연구 소프트웨어 공급망 보안을 위한 운영화와 계층화된 평가 프레임워크

초록

본 논문은 연구 소프트웨어(RS)의 정의와 경계가 일관되지 않아 발생하는 비교 어려움을 해소하고자, 연구 소프트웨어 공급망(RSSC) 관점의 체계적 분류 체계를 제시한다. 저자들은 2020‑2025년 사이의 레포지터리 마이닝 및 데이터셋 구축 논문을 대상으로 스코핑 리뷰를 수행해 정의, 포함 기준, 분석 단위, 식별 히어스틱을 추출하고 이를 통합한 네 가지 차원의 분류 체계를 만든다. 이후 연구 소프트웨어 백과(RSE) 데이터베이스 6,966개 항목에 자동 라벨링 파이프라인을 적용해 라벨링된 데이터셋을 공개하고, OpenSSF Scorecard를 이용해 보안 점수를 산출한다. 결과는 배포 경로·유지 주체·역할 등에 따라 보안 점수가 크게 달라짐을 보여, 연구 소프트웨어를 단일 집단으로 취급하면 의미 있는 차이를 놓칠 수 있음을 강조한다.

상세 분석

이 논문은 연구 소프트웨어(RS)의 정의가 학계마다 상이하고, 그로 인해 보안 연구 결과의 비교 가능성이 크게 저하된다는 문제점을 정확히 짚어낸다. 저자들은 기존 SSC(Software Supply Chain) 모델을 기반으로 ‘배우자(Actor)’, ‘작업(Operation)’, ‘아티팩트(Artifact)’라는 세 축을 차용하고, 이를 RSSC에 맞게 재구성한다. 구체적으로는 (1) Actor Unit — 연구 그룹, 개인, 기관, 커뮤니티 등 소프트웨어를 유지·운영하는 조직 단위, (2) Supply Chain Role — 애플리케이션, 의존성, 인프라 등 공급망 내 위치, (3) Research Role — 직접 연구 결과를 생성하는지, 연구 지원 도구인지, 혹은 일반 목적인지, (4) Distribution Pathway — 패키지 레지스트리, 소스 레포지터리, 바이너리·인스톨러, 컨테이너 등 배포 방식이라는 네 가지 차원을 정의한다.

스코핑 리뷰 단계에서는 IEEE Xplore와 ACM DL에서 2020‑2025년 사이에 발표된 12편(가정) 논문을 체계적으로 추출하고, 각 논문의 정의·포함·제외 기준, 분석 단위, 식별 히어스틱을 표준화된 양식에 매핑한다. 이 과정에서 기존 연구가 ‘논문‑레포지터리 연결’, ‘펀딩 연계’, ‘텍스트 기반 분류’ 등 다양한 프록시를 사용했으나, 이러한 프록시가 실제 RS 범위를 과도하게 제한하거나 과잉 포괄하는 문제를 드러냈다.

다음으로 저자들은 연구 소프트웨어 백과(RSE)에서 6,966개의 엔트리를 수집하고, GPT‑5.1 기반 LLM 파이프라인을 활용해 자동 라벨링을 수행한다. 라벨링 정확도는 소규모 수동 검증을 통해 92% 이상을 확보했으며, 라벨링 코드북과 파이프라인을 공개해 재현성을 보장한다.

보안 측정 단계에서는 OpenSSF Scorecard를 적용해 10개의 체크포인트(브랜치 보호, CI 설정, 보안 정책 등)를 평가하고, 점수와 ‘missingness’(평가 불가 비율)를 함께 보고한다. 전체 RS 레포지터리 중 85.2%에서 점수를 산출했으며, 평균 점수는 2.9(중위수)로, 기업형 오픈소스 프로젝트인 Apache ASF(중위수 3.9)보다 낮았다. 특히 ‘Community or foundation’ 유형은 3.6점으로 가장 높은 점수를 기록했으며, ‘Individual maintainer’는 2.7점으로 가장 낮았다. 이는 유지 주체가 조직화된 거버넌스를 갖춘 경우 보안 관행이 더 잘 적용된다는 실증적 증거를 제공한다.

마지막으로 논문은 제한점으로 LLM 라벨링의 해석적 경계, Scorecard가 레포지터리 외부(예: CI 파이프라인 외부) 활동을 포착하지 못함을 언급한다. 그러나 이러한 한계에도 불구하고, RSSC‑지향 분류 체계가 연구 소프트웨어 보안 연구의 비교 가능성을 크게 향상시키며, 정책 입안자와 연구자에게 보다 정교한 위험 평가와 자원 배분을 가능하게 한다는 점을 강조한다.