알파-오메가 협력 기반 보안 투자 확대…유지관리자 지원 강화와 접근성 확대 통해 소프트웨어 공급망 안정성 제고
깃허브(GitHub)가 오픈소스 유지관리자(maintainer)에 대한 투자 확대를 발표했다. 깃허브는 새로운 보안 지원 확대 및 리눅스 재단(Linux Foundation)의 알파-오메가(Alpha-Omega) 이니셔티브 협력 강화, 그리고 유지관리자의 부담을 줄이고 소프트웨어 공급망을 강화하기 위한 도구 및 지원 접근성을 확대할 계획이다.
업체 측에 따르면, 오픈소스는 늦은 밤까지 리퀘스트를 검토하는 유지관리자와 낯선 사용자로부터 접수된 보안 보고에 대응하는 자원 인력, 그리고 전 세계가 활용하는 소프트웨어를 지탱하는 커뮤니티의 기반으로 운영된다.
그러나 이 같은 기여 과정에 대한 부담이 점차 커지고 있다. 풀 리퀘스트와 댓글에 대응하는 동시에 코드 병합과 배포까지 수행해야 한다는 기대가 더해져 업무량이 누적되며, 이는 번아웃으로 이어질 뿐 아니라 단순 개인 프로젝트가 한 순간 핵심 인프라로 변모하는 등 생계를 위협하는 상황도 발생한다.
동시에 AI는 오픈소스 생태계의 운영 방식과 보안 요구를 빠르게 변화시키는 중이다. 상시 대응이 요구되는 보안 환경은 유지관리자에게 더 많은 시간과 에너지, 전문성을 요구하고 있으며, 이는 개인이 감당하기 어려운 수준으로 확대되고 있다는 설명이다.
깃허브에게 오픈소스 지원은 단순 코드 호스팅을 넘어 이를 유지하는 사람들에 대한 투자와 성공을 위한 도구 제공, AI 시대의 빠른 변화 속에서 유지관리자를 보호하는 것이다. 또한 그 미션을 기반으로 오픈소스 유지관리자 지원과 보안 강화를 위한 투자를 지속하고 있다고 업체 측은 전했다.
오픈소스 보안 강화를 위한 협력 확대
깃허브는 오늘 앤트로픽(Anthropic), 아마존웹서비스(Amazon Web Services, AWS), 구글(Google), 오픈AI(OpenAI)와 함께 총 1,250만 달러 규모의 공동 투자로 리눅스 재단의 알파-오메가 이니셔티브를 지원한다고 밝혔다.
이번 협력은 유지관리자가 새로운 AI 보안 기능을 보다 쉽게 활용하고 이를 기존 프로젝트 워크플로우에 통합하는 한편, 깃허브의 오픈소스 소프트웨어(OSS) 보안 프로그램을 고도화하고 핵심 오픈소스 프로젝트의 보안 수준 강화하는 것을 목표로 한다. 이는 깃허브가 오랜 기간 오픈소스 및 소프트웨어 보안 생태계를 지원해 온 경험을 기반으로 한다. 특히 단순한 재정 지원을 넘어, 실질적인 도구·교육·장기적 지원이 결합될 때 유지관리자의 보안 대응 역량이 강화된다는 점에 주목했다는 설명이다.
현재 깃허브에는 수억 개의 퍼블릭 리포지토리에 걸쳐 28만 명 이상의 유지관리자가 활동하는 가운데, 이들은 핵심 플랫폼 서비스와 깃허브 코파일럿 프로(GitHub Copilot Pro), 깃허브 액션(GitHub Actions), 코드 스캐닝(Code scanning) 및 오토픽스(Autofix), 시크릿 스캐닝(Secret scanning), 푸시 보호(Push protection), 의존성 알림(Dependency alerts) 등 다양한 보안 기능을 무료로 이용할 수 있다.
또한 깃허브 시큐리티 랩(GitHub Security Lab)은 오픈소스 커뮤니티와 협력해 주요 보안 위협에 대한 대응 역량을 강화하고, 보안 권고를 공개함으로써 생태계 전반의 대응 속도를 높이고 있다고 업체 측은 전했다.
추가 지원 관련 상세 내용은 다음과 같다.
· 깃허브 시큐어 오픈소스 펀드(GitHub Secure Open Source Fund): △애저(Azure) 크레딧 및 추가 자금 550만 달러 지원 △교육 및 전문 역량 강화 △ 데이터독(Datadog) △오픈 웹UI(Open WebUI) △애틀랜틱 카운슬(Atlantic Council) △오와스프(OWASP) 등 신규 파트너 참여
· 깃허브 시큐리티 랩: 보안 권고(advisory) 경험 개선 및 비공개 취약점 신고(Private Vulnerability Reporting, PVR) 기능 고도화를 통한 유지관리자의 대응 부담 완화
깃허브는 시큐어 오픈소스 펀드 프로그램을 통해 유지관리자에 대한 자금 지원과 리소스를 보안 개선과 같은 구체적인 결과와 연계할 때 가장 효과적인 성과로 이어진다는 점을 확인했다고 설명했다. 실제로 38개국에서 200명 이상의 유지관리자가 참여한 138개 프로젝트를 지원한 결과, 191건의 신규 CVE가 발급됐고, 250건 이상의 시크릿 유출을 사전에 방지했으며, 600건 이상의 유출 시크릿이 탐지하고 해결했다. 이러한 성과는 지원을 받은 프로젝트들의 월간 수십억 건 다운로드에 영향을 미쳤다고 업체 측은 밝혔다.
또한 실무 중심 코딩 지원과 교육, 전문성을 결합할 때 유지관리자의 학습과 실행이 촉진된다는 점도 확인됐다. 유지관리자가 충분한 시간과 집중 환경 및 워크플로우에 자연스럽게 통합되는 도구를 제공받을 때 보안 수준이 전반적으로 향상된다는 점이 확인됐으며, 이러한 인사이트는 향후 깃허브의 투자 방향에도 반영될 방침이다.
유지관리자를 위한 AI 기반 보안 대응 강화
이번 투자는 AI가 취약점 발견과 악용 방식에 근본적인 변화를 불러오는 가운데, 글로벌 소프트웨어 공급망을 지탱하는 오픈소스 프로젝트를 유지관리자가 보다 효과적으로 보호할 수 있도록 지원하는 데 초점을 맞춘다.
AI가 취약점 탐지 속도와 규모를 크게 확대한 상황은 방어자와 공격자 모두에게 적용되고 있다. 이에 따라 유지관리자는 자동화된 풀 리퀘스트와 보안 보고가 급증하는 환경에 노출되며, 신호 대비 잡음이 높은 상황 속에서 더 큰 대응 부담을 경험한다. 유지관리자의 번아웃 문제 역시 심화되고 있다는 설명이다.
로그4j(Log4j)의 유지관리자인 크리스티안 그롭마이어(Christian Grobmeier)는 “우리의 AI는 공격자의 AI보다 더 뛰어나야 한다”고 강조했다. 깃허브는 이와 관련 “단순히 더 많은 취약점을 발견하는 것을 넘어 유지관리자가 이를 효과적으로 분류 및 이해, 해결할 수 있도록 지원하는 데 집중하고 있다”고 밝혔다. 이어 “최근 AI 기반 보안 연구 프레임워크를 오픈소스로 공개한 것 역시 보안 팀뿐 아니라 유지관리자가 직접 이를 활용할 수 있도록 하기 위함”이라고 덧붙였다.
깃허브는 풀 리퀘스트 제어 기능 등 다양한 도구에 대한 투자를 지속하는 동시에, 이슈 분류, 코드 리뷰, 취약점 식별 및 대응 등 전 과정에서 AI가 유지관리자의 생산성을 높이는 도구로 작동하도록 지원할 계획이다.
현재 주요 오픈소스 프로젝트 유지관리자는 코파일럿 프로를 통해 △AI 기반 코드 리뷰 △에이전틱 보안 대응 워크플로우 △다양한 최신 모델 접근 기능을 활용할 수 있으며, 이를 통해 위험 요소를 보다 빠르게 식별하고 대응할 수 있다고 밝혔다.
깃허브는 AI가 유지관리자의 부담을 가중시키는 것이 아니라, 이를 줄이는 방향으로 작동해야 한다는 점을 강조하며 다음과 같은 목표를 제시했다. 이는 커뮤니티와의 협업 및 실제 사용자의 피드백과 성과를 기반으로 지속적으로 개선될 예정이다.
- 유지관리자가 기존에 작업하는 환경에서 그대로 활용 가능할 것
- 실제 문제를 우선순위화하고 불필요한 노이즈를 감소시킬 것
- 발견이 아닌 해결 중심의 대응 속도를 향상할 것
- 보안 기본값과 안정적인 워크플로우를 지원할 것
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
