지난해 리눅스는 25살을 맞았다. 리눅스는 한 대학생의 개인 프로젝트로 탄생했지만, 오늘날 전세계 어디에나 존재하는 컴퓨터 운영체제(OS)로 성장했다. 스마트폰부터 슈퍼컴퓨터, 웹서버, 클라우드, 심지어 자동차에도 리눅스가 사용된다.
리눅스 실패 영역이었던 개인사용자 기기도 안드로이드와 크롬북 등을 통해 리눅스를 빠르게 받아들이고 있다. 페도라, 오픈수세, 민트, 우분투 등 전통적인 데스크톱용 리눅스도 전세계 PC OS 점유율에서 5% 벽 돌파를 눈앞에 뒀다.
리눅스를 암덩어리라며 맹공세를 펼쳤던 마이크로소프트(MS)도 지난해 리눅스재단에 합류했다.
미국 지디넷의 오픈소스 전문 컬럼니스트 스티븐 보간니콜스는 최근 신년 칼럼에서 리눅스의 대세를 축하하면서도, 급증하는 보안 우려에 대해 벤더 책임론을 주장했다.
볼테르의 말처럼 큰 힘에는 큰 책임이 따른다. 전 IT 영역에 막강한 힘을 발휘하게 된 리눅스도 그에 걸맞는 책임을 요구받고 있다. 특히 보안 문제에 있어 그렇다.
과거 전세계 해커들의 공격대상은 PC시장을 장악했던 MS 윈도에 집중됐다. 가장 많이 쓰이는 소프트웨어에 많은 공격자가 도전하고, 그만큼 많은 취약점이 발견됐다. 뛰어난 해커가 취약점을 발견해 악성코드를 만들면, 그보다 서툰 실력을 가진 셀 수 없는 스크립트키드들이 그 코드를 활용하거나 변조해 확대시켰다.
이제 과거 윈도의 처지를 리눅스가 물려받게 된 상황이다. 해커들은 리눅스의 보안 취약점을 집중 공략하고 있다.
리누스 토발즈는 ‘지켜 보는 사람이 많으면 오류를 쉽게 찾아낼 수 있다(Given enough eyeballs all bugs are shallow)’는 리누스의 법칙을 주장했다. 이는 리눅스를 비롯한 오픈소스 소프트웨어를 성장시키는 핵심 개념이자 힘이었다.
그러나 현시점에서 ‘리누스의 법칙이 보안 측면에서도 잘 작동하는가’란 질문을 던질 수 있다.
SW 크기 측정 단위인 KLOC(1천개 소스코드 행수)를 기준으로 보면, SW 버그는 KLOC 당 15~50개 가량 발견된다고 한다. 코드를 엄격하게 점검하고 테스트했을 경우다.[참조글 바로가기]
리눅스 커널의 경우 1천600만 행의 코드로 이뤄져 있다. 산술적으로 240~800개의 버그가 리눅스 커널에 존재할 수 있다는 얘기다.
지난해 리눅스엔 2개의 중요한 보안 취약점이 이슈로 떠올랐다. LUKS 디스크 암호화 취약점이라 불린 스크립트와 리눅스 메모리 문제인 ‘더티카우(Dirty Cow)’였다. 그밖에 수많은 리눅스 버그와 취약점이 발견됐다. 이 문제들은 대부분 드러난 직후 고쳐졌다.
확실히 리눅스의 취약점 이슈 대응 속도는 애플이나 MS 같은 상용 SW 회사보다 빠르다. 그러나 적어도 3천여개의 버그가 발견되지 않았거나 고쳐지지 않고 있다.
리눅스 진영엔 뛰어난 보안 개발자가 많으며, 그들은 리눅스의 버그와 취약점을 발견하고 고치는데 헌신하고 있다. 일반 사용자나 개발자가 리눅스의 버그를 발견해 보고하는 방법도 여럿 존재한다. 그러나 보고된 버그를 교정할 개발자도 부족한 게 현실이다.
리눅스 리더 존 ‘매드독’ 홀은 2009년 블로그 글에서 이같은 현실적 문제를 지적했다. 자유소프트웨어에 무한정의 인적 자원이 있는 듯하지만, 실제로 버그를 발견하고 수정할 기술, 시간, 의사를 가진 사용자는 제한돼 있다는 것이다.[존 매드독 홀의 글 바로가기]
2009년까지만 해도 대부분의 리눅스 사용자는 개발자였다. 리누스의 법칙은 사용자를 개발자와 동일시 하는 입장인데, 2009년까지 이 입장이 유효했다.
그러나 오늘날 리눅스 사용자 대부분은 개발능력을 갖지 않은 일반인이다. 많은 개발자가 여전히 리눅스에 열정을 보이고 있지만, 그보다 훨씬 더 많은 수의 사용자가 자바와 자바스크립트의 차이조차 구분하지 못한다.
반면, 해커가 리눅스를 공격할 동인은 점점 더 늘어나고 있다. 아일랜드 개발자이자 우분투 데스크톱 버그 전문가로 통하는 두나허 캐롤(Donncha O'Cearbhaill)은 최근 블로그에서 연구자에게 리눅스 취약점을 발견하게 하는 검은 유혹을 경계하자고 지적했다.[블로그 바로가기]
그는 "연구자가 취약점 브로커에게 취약점을 찾아주게 하는 금전적 동기가 있다"며 "취약점을 찾아주면 1만달러 이상의 대가를 주겠다는 제안을 받았다"고 밝혔다.
그는 "금전적 동기부여가 소프트웨어를 더 안전하고 버그를 찾기 어렵게 만드는 유일한 방법"이라며 "리눅스 진영이 연구자에게 공짜로 그들의 작업을 의존하는 건 불가능하다"고 덧붙였다.
그는 버그나 취약점을 발견해 알리면 상금을 지급하는 MS나 구글의 버그 바운티 프로그램처럼, 리눅스와 오픈소스 개발업체가 나서서 버그와 취약점 보고에 대한 금전적 이익을 제공해야 한다고 주장했다.
존 매드독 홀은 2009년 글에서 모든 사용자가 리눅스 버그 발견과 수정에 참여할 수 있도록 독려해야 한다고 강조했다.
올해 전세계를 강타한 랜섬웨어는 기업 비즈니스에 큰 영향을 끼치고 있다. IBM 시큐리티에 따르면, 랜섬웨어에 감염된 기업 약 70%가 비용을 지불한다고 한다.
관련기사
- "랜섬웨어, 은행 ATM·마트 POS까지 노린다"2017.01.08
- "악성코드광고·좀비IoT기기…사이버공격 더 거세진다"2017.01.08
- 우분투, '안전한 IoT' 해법될까2017.01.08
- 재미로 시작한 리눅스, 재미보다 큰 것 주다2017.01.08
랜섬웨어의 리눅스 공격은 더욱 기승을 부릴 전망이다. 리눅스가 엄청나게 활용되는 가운데 이를 두고만 보기에 관련 업계와 개발자의 책임이 적지 않다.
스티븐 보간 니콜스는 "리눅스는 큰 힘을 얻었고, 개발자와 벤더가 앞으로 나아가야 한다"며 "(리눅스의) 보안을 관리할 큰 책임을 가져야 한다"고 강조했다.