오픈소스SW 라이선스 해외 법률자료
바이든에게 보내는 공개서한: FOSS를 위한 사이버보안은 카피레프트와 소비자의 수리할 권리가 필요하다
2022년 2월 1일, Bradley M. Kuhn
Log4j 사태의 영향으로 백악관은 최근 빅테크 단체들과 만나 국가 인프라에 사용되는 FOSS의 보안 취약점 문제를 논의했다. 이러한 문제가 행정부 최고위층에서 주목을 받은 것은 다행이지만, 이러한 논의에서 대표성이 왜곡된 것은 아닌지 우려된다. FOSS의 많은 부분을 사용하고 개발하며 공익과 소비자 권리를 중심으로 조직된 애호가와 커뮤니티는 대표되지 않았다. 또한, 회의에 참석한 단체는 카피레프트에 우호적이지 않은 조직에 편향되어 있다. 당연히, 이러한 단체는 FOSS 보안 문제에 대한 만병통치약으로 소프트웨어 명세서(SBOM)에 초점을 맞췄다. SBOM은 국가의 소프트웨어 인프라를 강화하는 유용한 작은 조치이지만, 적절한 해결책은 카피레프트(된) FOSS를 선호하는 것이다.
소비자는 소스코드에 대한 접근 권한, 수정 및 재설치 권한 (또는 자유 시장에서 원하는 사람을 고용할 수 있는 권한)이 있어야 한다. 이러한 권한이 없으면, 중요한 인프라의 일부로 소프트웨어에 의존하는 모든 기업, 개인, 정부는 보안 취약점을 식별하고 보완할 수 없다. 게다가, 기업이 소유할 수 있고 실제로 소유하고 있는 비(非) 카피레프트 FOSS의 광범위한 통합은 보안에 대한 잘못된 인식을 만든다. 즉 많은 사용자가 “FOSS inside”(SBOM에 기재된 것과 같이)가 해당 소프트웨어가 독점 소프트웨어보다 낫다는 것을 의미하지 않는다는 것을 인지하지 못할 수 있다.
우리의 우려를 해결하기 위해 백악관에 보내는 공개서한 전체가 아래에 포함되어 있으며 PDF로도 제공된다:
친애하는 바이든 대통령님, 뉴버거 부보좌관님, 잉글리스 국장님 등께:
먼저, 우리는 귀하의 행정부가 log4j 소프트웨어 취약점 문제에 대해 매우 심각하게 받아들인 것에 대해 매우 감사하게 생각하고 있으며 오바마 대통령이 재임기간 동안 OpenSSL 취약점 (일명 “하트블리드”)을 진지하게 받아들인 노력에도 감사드립니다. 소프트웨어 자유 단체인 우리는 자유-오픈 소스 소프트웨어(FOSS)가 소프트웨어를 개발하는 데 더 좋고 더 신뢰할 수 있는 방법이라고 깊이 믿고 있지만, 완벽한 소프트웨어 개발 방법이 없다는 것도 쉽게 인정하고 있습니다. (결함은 발생할 수 있고 발생하고 있습니다.) 하지만 인프라에 대한 의미 있는 투자를 포함하는 건전한 계획은 잠재적인 취약점을 제한할 뿐만 아니라 불가피하게 발생하는 취약점에 적절히 대응하기 위해 필수적입니다.
귀하도 동의하시겠지만, 소프트웨어 의존도가 높아지고 있는 미국의 인프라와 국가 안보는 이러한 유형의 관심과 주의가 요구됩니다. 귀하의 행정부가 이 중대한 사안에 몇 가지 기본적인 조치를 취한 것은 기쁘게 생각하지만, FOSS의 소프트웨어 보안 취약점 문제를 해결하기 위해 귀하의 행정부가 사용하고 있는 현재의 방법론에 필요한 개선을 요청하기 위해 이 공개서한을 보냅니다. 요컨대, 귀하의 행정부는 영리 목적의 소프트웨어 업계가 받아들인 훌륭한 첫 걸음을 내디뎠지만, 우리는 깊은 우려를 갖고 있습니다. 우리는 강력한 기술 산업이 FOSS의 보안을 보장하기 위해 필요한 의무적인 조치에 저항할 것으로 예상합니다. 이는 만약 귀하의 행정부가 FOSS의 사이버 보안을 보장하기 위해 필요한 변화를 요구한다면 필요한 변화는 기업과 주주가 더 적은 이익으로 살아야 한다는 것을 의미한다는 기본적인 사실 때문입니다.
이달 초에 열린 회의에는 몇몇 중요한 단체가 포함됐지만 안타깝게도 한쪽 특정 방향으로 치우쳐졌습니다. 구체적으로, 회의에는 특정 형태의 FOSS를 선호하는 기업과 조직의 대표자만이 포함된 것을 확인했습니다. 즉 기업이 소프트웨어를 자체 독점 기술로 변경할 수 있도록 하는 FOSS의 형태입니다. FOSS에는 대략 두 가지의 형태가 있습니다. 공급업체가 공개적으로 사용 가능한 소프트웨어를 가지고 영업 비밀을 변경할 수 있게 하는 비 카피레프트 FOSS, 이와 대조적으로 모든 소스코드 (및 해당 소프트웨어의 취약점을 보완하는 데 필요한 수단)를 고객에게 완전히 공개해야 하는 방식으로 라이선스가 부여된 카피레프트 FOSS입니다. 비 카피레프트 FOSS는 치명적인 결함을 갖고 있습니다: 취약점을 유발할 수 있는 수정을 포함하여 독점 제품에 쉽게 통합될 수 있습니다. 공급업체는 이러한 변경사항에 대한 모든 세부 정보를 고객과 정부를 포함한 모든 사람에게 비밀로 유지할 수 있습니다. 게다가, 회사는 소프트웨어가 특정 FOSS 프로젝트를 기반으로 한다고 공개할 수 있는데 이는 잘못된 보안 인식을 영속시킵니다. 소비자는 FOSS라는 라벨이 붙어 있기 때문에 소프트웨어 자체를 쉽게 감사하거나 서드파티 회사를 고용하여 소프트웨어 취약점을 검사하거나 발견된 취약점을 복구하는 것과 같은 FOSS의 실질적인 이점이 적용된다고 종종 추측합니다. 그러나 해당 FOSS가 카피레프트 라이선스가 아니라면, 그러한 보증은 없습니다. 고객 (연방 정부가 될 수도 있는)이 여전히 필수적인 인프라를 위해 해당 소프트웨어에 의존하는 동안 공급업체가 폐업하면 어떤 일이 벌어질지 상상해 보십시오.
FOSS를 전담하는 선도적인 기관 중 하나로서 우리는 이 중요한 순간에 우리의 전문 지식을 공유하는 것이 매우 중요하다고 믿습니다. 우리는 귀하의 행정부가 보여준 관심과 SBOM 요구사항에 대한 공표에 대해 진심으로 감사드립니다. 표면적으로, 이는 올바른 방향으로 가는 작은 발걸음입니다. 하지만, 우리는 의미 있고 정보에 입각한 개선 없이는 단지 위장 역할만 하고 잘못된 보안 인식을 만들어 낼까 두렵습니다. 포함된 소프트웨어의 간단한 목록은 공급업체 소프트웨어의 취약점을 복구하는 방법에 대한 모호한 단서를 제공할 뿐입니다. 기존 SBOM 형식은 실제로 소프트웨어 소스코드를 받고 사용하고 의존하는 고객에게 소스코드를 완전히 공개하거나 수정할 것을 요구하지 않습니다. 카피레프트가 없는 독점 소프트웨어에 대한 SBOM을 갖는 것은 자동차 후드 아래에 있는 부품 목록을 갖고 있지만, 제조업체가 후드를 용접하여 닫았다는 것을 발견하고 만약 이를 열어보려고 하면 수백만 달러를 청구할 수 있는 계약에 서명하도록 강요받는 것과 같습니다. 자동차는 겉으로 보기에는 안전해 보일지 모르지만, 자동차가 안전하고 신뢰할 수 있으며 유지 보수가 가능한지는 알 길이 없습니다.
많은 소프트웨어 회사가 책임감 있게 카피레프트 라이선스를 사용하고 필요한 소스코드를 제공하기로 선택했다는 사실을 알게 되어 기쁩니다. 그들은 다른 회사에 모범적인 시민 역할을 합니다. 흥미롭게도 소프트웨어 산업에서 FOSS의 초기 긍정적인 혁명은 카피레프트 FOSS가 원래 더 흔한 형태였기 때문에 일어났습니다; 더 높은 이윤과 고객 통제를 추구하는 회사는 개발된 카피레프트 FOSS의 양을 제한하기 위해 캠페인을 벌여왔습니다. 이 이면의 역사는 정치적으로 흥미롭고 FOSS에만 있는 것이 아닙니다. 우리는 기술 회사가 다른 영역에서도 문제가 있는 방식으로 권력을 휘두르는 것을 봅니다. 특히, 그들은 지난 수십 년간 애호가 창작자들과 소기업에 카피레프트 라이선스를 포기하도록 압력을 가해왔습니다. 그 결과, 비 카피레프트 FOSS는 그 어느 때보다 더 흔해졌습니다 (그리고 이것이 중요한 문제인 이유입니다). 소프트웨어 자유 단체의 우리는 귀하의 행정부가 특히 FOSS와 관련된 소프트웨어 사이버 보안의 더 큰 맥락을 신중하게 고려할 것을 촉구합니다. 우리는 또한 우리의 지침과 전문 지식을 제공해 드리며, 귀하가 토론을 지속하고 이 정도 규모의 결정을 내릴 때 테이블에 추가 좌석을 마련해 주기를 바랍니다.
2022년 1월 13일 소프트웨어 보안에 관한 백악관 회의에서 빅테크 단체는 잘 대표되었고 심지어 반(反) 카피레프트로 간주되는 회사를 주로 포함했기 때문에 과잉 대표됐습니다. (실제로 과거 일부 마이크로소프트 경영진은 카피레프트 라이선스를 소프트웨어 산업에 대해 “아메리칸 웨이(미국적 가치관)에 반하는 것”이자 “암”이라고 부르기까지 했습니다.) 그러나 리눅스, GNU 컴파일러 모음과 같은 미국 소프트웨어 인프라의 주요 구성 요소가 처음엔 카피레프트 라이선스에 따라 애호가와 활동가에 의해 작성됐다는 것은 기술 분야의 상식입니다. 이러한 중요한 국가 사이버 보안 문제에 대해 계속 논의하는 동안, FOSS의 설립자인 애호가와 활동가는 빅테크 기업과 해당 무역 협회와 함께 테이블에 앉을 자격이 있습니다. 소프트웨어 자유 단체는 이러한 애호가와 활동에 봉사하고 목소리를 내는 것을 자랑스럽게 생각하며, 또한 귀하가 우리가 적합하지 않다고 느끼지만 그럼에도 불구하고 FOSS 사이버 보안에 대한 귀하의 위원회를 다양화하길 원하신다면 다른 조직, 학계, 개인을 추천할 의향이 있습니다.
보다 일반적으로, 우리는 귀하의 행정부가 이런 문제에 대해 기술 전문가에게 조언을 구하는 방법을 재고하고 대형 기술 기업과 해당 무역 협회의 단일 의견수렴과 조작된 동의에 굴복하지 않도록 요청합니다. 다른 분야에서도 귀하의 행정부가 포괄성을 중시하고 현재 상황에 동의하지 않는 전문가로부터 적극적으로 의견을 구해준 점에 감사드립니다. 우리는 귀하가 미국이 당면한 이 중대한 문제에 대해 의미 있는 해결책을 찾는 데 진심으로 관심이 있다고 믿으며, 이 편지에서 제기된 우리의 논점을 고려해 주셔서 감사합니다.
진심을 담아서,
Bradley M. Kuhn
소프트웨어 자유 단체, 정책 펠로우
※ 소프트웨어자유단체(https://sfconservancy.org/)에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-동일조건변경허락 4.0 국제 라이선스에 따라 이용할 수 있습니다.
|
