빅데이터시대의 화두. 해킹과 보안 - (2) 오픈소스 환경에서의 보안

빅데이터 시대에 화두가 되고 잇는 보안 관련 연재를 이어가도록 하겠습니다. 지난 포스팅에서 랜섬웨어 보안법을 말씀드렸습니다. 이번엔 랜섬웨어 주요 감염 루트로 알려져 있는 오픈소스에 대해 알아보도록 하겠습니다. 오픈 소스라는 말을 쉽게 들어보신 적이 있으실 겁니다. 무료로 소프트웨어를 공급하고 지원하는 오픈소스는 이미 다양한 분야에서 사용되고 있습니다. 모바일, 빅데이터, 클라우드는 물론 사물인터넷까지 사용하지 않는 분야를 찾기 힘들정도로 널리 사용되고 있습니다.

오픈소스 환경에서의 보안

정확한 정의를 말하자면, 제작자의 권리를 지키면서 소스코드를 누구나 열람할 수 있도록 한 소프트웨어를 말합니다. 핵심 자산인 소스코드를 커뮤니티에서 공유하면서 커뮤니티 멤버들의 자유로운 수정으로 다양한 의견을 수렴하여 기술을 발전시켜 나가기 때문에 개발자와 사용자 모두에게 이득이 되는 부분이 있습니다. 더 많은 사람이 함께 기술을 만들수록, 더 좋은 기술이 만들어질 거라고 믿는 것입니다.

오픈소스 시장 규모 및 전망

그런데 오픈소스 소프트웨어의 쏟아지는 이슈들을 잘 살펴보면 보안이 가장 큰 부분을 차지합니다. 아무래도 소스코드가 공개되어 있기 때문에 해커의 표적이 되기 쉽다는 생각 때문일까요?

하지만 실제 오픈소스 환경에서의 보안 이슈는 개발 환경에 존재하는 근본적인 특성으로 완전히 상반된 측면의 의견이 존재하고 있습니다. 어떤 사람들은 누구나 소스를 확인해서 자율적으로 업데이트가 가능하다는 장점을 내세워 오픈소스의 보안성이 더 우수하다고 말합니다. 여러 사람의 의견을 반영할 수 있다 보니 다양한 스펙트럼을 포함할 수 있다는 강점도 있습니다. 반면, 혹자는 오픈소스 환경은 보안에 취약하다고 말합니다. 오픈소스 사용에 대한 정확한 정책이 존재하지 않기 때문에 오픈소스에 취약점이 발견되었다고 해도 다른 이슈로 해결방안으로 찾지 않는다거나, 해결하고자 해도 개선방향을 잡지 못해 시간이 오래 걸리는 경우도 있다고 합니다. 일례로 자바기반 스프링 프레임워크는 보안 전문가들로부터 이를 통해 개발된 애플리케이션들에서 공격자들에 의한 원격 코드 실행 가능성이 발견됐다는 지적을 받은 바 있습니다. 후에 업그레이드를 시행한 이후에도 보안 문제는 해결되지 않아 이슈가 된 경우가 있었습니다.

실제로 국제 보안 취약성 단체의 조사에 따르면 가장 많은 취약성을 드러낸 상위 3개 상품은 모두 오픈소스 제품이였습니다. 소스가 공개되어 있는 만큼 해킹 공격에 취약할 수 밖에 없는 것입니다. 장기적으로 보면 취약점의 공개 노출이 다수에 의한 검증 및 보안 강화로 이어질 수 있으나, 당장의 악의적인 취약점 공격에 대해서는 우려가 됩니다. 이러한 이슈에 대해 지속적인 오픈소스 보안 점검 솔루션 개발과 공급으로 취약점에 대응하고 있습니다.

주요 오픈소스 침해 사고

오픈소스는 무료로 사용할 수 있고, 기능과 품질 향상의 신속성을 가지고 있다는 장점과 보안 관련하여 발생하는 단점이 함께 하고 있습니다. 이요자의 사용환경에 따라 적절한 소프트웨어 선택이 필요한 이유입니다. 개인이나 교육 등의 분야, 일반 사용자의 경우 오픈소스는 상당히 트렌디하고, 매력 있는 제품입니다. 여러 개발자와 연구자들을 통해 유행에 맞게 업데이트 되고, 이용하기에 무리가 없기 때문입니다.

기업 사용자의 경우 기업 비밀을 유지하기 위한 보안 환경이 필수적이므로 오픈소스 소프트웨어 사용을 신중하게 고려해야할 필요가 있습니다. 대부분의 기업 환경에서 상용 소프트웨어를 사용하는 이유도 바로 이 때문입니다. 엔터프라이즈 환경에서는 보안 시스템이 매우 중요합니다. 따라서 오픈 소스 기반에 보안 취약점을 해결하여 만든 사상용 소프트웨어를 사용하는 것은 적절한 해결책이 될 수 있습니다.