영국 국민보건서비스(NHS England)에 코드 공개를 요청하는 공개 서한
(keepthingsopen.com)
140명 이상의 개발자들이 보안을 명분으로 소스코드를 비공개하려는 영국 NHS England의 정책에 반대하며, 공공 소프트웨어의 투명한 공개가 오히려 보안 취약점을 조기에 발견하고 생태계를 강화하는 핵심 동력임을 주장하는 공개 서한을 발표했습니다.
이 글의 핵심 포인트
- 1NHS England의 소스코드 비공개 결정(SDLC-8)에 대한 개발자들의 강력한 반대 서한 발표
- 2140명 이상의 영국 공공 부문 소프트웨어 기여자들이 서명에 참여
- 3오픈소스는 보안 위협에 노출됨으로써 오히려 더 단단해지는 '인간 면역 체계'와 같은 역할을 함
- 4폐쇄형 소스는 보안을 위한 노력을 생략하게 만들며, 단순한 은폐는 고도화된 공격자를 막기에 역부족임
- 5NHS Service Standard의 '새로운 소스 코드는 공개한다'는 원칙(Principle 12) 재확인 요구
이 글에 대한 공공지능 분석
왜 중요한가?
보안을 위해 '은폐(Obscurity)'를 선택할 것인가, 아니면 '투명성(Transparency)'을 통해 보안을 강화할 것인가에 대한 근본적인 철학적 충돌을 보여줍니다. 공공 소프트웨어의 신뢰성과 보안 표준을 결정짓는 중요한 선례가 될 수 있습니다.
어떤 배경과 맥락이 있나?
최근 AI 기술을 이용한 고도화된 해킹 위협이 증가함에 따라, NHS England는 보안을 명분으로 소스코드 공개 정책(SDLC-8)을 철회하고 폐쇄적인 개발 환경으로 전환하려 하고 있습니다. 이는 기존의 '오픈소스 우선' 원칙과 정면으로 배치되는 움직임입니다.
업계에 어떤 영향을 주나?
소스코드 비공개는 보안 검증의 기회를 박탈하여, 결과적으로 소프트웨어의 품질 저하와 취약점 발견 지연을 초래할 수 있습니다. 이는 오픈소스 생태계의 기여도를 낮추고, 공공 소프트웨어 개발의 혁신 동력을 약화시킬 위험이 있습니다.
한국 시장에 어떤 시사점이 있나?
한국의 GovTech 및 공공 클라우드 시장에서도 보안과 투명성 사이의 갈등은 상존합니다. 공공 소프트웨어의 보안을 위해 '폐쇄'를 선택하는 것이 단기적인 방어책은 될 수 있으나, 장기적인 기술 경쟁력과 생태계 발전을 위해서는 검증 가능한 투명성이 필요함을 시사합니다.
이 글에 대한 큐레이터 의견
이번 논란의 핵심은 'Security through Obscurity(은폐를 통한 보안)'의 오류를 지적하는 데 있습니다. 많은 의사결정권자가 코드를 숨기면 공격자가 취약점을 찾기 어려울 것이라고 착각하지만, 실제로는 공격자뿐만 아니라 보안을 개선할 수 있는 수많은 화이트햇 해커와 개발자들의 눈까지 가리는 결과를 초래합니다. 개발자들이 주장하듯, 오픈소스의 가치는 단순히 코드를 공유하는 데 있는 것이 아니라, 공개된 코드를 바탕으로 취약점을 찾고 수정하는 '고된 과정'을 통해 소프트웨어를 단단하게 만드는 데 있습니다.
스타트업 창업자 관점에서는 이를 새로운 기회로 해석해야 합니다. NHS와 같은 대규모 기관이 보안을 이유로 폐쇄적인 정책을 취할 때, 역설적으로 '오픈소스 기반의 보안 모니터링', '취약점 자동 탐지', '코드 품질 검증'을 수행할 수 있는 DevSecOps 솔루션에 대한 수요는 폭발적으로 증가할 수 있습니다. 보안을 위해 '공개'를 포기하는 것이 아니라, '공개된 코드의 보안을 어떻게 효율적으로 관리할 것인가'라는 난제를 해결하는 기술력이 차세대 보안 시장의 핵심 경쟁력이 될 것입니다.
관련 뉴스
댓글
아직 댓글이 없습니다. 첫 댓글을 남겨보세요.