[아이티투데이 박근모 기자] 흔히 프로그램의 소스 코드가 모두 공개되어있는 오픈소스 소프트웨어를 보안에 취약할 것으로 예상한다. 결론적으로 이 말은 반은 맞고 반은 틀리다.

하지만, 최근 오픈소스 진형의 재빠른 움직임을 보면 오픈소스 소프트웨어에 대한 오해와 불신은 잠시 접어둬도 될 것 같다.

레드햇은 9일 삼성동 한국레드햇 본사에서 '오픈소스와 보안'에 관한 미디어 세션을 통해 오픈소스 소프트웨어 보안에 관한 오해와 불신을 해소하는 자리를 갖았다.

오픈소스 소프트웨어는 '저작권자가 소스 코드를 공개한 모든 소프트웨어'를 말하는 것으로 현재 다양한 오픈소스 소프트웨어 라이센스가 존재한다. 때문에 오픈소스 소프트웨어를 사용하기 위해서는 개별 소프트웨어의 라이센스를 준수해야지만 가능하다.

오픈소스 소프트웨어 라이센스에는 크게 ▲GPL, ▲LGPL, ▲Apache 2.0, ▲BSD 등으로 구분된다.

오픈소스 생태계는 '리눅스', '깃', 오픈스텍', '하둡', '노드', '와일드플라이', '퍼핏', '글러스터', '포먼', '메이븐' 등 다양한 개발자나 개발 기업이 참여하여 구성되고 있다.

오픈소스 소프트웨어는 크게 커뮤니티 버전과 엔터프라이즈 버전으로 나눌 수 있는데, 이 중 핵심은 커뮤니티 버전이라고 할 수 있다.

오픈소스 소프트웨어의 안정성을 보장하는 엔터프라이즈 버전과 달리 커뮤니티 버전은 메이저 릴리즈나 마이너 릴리즈 뿐만 아니라 사용자 피드백을 발빠르게 적용할 수 있어서 빠르고 잦은 릴리즈를 통해 신규 기능을 엔터프라이즈에 적용하기 이전에 테스트를 할 수 있다.

일반적으로 오픈소스 소프트웨어가 보안에 취약할 것이라는 예상하는 쪽은 소프트웨어의 모든 소스 코드에 따른 보안 취약점 역시도 공개되는 것이 아니냐고 주장한다.

레드햇은 이 지적에 대해서 오픈소스 진형 역시 인식하고 있다고 전했다.

▲ 이규석 한국레드햇 부장. 오픈소스SW의 보안에 대한 오해와 불신을 해소하기 위해 미디어 세션 시간을 마련했다고 설명했다.

이규석 한국레드햇 부장은 "오픈소스 진형에서는 공개된 소스코드 보안 취약점에 대한 가이드를 제공하기 위해 CVE(정보보안 취약점 표준 목록) ID을 생성하고 공동으로 관리, 취약점 패치 등을 커뮤니티를 통해 제공한다"고 설명했다.

CVE는 정보보안 관련 취약점이 발견될 경우 기존에 오픈소스 개발자나 기업별로 취약점에 대응했기 때문에 중복되거나 알지못하고 지나가는 경우가 발생했는데 이를 방지하기 위해서 취약점 발견 즉시 표준 CVE ID을 생성하고 모두에게 공개하여 공동 대응을 할 수 있도록 만든 장치이다.

이규석 한국레드햇 부장은 "CVE을 통해서 오픈소스 소프트웨어는 수많은 개발자와 개발 기업들이 가입되어 있는 커뮤니티를 통해 CVE로 공개된 보안 취약점에 대해 빠른 대응이 가능하고 레드햇도 커뮤니티와 연계하여 보안 취약점 해결 관련 패치를 빠른 시간내 배포할 수 있는 시스템을 구축하고 있다"고 전했다.

일반적으로 상용 소프트웨어, 폐쇄형 소프트웨어의 경우 소스 코드가 비공개로 되어있기 때문에 보안에 안전하다고 생각할 수 있으나, 과거 다양한 사례에서 볼 수 있듯 해커들의 해킹으로 인해 소프트웨어 취약점을 공격 받더라도 자신들의 취약점이 무엇인지 인지하지 못하는 경우도 있다고 한국레드햇측은 덧붙였다.

이규석 한국레드햇 부장은 'shellshock' 사례와 'Heartbleed' 사례를 예로 들면서 "오픈소스 소프트웨어 쪽에도 2011년과 2014년 대규모 보안 취약점 사고가 발생했다"며 "해당 사건은 전세계 51%의 서버가 취약점에 노출되거나 패킷 조작으로 인해 사용자 정보가 유출될 수 있었던 보안 취약점 사고"를 공개했다.

이 사례에서 이규석 부장은 "오픈소스 커뮤니티에서 해당 취약점 사례가 처음 CVE로 보고 되었고, 레드햇과 구글 등 커뮤니티에 포함된 소속 개발자들이 취약점 패치를 개발하여 발빠르게 픽스 릴리즈를 했다"고 강조했다.

이처럼 오픈소스 소프트웨어는 보안에 취약점이 공개되면 폐쇄형 소프트웨어와는 달리 빠른 대응을 통해 보안 이슈에 대한 해결을 할 수 있는 장점이 존재한다.

끝으로 이규석 한국레드햇 부장은 "레드햇은 24x7 보안 대응 전담팀을 운영 중"이라고 전하면서 "24시간 일주일 내내 보안 대응을 할 수 있는 팀이 각 대륙별로 배치되어있다"고 전했다.

특히, 레드햇은 크리티컬 등급의 보안 취약점 발견시 하루 안에 픽스 릴리즈를 할 수 있는 준비를 갖추고 있다는 점을 강조했다.

키워드

#레드햇 #오픈소스 #커뮤니티 #CVE
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지