오픈소스 진영에서 더이상 하트블리드와 같은 초대형 취약점이 등장하지 않도록 하기 위해 글로벌 IT 기업들이 뭉쳤다.
리눅스 재단을 중심으로 구글, 페이스북, 인텔, 아마존웹서비스(AWS), 랙스페이스가 초기 참여하고, 마이크로소프트(MS), 시스코, 델, 후지쯔, IBM, 넷앱, VM웨어 등이 가세했다.
24일(현지시간) 씨넷 등 외신은 오픈소스 진영에 사용되는 암호화 기술의 취약점을 해결하기 위해 글로벌 기업들이 뭉쳐 '코어 인프라스트럭처 이니셔니브'를 개설했다고 보도했다.
참여한 회사들은 각각 매년 10만달러씩를 내고, 3년 동안 해당 프로젝트를 지원한다.
오픈소스로 공개되는 암호화 통신 기술인 오픈SSL에서 발견된 하트블리드 취약점은 개발자들이 조금만 주의를 기울여 검토했더라면 초대형 보안 이슈로까지 불거지지는 않았을 것이다.
그러나 오픈소스 진영 개발자들이 대개 자원봉사나 일과 외 시간에 혹은 적은 비용을 받고 개발에 참여하기 때문에 여러가지 버그들이 제대로 수정되지 못하거나 방치되는 일들이 잦았다.
새로운 이니셔티브를 이 같은 오픈소스 개발자들의 한계를 극복할 수 있는 대안이 될 수 있을 것으로 전망된다.
코어 인프라스트럭처 이니셔티브는 먼저 문제가 된 오픈SSL을 보완한다. 오픈SLS은 앞서 이 프로젝트에 참여한 회사들을 포함해 인터넷을 통한 이메일 전송, 사내 보안 통신을 위한 가상사설망(VPN) , 인터넷 전화 등에도 광범위하게 사용된다.
짐 젬린 리눅스 재단 이사는 코어 인프라스트럭처 이니셔티브는 오픈소스코드 개발에 시간을 투자할 수 있는 암호화 전문가들을 재정적으로 지원한다고 밝혔다.
리눅스는 20년째 커널 단에서 발생하는 버그 문제를 완벽히 해결하지 못하고 있다. 새로운 이니셔티브가 나오더라도 제대로 문제를 해결할 수 있는가에 대한 지적이 나오는 이유다.
이에 대해 젬린 이사는 더 많은 이들이 버그를 만들어 낼수록 더 많은 이들이 이를 약화시킬 수 있다는 사실 자체는 틀리지 않다고 생각한다며 중요한 것은 얼마나 더 빨리 문제를 해결할 수 있는 아이디어를 공유하는가에 달렸다고 말했다. 리눅스라는 운영체제(OS)가 이를 증명해왔다는 것이다.
이 프로젝트를 진행하는데 가장 먼저 뜻을 함께한 구글 오픈소스 엔지니어링 담당 디렉터 크리스 디보나는 제안이 끝나기 무섭게 10만달러 기부 아이디어를 냈다. 그는 이 문제를 해결하기 위해 자체적으로 엔지니어를 채용하는 것보다는 비용이 적게 드는 일이라고 말했다.
관련기사
- 애플도 '하트블리드' 영향권2014.04.25
- "하트블리드 취약점 해결, 몇달은 걸릴 것"2014.04.25
- 하트블리드 취약점통해 대기업 해킹 확인2014.04.25
- 하트블리드 때문에 인터넷 속도 느려져2014.04.25
젬린 이사는 하트블리드 취약점과 같은 사고는 언제든 일어날 수 있다며 이니셔티브가 이러한 문제가 재발로 인한 위험성을 줄이는 프레임워크가 되기를 바란다고 밝혔다.
디보나 디렉터는 일단 이니셔티브를 통해 핵심 시스템 라이브러리, 암호분석툴 등을 갖추기 시작하면 가장 인기 있으면서도 적은 개발시간이 드는 프로젝트로 안착할 수 있을 것이라고 말했다.