본문 바로가기
POST/Insight

오픈소스의 규모: 성장, 도전과제 그리고 인사이트

장수영2 2024. 11. 12. 06:00

 

 

2024년 오픈소스 소프트웨어의 도입과 성장세는 기록적으로 성장하여 연말까지 약 6.6조건 이상의 다운로드가 예상되고 있습니다. 소프트웨어 개발의 모든 영역에 오픈소스의 광범위한 영향력이 미치고 있습니다. 그러나 이런 빠른 성장세는 예상치 못한 도전과제들을 야기합니다. 최근 발행한 Sonatype의 2024 소프트웨어 공급망 상태 보고서에서 오픈소스의 규모와 주변 생태계의 주목할만한 성장을 깊게 살펴보았으며 악의적은 공격자들의 증가하는 위협도 소개를 하였습니다.

 

보고서의 주요 인사이트를 살펴봄으로써 오픈소스 도입의 규모와 보안에 대한 도전과제에 대해 살펴보겠습니다.

 

생태계 전반의 폭발적인 성장

보고서의 내용 중 주목할 만한 내용은 다양한 생태계에서의 오픈소스 다운로드의 괄목할만한 성장세입니다.

  • npm은 자바스크립트 생태계로 2024년 4.5조 리퀘스트를 기록하며 동년대비 70%이상 증가세 보임
  • PyPI는 파이선의 생태계로 모든 생태계 중 가장 빠르게 성장하고 있으며, 올 연말까지 약 5300억 리퀘스트에 달할 것으로 전망
  • 메이븐 센트럴은 주로 자바 개발자들이 사용하며 1.5조 리퀘스르를 기록할 것으로 예상됨

이미지 출처: 2024 State of the Software Supply Chain 보고서

 

 

이런 눈에 띄는 성장이 전부 긍정적인 것만은 아닙니다. 특히 npm 의 경우 ‘스팸’ 패키지, 즉 악성 혹은 저질의 패키지가 악의적인 의도록 퍼블리싱되는 현상도 발견되었습니다.

 

악성 패키지의 증가

오픈소스 구성요소가 지속적으로 증가하면서 오픈소스 말웨어 증가에 대한 우려도 커지고 있습니다. 지난 한해에만 Sonatype은 512,847 건 이상의 악성 패키지를 문서화하였고 이는 전년대비 약 156% 증가한 수치입니다.

 

특히, npm 환경이 가장 큰 영향을 받았는데, 이런 악의적인 공격자들은 PyPI와 같은 생태계가 악성 컨텐츠를 걸러내기 위해 신규 릴리스 수용을 늦추거나 멈추도록 만듭니다. 악성 패키지의 증가는 오픈소스 생태계의 보안을 더욱 견고하게 해야 한다는 점을 강조하며 많은 개발자나 조직이 전통적인 보안 도구만으로는 이런 위험을 감지하지 못한다는 점을 의미합니다.

 

주목할 만한 오픈소스 소비 지표

보고서에 따르면 오픈소스 소비 전반에 대해 다음과 같이 조사되었습니다:

  • npm (JavaScript) - 4.5조 리퀘스트
  • PyPI (Python) - 5400억 리퀘스트
  • NuGet (.NET) - 1590억 리퀘스트

 

이미지 출처: 2024 State of the Software Supply Chain 보고서

 

 

이 데이터는 현대화된 개발에서 오픈소스 소프트웨어의 광범위한 역할을 잘 보여줍니다.

 

그러나 이렇게 증가된 다운로드의 반대급부에는 늘어나는 잠재 리스크가 있습니다. 조사에 따르면 704,102 개의 악성 패키지가 2019년 이후 발견되었고, 오픈소스 도입의 규모가 커지는 것의 부정적인 효과를 잘 나타냅니다.

 

이미지 출처: 2024 State of the Software Supply Chain 보고서

 

오픈소스 의존성 관리의 어려움

오픈소스 사용의 급격한 증가는 개발자와 기업 모두에게 새로운 도전과제를 안겨줍니다. 주요 난제 중 하나는 복잡한 오픈소스 의존성을 효과적으로 관리하는 것입니다. 사용 가능한 구성요소가 급증하는 가운데, 안전하고 신뢰할 수 있는 것을 선별하는 것은 매우 어려운 일입니다.

 

이미지 출처: 2024 State of the Software Supply Chain 보고서

 

 

많은 생태계가 빠르게 증가하는 오래되고 보안되지 않은 패키지로 인한 위험에 대응하기 위해 애쓰고 있습니다. 여러가지 난제에는 다음과 같은 것들이 포함됩니다:

  • 스팸 및 말웨어 오염: 저질의 혹은 악성 패키지의 홍수는 개발자의 리소스를 빼앗고 보안 강화를 어렵게 만듭니다.
  • 버전 복잡성: 메이븐 센트럴의 경우 프로젝트당 평균 28개의 버전이 있는 것으로 보고되었습니다. 이는 적절한 버전의 선택과 보안 유지보수, 구성요소 업데이트에 어려움을 증가시킵니다

AI의 역할

본 보고서에서는 AI와 ML 기술의 발전으로 인한 급증하는 오픈소스 소비에 대해서도 살펴보고 있습니다. 특히 Python의 경우, AI 프로젝트가 오픈소스 라이브러리에 의존도가 높은 만큼 PyPI의 구성요소 사용이 빠르게 증가하는 것을 확인할 수 있습니다.

 

그러나 이에 따른 새로운 위험도 있습니다. AI 프로젝트는 많은 경우 의존성이 다중 레이어로 필요하며, 결과적으로 소프트웨어 공급망 공격에 취약하게 됩니다. 개발자는 프로젝트의 무결성을 보장하기 위해 매우 신중하게 의존성을 선택하고 보안을 적용해야 합니다.

혁신과 위험

오픈소스 소프트웨어의 증가는 혁신의 기회를 가져오는 반면 보안 위험과 복잡한 의존성을 관리하는데에 상당한 난제를 함께 동반합니다. 보고서를 통해 확인할 수 있듯이 기업은 오픈소스 사용의 규모가 증가하는 것에 발맞추어 보안 관행을 진화해야 하며 악의적인 공격자로부터 증가하는 위협에 대처해야 합니다.

 

더 상세한 내용은 Sonatype의 소프트웨어 공급망 현황 보고서를 통해 확인 가능합니다.

 

 

 

Sonatype 에 대한 추가 문의가 있다면 한국총판 (주)오에스씨코리아로 연락바랍니다.

저작자표시 비영리 변경금지

'POST/Insight' Related Articles

티스토리툴바