오픈소스의 명암…AI 시대 필수지만 '보안 위협'

AI 도입 기업 중 40%이상이 오픈소스 활용
활용 커진 만큼 보안 위협…"관리 체계 부족"
'SBOM' 소프트웨어 공급망 보안 관리 중요성↑

(게티이미지뱅크)

인공지능(AI) 시대 오픈소스 활용이 늘어나면서, 오픈소스가 주요 보안 위협 중 하나로 떠올랐다.

최근 IT 기업들은 오픈소스 등 외부 자원을 적극적으로 활용해 SW 개발과 운영을 하고 있다. 특히 변화가 빠른 AI 개발에 오픈소스 활용이 두드러진다. 글로벌 리서치 회사 The LF Research에 따르면 2024년 AI를 도입한 기업 중 40% 이상이 오픈소스 AI 플랫폼과 도구를 활용했다. 특히 오픈소스 기술을 사용하는 중소기업의 비중은 65%로 대기업(45%)보다 더 많았다. IT 보안 기업 래브라도랩스에 따르면 AI 플랫폼 허깅페이스(Hugging Face)에 등록된 AI 모델 중 약 60~70%의 모델이 부분 또는 전체 오픈소스로 제공된다.

기업들이 오픈소스를 적극적으로 활용하는 건 개발 속도를 높이고 비용을 절감하기 위해서다. 오픈소스를 통해 새로운 혁신 기술도 적극적으로 활용할 수 있다. 올해 초 중국 딥시크가 주요 알고리즘, 훈련 데이터, 소프트웨어(SW) 최적화 기술 등을 글로벌 오픈소스 커뮤니티 깃허브에 공개하면서 전세계 IT 산업에 큰 화두를 던졌다.

오픈소스의 영향력이 커진 만큼, 보안 위협도 커졌다. 삼성 SDS는 ‘2025년 5대 사이버 보안 위협’ 중 하나로 오픈소스 악성코드 유입에 따른 ‘SW 공급망 보안 위협’을 꼽았다. 오픈소스는 누구나 자유롭게 코드에 접근하고 올릴 수 있어 악의적인 공격자가 취약점을 발견하고 악용할 위험이 크다. 보안 취약점이 발견되어도 개발자가 커뮤니티가 자율적으로 관리하기 때문에 취약점이 빠르게 해결되지 않을 수 있다. 또 많은 오픈소스 프로젝트가 서로 다른 라이브러리에 의존하고 있어, 하나의 취약점이 전체 시스템에 영향을 미칠 수 있다.

이러한 흐름 속에 오픈소스 AI 모델을 위한 보안 솔루션도 등장했다. 래브라도랩스는 7일 자사 보안 플랫폼에 AI 모델을 자동 탐지하고, 코드 위치와 모델의 출처, 신뢰성 등을 점검하는 기능을 추가했다고 밝혔다. 김진석 래브라도랩스 대표는 “AI는 소프트웨어 공급망의 핵심 자산으로 자리 잡고 있지만, 아직 보안성과 투명성을 갖춘 관리체계는 부족하다”며, “이번 기능 확장은 AI 모델을 도입·개발하는 모든 조직에 실질적인 보호장치를 제공하게 될 것”이라고 말했다.

오픈소스 취약점 공격은 물론 소프트웨어 업데이트 등 SW 공급망을 노린 공격 역시 성행하고 있다. 국정원은 지난달 북한발 SW 공급망 해킹 공격이 급증하고 있다며 업계에 주의를 당부하기도 했다. 윤오준 국정원 3차장은 “SW 공급망 공격은 광범위한 피해로 이어질 수 있어 IT 공급자와 사용자 모두 경각심을 가져야 한다”고 말했다.

최근 미국과 유럽을 중심으로 SBOM(Software Bill of Material·소프트웨어 자재명세서) 제출을 의무화하는 등 SW 공급망 보안 강화에 나서고 있다. SBOM은 소프트웨어 구성 요소 등을 체계적으로 기록해 취약점이 발견되거나 악성 코드가 발생했을 때 신속하게 대응할 수 있게 한다. 우리 정부도 지난해 5월 'SW 공급망 가이드라인 1.0'을 발표하고, 산업계에 SBOM 기반 공급망 보안 모델 구축 지원에 나서고 있다.

이동화 한국인터넷진흥원(KISA) 공급망안전정책팀장은 "SW는 개발 과정에서 수많은 기업과 개발자가 참여하다 보니 사실상 모든 지점이 공급망 공격으로 이어질 수 있다"며 "최근 대부분의 사이버 보안사고는 공급망 관련 사건이라 보아도 무방하다"라고 말했다.