[CIO BIZ+ Analysis]오픈소스에 대한 보안 오해
황인찬 레드햇코리아 서비스부 전무
지난해 7월 전 세계는 DDoS(분산서비스거부) 대란을 겪었다. 미국 백악관 및 정부기관을 시작으로 우리나라에서도 청와대, 국방부, 외교통상부, 네이버, 옥션 등의 주요 사이트가 접속 불능상태에 빠지면서 대혼란을 경험했다.
그로부터 1년이 지난 올해 7월 제2의 DDoS 대란을 우려했지만 다행히 별다른 사태는 발생하지 않았다. 이 시점에서 우리는 보안에 대한 인식을 다시금 제고할 필요가 있다. 그 중에서도 개방과 공유, 참여를 바탕으로 기술 진보의 선두에 있는 오픈소스, 특히 리눅스에 대해 가지고 있는 고정관념과 오해를 불식시켜야 할 필요성이 대두되고 있다.
건강은 건강할 때 지켜야 한다는 말이 있듯이, 컴퓨팅 환경에서도 보안은 사고가 발생하기 전 미리 지켜야 한다. 2002년 북미 기준으로 기업 및 정부 기관의 약 90%가 보안상의 문제를 겪었고 이로 인한 재정 손실을 입은 기업 및 정부 기관은 약 80%였다고 한다.
결국 보안과 관련된 문제는 어느 기업 및 기관도 예외일 수 없다는 사실은 물론 보안 문제가 생각하는 것보다 휠씬 더 자주 발생되고 있다는 사실을 잊지 말아야 할 것이다.
◇OS도 외부 공인기관의 보안 인증 필수=컴퓨팅 환경에서 보안의 취약성은 바로 재정적인 손실과 연결된다는 점에서 매우 중요하다. 문제 발생시 시스템 복구에 필요한 재정 손실도 중요하지만, 기업에서 가장 중요한 영업 및 마케팅 관련 데이터의 유실은 화폐 가치로는 환산할 수 없는 피해를 끼칠 수 있다. 현금 자산을 보존하기 위해 은행에 보관하는 것처럼 지적 자산을 보관하고 있는 컴퓨팅 환경 역시 은행과 같은 든든한 보호시스템이 필요한 것이다.
그렇다면 오픈소스 기술에서의 보안은 어떨까. 우리가 사용하고 있는 컴퓨팅 환경에서는 계속해서 새로운 기능이 탑재된 하드웨어가 출시되고 있고, 여러 가지 새로운 기능들로 무장된 소프트웨어(SW)가 업데이트 되거나 출시된다.
리눅스와 같은 오픈소스 운용체계(OS)도 이러한 추세에 맞추어 주기적으로 새로운 버전이 출시되고 있다. 리눅스와 관련된 기술들은 계속 혁신을 거듭하고 있지만, 여전히 많은 사람들에게 `리눅스는 보안에 취약한 OS`라는 오명을 벗지 못하고 있는 실정이다.
리눅스가 보안에 취약하다는 오해를 받게 된 결정적인 동기는 무엇일까. 흔히 많은 사람들은 리눅스가 해당 소스코드를 열람할 수 있다는 사실 때문에 불안하다고들 말한다. 즉, 소스를 열람할 수 있다면 해당 소스의 결함을 찾아서 이를 집중 공략할 수 있고, 이를 통해 전체적인 시스템 보안이 흐트러질 수 있지 않냐는 것이다. 하지만 결론부터 말하자면 전혀 그렇지 않다.
보안 인증체계가 이를 잘 설명해주고 있다. 국제적으로 가장 공신력 있는 보안 인증체계인 CC인증(Common Criteria Certification)의 경우 리눅스의 대명사로 자리매김하고 있는 레드햇 엔터프라이즈 리눅스의 최근 버전인 RHEL 5(Red Hat Enterprise Linux 5)는 EAL4+ 인증을 받았다. 이는 현재 운영되고 있는 운용체계 중 가장 높은 수준의 보안 인증이다.
CC인증은 네트워크와 컴퓨팅 환경에서 보안 위협의 증가에 대한 대책으로 만들어진 보안 표준 규약인데, 미국의 경우 보안이 중요시되는 솔루션 검토에 있어서 CC인증이 구매를 위한 필수 조건으로 자리잡고 있다. 국내의 경우에는 한국정보보호진흥원(KISA)에 의해 운영되었던 K인증이 있었으나 국제 표준에 맞지 않는다는 의견이 많아 현재는 국제적인 CC인증의 기준을 따르고 있다.
기억해야 할 것은 EAL4+ 인증 자체가 보안 신뢰성을 제공하기도 하지만 EAL3 이상의 인증을 받기 위해서는 CC인증 평가기관에 해당 소스 코드를 공개해야 한다는 점이다. EAL3 이상의 보안 인증을 위해 소스 코드를 공개해야 한다는 것의 의미는 결국 해당 SW를 작성하고 검토한 사람들이 놓칠 수 있는 보안 결함에 대해서 제3의 객관적인 시각에서 검토된다는 것이다. 보안 인증기관이 무결점을 확인해야만 받을 수 있는 인증인 것이다.
오픈소스는 소스 코드가 공개되어 있기 때문에 결함을 찾아내서 보안에 구멍을 만들 수 있지 않을까 생각하는 사람들도 있겠지만 사실은 오픈소스가 소스 코드의 공개를 통해 더욱 신뢰할 수 있는 보안 구조를 가졌다고 할 수 있다.
또한 오픈소스가 아닌 경우 개발자가 고의적으로 보안 취약성(back door:뒷문)을 만들 수도 있지만, 오픈소스 SW는 읽기, 재배포, 수정, 사용에 대한 권리가 보장되기 때문에 이러한 보안상의 취약 코드를 고의적으로 감추는 것은 전혀 불가능하다. 다시 말해 오픈소스 SW는 많은 사람들이 지켜보고 있는 투명한 구조이기 때문에 오히려 더 안전하다는 얘기다.
◇보안과 비용절감 위해 정부 도입 확산=오픈소스의 안전성이 입증된 것은 세계 여러 나라 정부들의 오픈소스 도입 현황을 보면 더 확연하게 알 수 있다. 유럽연합의 경우 덴마크가 선구자적 역할을 했다.
덴마크가 한 보고서를 통해 정부가 오픈소스 SW로 전환할 경우 약 7억유로를 절감할 수 있다고 주장하자 EU는 2003년 말 덴마크에 추가 연구를 요청했다. 이후 전 유럽 국가들이 비용절감을 위해 오픈소스 SW를 적극 검토하기 시작했다. 독일, 프랑스 정부가 가장 적극적으로 오픈소스 SW를 지원하고 있으며 스위스의 경우엔 비용절감과 특정 SW 기업에 종속되는 것을 우려해 리눅스를 적극 지원하고 있다.
미국은 오픈소스 SW를 연구 개발이나 비용 절감 목적으로 접근하고 있다. 여러 주 정부와 의회가 오픈소스 SW 관련 법안을 입법화하고 있으며, 예산관리처와 국방부는 오픈소스 SW의 사용과 구매 과정 중 총소유비용을 고려할 것을 명시하는 권고안을 2004년에 통과시켰다. 2006년에는 국방부가 개방형 기술 개발 프로그램을 발표하기도 했다. 이밖에 기상청, 항공우주국, 법무부, 국방부 등이 오픈소스 SW 애플리케이션과 인프라를 설치했다.
이 외에도 일본 정부는 교육에 초점을 맞춰 지난 2005년부터 오픈소스 SW의 교육 활용도를 높이는 프로젝트를 시작했으며, 중국 정부는 공공분야를 중심으로 오픈소스 SW 시장 확대와 테스트 및 인증 프로그램으로 기술을 향상시키고 리눅스 교육을 강화해 기술 인력을 양성하는 데 주력해 약 40여개 대학에서 오픈소스 SW가 정식 과목으로 채택됐다. 우리나라의 경우는 표에서 보듯이 아쉽게도 오픈소스 활용률에서 세계 20위라는 매우 낮은 순위를 기록하고 있다.
지난해 겪은 DDoS 대란을 계기로 다행히도 많은 기업에서 보안에 대한 인식이 개선된 것으로 나타나고 있다. 하지만 오픈소스가 보안에 취약할 것이라는 잘못된 인식도 하루 빨리 개선되길 바란다. 오픈소스는 IT선진국에 이어 보안선진국으로 나아가는 든든한 버팀목이 될 것이다.
ihwang@redhat.com
<프로필>황인찬 전무
2008년 레드햇에 입사하기 전 6년 동안 BEA시스템즈코리아의 서비스팀 상무로 재직했다. 이전 3년간 한국사이베이스 고객서비스 책임자로 근무했으며, 쌍용정보통신을 비롯해 한국인포믹스, 시퀀트코리아에서 기술 지원 및 컨설팅을 담당했다.
'No.1 IT 포털 ETNEWS'Copyright ⓒ 전자신문 & 전자신문인터넷, 무단전재 및 재배포 금지
Copyright © 전자신문. 무단전재 및 재배포 금지.