[6월 월간브리핑] NIPA, 참여·공유·협업의 가치를 실현하는 메이저 사이트SW 인재 양성을 위한 프로그램 온라인 지원 강화

• 1. 정보통신산업진흥원, 참여ㆍ공유ㆍ개방ㆍ협업의 메이저 사이트SW 문화 확산과 메이저 사이트SW 인재 양성을 위해 다양한 메이저 사이트SW 개발자 프로그램 운영

1. 디지털 혁신 분야(AI, 블록체인, IoT 등) 및 최근 사회적 이슈 분야(비대면 기술, 원격 협업 등)에 관한 내용 강화

• 2. 오픈소스를 이용한 프로젝트가 증가하면서 오픈소스 보안 강화를 위한 체계 구축의 필요성 증가

1. 오픈소스의 인기에 비례하여 취약점 증가, 소프트웨어 개발 진행 시 오픈소스 사용 정책 수립 중요

□ 정보통신산업진흥원(NIPA), 창의적 메이저 사이트SW 개발자 양성을 위한 메이저 사이트SW 온·오프라인 프로그램 진행

• 선배 개발자와 함께 참여ㆍ공유ㆍ개방ㆍ협업의 오픈소스 프로젝트를 직접 경험하는 ‘2020 오픈소스 컨트리뷰톤’ 진행
  1. 코드 기여뿐만 아니라 코드리뷰, 테스트, 버그리포트, 질문, 기능제안, issue댓글, 건의, 문서작성 등 다양한 작업으로 오픈소스 문화에 기여
     1. * 지난 4년간 81명의 멘토와 총 796명의 멘티가 59개의 프로젝트 컨트리뷰션 활동 진행
  2. 참가 멘티의 오픈소스 컨트리뷰션 활동 준비를 위한 Git, github등 실습 중심의 오픈소스 기본교육 지원
  3. 각 프로젝트팀의 멘토와 멘티는 약 6주간 컨트리뷰션을 위한 온·오프라인 멘토링 진행
  4. 총 26개의 프로젝트(멘토)가 확정되었으며, 현재 프로젝트에 참여할 멘티 모집 중(~7/6)
     1. * 자세한 내용 및 일정은 메이저 사이트SW포털(oss.kr)에서 확인 가능
     2. [2020 오픈소스 컨트리뷰톤] 멘티 모집 안내

• 올해로 14회를 맞이하는 국내 최대 규모의 메이저 사이트SW 도전의 장 ‘2020 메이저 사이트소프트웨어 개발자대회’ 개최
  1. 프로젝트 기획, 개발, 구현, 협업 등의 개발 경험과 기능테스트, 라이선스 검증을 통해 메이저 사이트SW 개발 프로세스 전 과정 경험
  2. 참가자에게는 공개SW 개발 역량 및 출품작의 완성도 향상을 위해 온라인 교육과 멘토링 제공
     1. * 온라인 교육은 공개SW 기초 과정과 기술별 심화 과정으로 제공
  3. 개발 분야는 AI, 빅데이터, 사물인터넷, 클라우드, 블록체인 등 디지털 혁신 분야와 원격 협업, 웹 오피스 등 비대면 기술 분야, 개방형OS 등 지정 주제 신설
  4. 총 22개팀을 선발하며, 현재 참가 신청 접수 중(~7/10)
     1. * 자세한 내용 및 일정은 메이저 사이트SW포털(oss.kr)에서 확인 가능
     2. 공개보증 사이트 추천 개발자대회 소개, 대회 운영 프로세스

• 과학기술정보통신부, 국방부와 함께 국방분야 메이저 사이트SW 인재양성 및 활용 역량 제고를 위한 ‘군 장병 메이저 사이트SW 역량강화 교육’을 진행
  1. 온라인 실습과 코드리뷰를 포함한 코딩교육 및 웹기반 개발환경 등 언택트 통합교육환경 제공 및 온라인 코딩 경진대회 운영
  2. 올해는 인공지능(AI) 관련 온라인 콘텐츠 강화하여 메이저 사이트SW 기반 딥러닝 프레임워크인 케라스 실습교육을 제공
  3. 수강신청은 국방부오픈소스아카데미(osam.kr)에서 6월 15일부터 진행 중
     1. * 자세한 교육 내용 및 일정은 메이저 사이트SW포털(oss.kr)에서 확인 가능
     2. [군장병 메이저 사이트SW 역량강화 교육] 소개

□ 오픈소스의 인기에 비례하여 위험성도 증가, 개발 진행 시 오픈소스 추적 및 취약점 탐지가 중요

• 오픈소스의 인기가 갈수록 높아지면서 오픈소스를 이용한 프로젝트 또한 증가하고 있음
  1. 시놉시스의 보고서에 따르면 작년 결과에 비해 49% 증가하여 프로그램 하나 당 평균 445개의 오픈소스 요소들을 포함하며, 91%의 애플리케이션들에서 지원 종료되어 유지 보수가 전혀 되지 않는 오래된 오픈소스 요소들이 최소 한 개 이상 발견되는 것이 문제

• 다수의 보안 보고서에 따르면, 오픈소스 프로젝트에 취약점 증가
  1. 보안전문 기업 리스크센스의 보고서에 따르면 2015년에서 2020년 3월 사이에 인기 오픈소스 프로젝트에서 2천694개의 버그가 보고되었으며 상위 54개 오픈소스 프로젝트는 2018년 421개에서 2019년 968개로 1년간 2배 이상 증가
     1. * 분석한 상위 54개 프로젝트 중 젠킨스 자동화 서버와 MySQL 서버가 각각 646개, 624개로 가장 많은 취약점이 있으며, 무기화된 취약점은 둘 다 15개임
  2. 시놉시스 보고서에 의하면 오픈소스 요소들의 3/4가 이미 메이저 사이트된 취약점을 보유, 그 중 절반은 ‘치명적인 위험도’를 가진 것으로 분석
  3. 소프트웨어 보안 전문 업체인 딥코드(DeepCode)는 수천 만 개의 커밋(commit)들을 스캔한 결과 4가지 유형의 취약점들이 특히 문제가 되고 있다는 것을 발견
     1. * 1) 입력되는 데이터 검사 및 처리 기능 부재, 2) 안전하지 못한 비밀번호 처리, 3) 약한 암호화 알고리즘, 4) 정보 숨김 장치 부재

• 개발에 필수요소가 된 오픈소스를 안전하게 활용하기 위해서는 오픈소스 추적 및 취약점 탐지가 중요
  1. 보안 업체 베라코드(Veracode)는 오픈소스 취약점이 많다고 해서 ‘오픈소스를 사용하지 말라는 것이 아니라 잘 알고 활용해야 한다’고 강조
  2. 기업내에서 사용하는 오픈소스의 보안 특성을 파악하고 보안취약점을 점검·진단하여 패치하는 등 오픈소스 사용을 위한 방법론 구축이 중요
     1. * 기존에 심각도가 낮은 취약점도 다시 높은 위험도의 취약점으로 분류될 수 있으며 낮은 수준의 위험도를 가진 취약점이라도 방치하다 심각한 위협 직면 가능

• 거의 모든 상용 소프트웨어 프로젝트에 오픈소스가 사용되고 있는 만큼 IT업계에서 오픈소스 보안 강화를 위한 체계 구축의 필요성 증가
  1. 오픈소스 사용 정책을 마련하는 사람, 실제 코딩을 하는 사람이 달라 서로의 입장을 이해하기 어렵다고 분석
  2. 오픈소스 요소에서 보안뿐 아니라 라이선스 문제도 발생 가능
  3. 기업은 전체 소프트웨어 개발 프로세스를 기반으로, 오픈소스 선택, 개발, 라이선스/보안취약점 관리, 배포, 유지보수 등 관리 항목과 이행사항 검토를 위한 오픈소스 사용 및 관리 정책 수립이 필요
  4. 정보통신산업진흥원(NIPA)의 Open UP 센터에서 공개SW(오픈소스) 활용체계 구축을 위한 컨설팅·교육 등 관련 서비스 제공
     1. * 공개SW 포털의 메이저 사이트SW 활용지원 사업 소개에서 자세한 내용 확인 가능사업소개 - 공개메이저 사이트
     2. 1. 메이저 사이트SW 거버넌스 체계 구축 지원
        2. 메이저 사이트SW 라이선스/보안 검증 서비스
        3. 메이저 사이트SW 라이선스/거버넌스 컨설팅 및 교육 서비스

□ 주목할 만한 월간 이슈(6월)

• (클라우드) 개방·민첩성을 높이기 위한 '오픈소스+클라우드' 전략
  1. 금융·통신·제조 등 코로나19를 비롯해 시시각각 변하는 대·내외 환경변화에 민첩하게 대응, 투자부담을 줄이기 위한 활용 필수
  2. KT·현대자동차·신한은행 등 주요 기업들은 오픈소스 활용도 증가
  3. 인프라는 클라우드, 솔루션은 오픈소스를 채택하는 '오픈소스+클라우드' 전략으로 '디지털 기민성' 향상
  4. 신한은행은 글로벌 대외계 시스템을 오픈소스와 클라우드를 활용해 구축하고 20개국 해외법인에서 오픈뱅킹 서비스를 지원
     1. * 대외계는 은행과 외부기관과의 연계업무를 처리하는 시스템으로, 글로벌 대외계는 해외 현지법인에 구축된 계정계 시스템과 현지 외부기관을 연동

• (블록체인) 고려대, 블록체인 기반 보안기술 ‘베리스마트' 오픈소스 메이저 사이트
  1. 고려대학교 소프트웨어보안연구소는 블록체인 기반의 스마트 계약 시스템의 보안 취약점을 자동 분석해 해킹 등 보안 사고를 예방하는 솔루션인 ‘베리스마트(VeriSmart)’가 오픈소스로 메이저 사이트
     1. * 스마트계약은 블록체인에서 일정 조건이 충족되면 중개인 없이 거래를 당사자 간 자동으로 체결되는 기술로 블록체인 기반 사업의 핵심 기술
  2. 고려대가 이번에 오픈소스를 메이저 사이트한 베리스마트는 실험 결과 취약점 검출률 100%, 정확도는 99.5%를 기록, 기존 솔루션의 단점을 보완하여 보안·안정성 향상

• (AI) 아마존, AI 및 AR 기술을 활용한 '거리두기 도우미(Distance Assistant)' 오픈소스로 메이저 사이트 예정
  1. 아마존이 자사 사무실 및 물류창고에서 사회적 거리를 유지하는 데 도움을 주는 '거리두기 도우미(Distance Assistant)'를 메이저 사이트
  2. AI 및 AR 기술을 활용해 시각적인 피드백을 바로 전달
  3. 어떤 기업이든 사용할 수 있도록 해당 소프트웨어를 오픈소스로 제공 예정

• (과학) 스페이스X, 우주선에 사용한 소프트웨어 및 최신화를 위한 과정 메이저 사이트
  1. 일론 머스크가 이끄는 우주탐사기업 스페이스X, 사상 첫 민간 유인 우주선 '크루 드래곤'을 국제우주정거장(ISS)에 성공적으로 안착시키며 많은 주목을 받음
     1. * 현재 재활용 발사체 ‘팰콘9’, 우주선 ‘크루 드래곤 캡슐’, 통신 위성 ‘스타링크’ 위성 등 다양한 로켓 개발 중
  2. IT매체 씨넷이 9일보도에 따르면 최근 레딧 AMA 참여해 우주선 소프트웨어 현대화를 위한 개발 과정 메이저 사이트
  3. 크루 드래곤 캡슐의 터치스크린에 오픈소스 버전 크로미엄(Chromium) 사용, 스타링크, 크루 드래곤 모두 리눅스OS 사용
  4. 이번 유인 우주 탐사를 위해 우주 비행사들과 함께 일주일 동안 해커톤을 개최했으며, 보안 위해 종단간 암호화, 해킹 전담팀 운영

□ 시사점

• 공유·협업·기여의 메이저 사이트SW 개발방식을 반영한 프로그램들을 통해 메이저 사이트SW 참여문화 확산에 기여
• 디지털 혁신 분야(AI, 블록체인, IoT 등) 및 최근 사회적 이슈 분야(비대면 기술, 원격 협업 등) 등 대내외 환경변화에 신속하게 대응 가능한 메이저 사이트SW 인재를 양성하여 지속적으로 상생 발전하는 생태계 조성에 기여
• 공개SW의 사용이 증가함에 따라 안전한 메이저 사이트SW 활용 체계를 구축하기 위한 거버넌스 체계 구축의 중요성 증가