짧으면 짧고 길면 길다고 할 수 있는 2년. 오픈 SSL 암호화를 무력화하는 ‘하트블리드’ 취약점으로 인해 IT 업계가 발칵 뒤집혀 진지 벌써 2년이란 시간이 지났다. 보안업계에 높은 경각심을 불러일으킨 하트블리드 버그 발견 이후 2년이 지난 지금, 오픈소스 플랫폼에서 발생하는 보안 위협은 과연 잠잠해 졌을까? 클라우드, 모바일, 사물인터넷이라는 IT 트렌드 대두에 발맞춰 기업들의 오픈소스 채택이 한층 가속화되고 있는 만큼, 오픈소스가 가지고 있는 본질적인 보안 문제점과 그 해결책에 대해 논의해 볼 필요가 있다고 보여진다.
이를 위해서는 우선 IT는 물론 통신, 금융, 포털, 게임 등 다양한 산업 분야에서 오픈소스의 영향력이 점점 커지고 있는 이유에 대해 먼저 짚어보아야 한다.
기업들의 오픈 소스 채택이 늘어나는 이유는 명확하다. 저작권자가 공개한 소스코드를 활용해 자유롭게 복제, 설치, 사용, 개작, 배포, 유통할 수 있는 만큼, 자체 개발 대비 상대적으로 적은 비용과 시간 투입으로도 높은 수준의 결과물을 얻을 수 있기 때문이다. 이러한 장점에 힘입어, 오픈소스 소프트웨어는 우리 삶 곳곳에 스며들며 대중화되고 있다. 오픈소스 기반의 스마트폰 운영 체제인 안드로이드와 브라우저 크롬이 대표적인 예이다.
하지만 한편에서는 오픈소스 대중화에 따라 보안 위협도 점점 높아지고 있다는 우려의 목소리도 나오고 있다. 오픈 소스 소프트웨어는 ‘여러 개의 눈(many eyes)’, 즉 수 많은 개발자들이 지켜보고 있는 만큼, 취약점을 더 빠르게 발견하여 보완할 수 있다고 여겨져 왔다. 그러나, 이는 역으로 취약점이 적시에 보완되지 않는다면 해커나 공격자들이 이러한 취약점들을 먼저 발견하여 악용할 수 있음을 의미하기도 한다.
다시 말해, 다수의 사용자를 확보한 오픈소스 소프트웨어 취약점 발견과 이에 대한 패치 배포 시점에 차이가 발생한다면 이는 취약점에 노출된 사용자들을 위협하는 치명적인 결과를 불러일으킬 수 있다. 실제로 하트블리드 취약점은 2014년 3월 발견될 때까지 약 2년 동안 방치된 것으로 드러나 충격을 자아냈으며, ‘Apache Struts2(아파치 스트럿츠2)’, '고스트(Ghost)', ‘베놈(Venom)’ 등 널리 사용중인 오픈소스 소프트웨어에서 발견된 취약점 역시 취약점 발견과 이에 대한 패치 배포 시점에는 차이가 있어 오픈 소스의 최대 장점인 ‘여러 개의 눈’이 제대로 작동되지 않았던 것을 확인할 수 있었다.
이러한 보안 위협에 맞서 오픈 소스 소프트웨어를 보다 안전하게 사용하기 위해서는 어떠한 접근이 필요할까? 그 첫 단추는 오픈 소스에 대한 가시성을 확보하는 데서 시작한다. 이는 오픈소스의 혜택을 누리면서도 이를 관리하기 위한 명확한 기준과 규정을 마련하지 않고, 오픈소스 취약점을 파악 및 추적하지 않고 있는 기업이 아직 많은 까닭이다. 기업은 자체 개발은 물론 외주 개발 업체가 사용한 오픈소스 리스트를 확보, 관리하고, 오픈 소스를 적용하기 앞서 안전 여부를 수시로 점검할 필요가 있다. 오늘 안전하다고 판명된 오픈소스 코드가 내일도 안전하리라는 보장이 없기 때문이다.
실제로, 오픈소스 전문 공급 업체이자 컨설팅 업체인 블랙덕 소프트웨어의 2015년 조사에 따르면, 매년 오픈 소스에 대한 취약점이 4000개 이상이 발표되지만 설문에 응한 기업의 98%가 사용하고 있는 오픈 소스에 대해 알지 못하고 있었고, 67%는 보안 취약점에 대해 점검하고 있지 않다고 응답한 것으로 나타나 대다수 기업들이 오픈소스 취약점에 대해서는 명확하게 인지하고 있지 않다는 점을 확인할 수 있었다.
또한, 오픈소스에 대한 가시성 확보와 더불어, 오픈소스의 최대 장점인 ‘여러 개의 눈’이 제대로 작동될 수 있는 제도적 기반 역시 뒷받침되어야 한다. 초대형 프로젝트가 아닌 이상 대부분의 오픈소스 프로젝트는 네다섯 명의 개발자에 의해 유지되고 있어 오픈소스의 안정성과 보안성을 수시로 파악하기 어려운 것이 사실이다.
따라서, 시간과 자원의 제약으로 오픈소스 프로젝트에서 발생할 수 있는 심각한 버그를 방치하는 일이 없도록, 코드 리뷰와 테스트를 위한 개발자와 비용을 지원하거나 취약점을 신고할 수 있는 협의체 또는 조직이 구성될 필요가 있다. 리눅스 재단이 설립한 비영리 협의체 CII(Core Infrastructure Initiative)가 그 대표적 예이다. 국내에서는 미래창조과학부와 한국인터넷진흥원 주관 하에 ‘취약점 신고 포상제’가 운영되고 있다.
나를 알고 적을 알면 백전백승이란 옛말은 오픈소스에도 어김없이 적용된다. 오픈소스 소프트웨어의 가치를 최대한으로 높이기 위해서는 오픈소스의 취약점에 대한 가시성을 높이고, 오픈소스의 안정성과 보안성을 실시간으로 확인할 수 있는 구체적인 대응책을 마련할 필요가 있다. 오픈소스 소프트웨어가 이제 IT 업계에서는 빼 놓을 수 없는 존재로 자리잡은 만큼, 오픈 소스 소프트웨어를 안전하게 사용할 수 있는 보안 대책 수립을 통해 기업의 영속성을 높였으면 하는 바램이다.