레드햇 "오픈소스 보안이 더 강력한 이유는…"

일반입력 :2011/11/27 13:08    수정: 2012/03/09 13:34

클라우드 주요 구성요소인 오픈소스 기술이 기존 일부 업계에 자리잡은 선입관을 극복해야 할 도전 과제를 안게 됐다. 오픈소스 소프트웨어(SW) 기반 제품이 품었을 것으로 여겨지는 보안취약성 우려가 그 중 하나다.

지난 25일 레드햇은 오픈소스SW 기반 클라우드 컴퓨팅 환경의 일반적인 특장점을 설명하고 보안성에 대한 일각의 인식은 기우라는 분석을 제시했다. 회사는 오픈소스SW 기반으로 서버용 운용체계(OS)와 미들웨어, 가상화 하이퍼바이저, 서비스형 인프라(IaaS)와 서비스형 플랫폼(PaaS)을 제공해왔다.

회사측은 현재 전세계 운용중인 클라우드 환경 가운데 80% 이상이 오픈소스에 기반하고, 이를 이용시 폐쇄적 애플리케이션이나 OS보다 비용 효율적으로 인프라를 구축할 수 있다고 주장한다.

실제로 오픈소스를 활용하는 기업은 특정 개발사의 제품에 종속되지 않는 이점을 얻는다. 필요한 자원을 인프라, 플랫폼, SW 등의 형태로 제공받아 사용할 수 있다. 덕분에 클라우드 환경을 구축하는 작업이 간편해진다고 레드햇 측은 밝혔다.

그런데 기업 사용자가 실무 환경에서 제어하고 통제할 수 있는 영역은 제한적이고, 소스가 공개되어 있는 만큼 악의적 사용자가 이를 보안 공격에 악용할 수 있다는 우려도 있다. 글로벌 보안 전문업체 시만텍이 내놓은 '2011 기업 클라우드 도입 현황 보고서'에 따르면 주요 기업들이 클라우드 도입 시 가장 우려하는 영역이 보안이다.

가상화를 도입한 클라우드 환경의 보안은 기존 기업 인프라에 비해 관심이 필요한 범주와 깊이가 확장된다. 일례로 기존 서버 보안은 '계정' 권한을 높이고 낮추는 작업이 주를 이루는 반면 클라우드의 서버 보안은 OS와 하이퍼바이저, 관리 프로그램 영역 권한까지 고려해야 한다고 레드햇 측은 설명했다.

■오픈소스 보안 걱정은 기우 이유는

레드햇은 소스를 공개했다는 점이 곧 보안취약성을 늘린다는 인식을 정면 반박한다. 오픈소스SW 사용자들은 커뮤니티에서 발생 가능한 보안 문제를 미리 예견하고 공유, 대처할 수 있게 돕는다는 특성을 거론하면서다.

오픈소스 커뮤니티를 통해 보안 문제가 보고된 뒤 해결책이 나오기까지 3일을 넘기는 경우는 거의 없다는 게 레드햇 측 설명이다. 비공개SW인 윈도의 경우 보안문제가 알려진 후 해결책이 나오기까지 평균 200일 정도가 소요된다고 덧붙였다.

회사는 '큰 피해가 발생해야 해결책이 나오는' 비공개 SW와 달리 오픈소스의 취약점은 '해커나 악의적 공격자들이 발견하기 전에 알려지는 경우가 대부분'이라고 밝혔다.

한국레드햇의 최원영 부장은 “오픈소스 SW는 사용자가 소스코드를 직접 분석해볼 수 있어 보다 능동적인 대처가 가능하다며 다수의 사용자층과 커뮤니티가 공동으로 보안상의 결점을 발견하고 이를 수정하기 때문에 문제를 더 빨리 풀 수 있다”고 강조한다.

관련 기업들이 오픈소스 커뮤니티와 협력하면서 보안 문제에 대응해온 것은 맞다. 코드가 공개되지 않은 SW기술이 반드시 더 적은 보안취약성을 보장해주지 않는 것도 사실이다.

레드햇은 오픈소스SW가 이같은 보안상 이점을 통해 금융, 방위산업, 반도체설계, 우주항공 등 작은 버그나 실수가 치명적인 결과를 초래하는 분야에서 널리 쓰인다고 주장했다. 그 사례로 세계 10대 은행 중 9곳이 오픈소스SW를 기반으로 한 자바 프레임워크를 활용하며 자사 역시 'NYSE유로넥스트' 등 전세계 28개 증권거래소, 미국연방항공국(FAA), 미해군 등 증권, 우주항공, 방위산업 부문에서 활약중이라고 밝혔다.

■보안을 강화한 레드햇 'SE리눅스'

이 회사가 보안성 강화를 목적으로 특화시킨 '시큐리티 인핸스드(SE) 리눅스'는 레드햇 엔터프라이즈 리눅스(RHEL) 4 버전을 통해 첫선을 보인 기술이다. SE리눅스는 커널 하위시스템에 통합된 접근제어 설계구조를 기반으로 데이터를 분리하는 방법을 제공한다는 설명이다. 여기에 미국가안전국(NSA)이 시범 개발한 '기밀성'과 '무결성' 기준을 포함시켰다. 기존 OS가 접근관리 또는 제어 기능을 구현하기 위해 암호를 통한 보호 기능을 쓰든지 부가 프로그램에 의존해온 약점을 해소한 것이다.

레드햇 측은 주요 애플리케이션들이 실제 접근가능한 권한이 아니라 '최상위(root)' 수준으로 실행된다는 점을 문제로 꼽는다. 이 경우 시스템 공격자들이 애플리케이션에 침입할 경우 시스템 전체 제어권을 얻게 된다. 암호화된 파일 내용이 유출되거나 스팸 메일 서버가 실행될 수도 있다. 침입당한 서버에 방화벽이 있었다면 조직내부의 네트워크가 노출되는 셈이다.

SE리눅스 환경에서 공격자는 침입에 성공하더라도 해당 애플리케이션 이상의 권한을 얻지 못한다. 웹서버에 침입해도 특정 디렉토리에서의 파일읽기, 스크립트 실행 등 웹서버 기능만 쓸 수 있기에 피해 규모를 크게 줄일 수 있다는 얘기다.

관련기사

한국레드햇 최원영 부장은 “국내선 아직까지 오픈소스에 대한 인식과 신뢰도가 낮은 게 현실”이라며 “클라우드 컴퓨팅에 대한 열기가 높아가는 요즘, 우리 기업들 역시 오픈소스에 대한 올바른 이해 및 검증을 통해 비용효과적이고 확장성을 갖춘 시스템의 도입을 적극 장려해야 한다”고 말했다.

또한 “오픈소스 기술에 대한 역량확보와 기술발전을 주도하고 발전시키기 위한 투자가 곧 글로벌 기술경쟁력 확보를 위한 밑거름이 될 것”이라고 덧붙였다.