 입금 예정


[보안뉴스 문가용 기자] 오픈소스 프로젝트의 보안을 강화하기 위해 구글은 지난 6년 간 패치 리워드 프로그램(Patch Rewards Program)이라는 걸 진행해왔다. 이번에 구글은 보다 구체적인 금전적 지원을 더하기로 결정했다고 한다.

[이미지 = iclickart]


패치 리워드 프로그램은, 보안을 강화한 서드파티 오픈소스 프로젝트만을 보상 및 수상 대상으로 삼았다. 다만 보안 강화 장치가 실제로 도입되었을 경우에만 해당되었다. 하지만 2020년부터는 보다 능동적인 지원을 하기로 결정했다고 한다. 즉, 보안 강화 장치가 실제 도입되기 전에 일종의 선불 개념으로 상금을 지급한다는 것이다.

구글은 “지난 6년 동안 보안 강화에 애쓰는 오픈소스 프로젝트들을 지원해왔다”며 “다만 상금을 받으려면 강화 조치가 반드시 먼저 도입되어야만 했다”고 설명했다. “이런 방침은 보안 강화에 큰 도움이 된 게 사실입니다. 하지만 이제는 저희의 지원 체제에 능동성을 더하고자 합니다.”

그래서 구글은 2020년 1월 1일부터 ‘선불’ 제도를 통해 오픈소스 프로젝트 운영자들이 보안 강화 프로젝트를 보다 자유롭게 할 수 있도록 할 예정이라고 한다. “필요한 자금을 먼저 제공함으로써 오픈소스 개발자들이 보안 작업에 만전을 기할 수 있게 하기 위함입니다.”

예를 들어 소규모 오픈소스 프로젝트 운영자라면, 보안 대책을 적용할 자원이 부족할 수 있다고 구글은 설명을 이어갔다. “뭘 할지 알고는 있지만, 여러 가지 자금이나 자원의 상황 상 도저히 보안부터 강화하기 힘들 경우가 있습니다. 그런 부담을 줄여주기 위해 구글은 이와 같은 결정을 한 것입니다.”

물론 상금에 준하는 돈을 전부 주는 건 아니다. 첫 단계에서는 5천 달러 정도가 지급된다. 간단히 고칠 수 있는 취약점부터 고칠 수 있도록 동기부여를 하는 차원에서다. 만약 규모가 큰 프로젝트라 보안에 대한 투자가 대대적으로 필요한 경우는 3만 달러가 지급될 예정이라고 한다.

오픈소스 프로젝트라면 일단 모두가 후보로서 등록될 수 있다. 후보를 추천하거나 스스로 후보로서 등록하기 위해서는 goo.gle/patchz-nomination에 접속해야 한다. 여기서 낸 양식과 지원서들을 구글은 매달 새롭게 검토하여 모든 조건에 부합한 프로젝트를 뽑는다. 뽑힌 프로젝트 개발자들에게는 개별적으로 통보가 가며, 그 순간부터 구글 프로젝트 진행자들과 오픈소스 개발자들이 함께 일하게 된다.

“인터넷 전체의 건강을 향상시켜주는 데에 꼭 필요하다고 생각되는 프로젝트나, 사용자가 굉장히 많은 프로젝트의 경우 뽑힐 확률이 높습니다.” 구글 측의 귀띔이다.

구글은 이번 프로그램의 변경으로 인해 오히려 더 많은 프로젝트 운영자들이 보안을 강화하고, 따라서 인터넷이라는 환경 자체가 더 안전해질 수 있을 것으로 기대하고 있다. 또한 패치 리워드 프로그램의 나머지 세부 사항들은 전년도와 동일할 예정이다. “이번 ‘선불 제도’만 추가되었을 뿐 나머지는 모두 이전과 같습니다.”

3줄 요약
1. 구글의 오픈소스 프로젝트 지원, 내년부터 더 과감해짐.
2. 여태까지는 보안 강화 조치가 도입된 오픈소스 프로젝트에만 자금 지원.
3. 앞으로는 보안 강화 위한 오픈소스 프로젝트에 미리 자금 지급. /보안뉴스 [국제부 문가용 기자(globoan@boannews.com)]

댓글을 달아 주세요