보안에 더 강한 오픈소스의 비밀은?

가 +
가 -

정말 오픈소스가 보안에 강할까? 오픈소스를 도입하기에 앞서 많은 이들이 고민하는 점이다. 그러나 세상에 완벽한 소프트웨어는 존재하지 않는다. 다만 상대적일 뿐이다. 더욱이 사람들이 생각하기에는 소스가 공개되어 있는 프로그램이 상용 프로그램에 비해 보안에 더욱 취약한 것 아닌가 하는 고민을 하는 것은 어찌보면 당연한 일이다.

사이먼 핍스(Simon Phipps, 사진)가 영국판 컴퓨터월드에서 이 문제에 대해 “사람들은 소스가 공개되면 오픈소스를 나쁜 의도로 사용하는 사람들도 생겨날 것 아닌가?하는 우려를 많이 한다”며, “보안에 완벽한 소프트웨어는 없지만, 보안에 더 강한 소프트웨어를 만드는 방법은 있다”고 말했다.

어떻게 하면 보안에 더 강하도록 만들 수 있을까?

방법은 ‘함께 하기’에 있다. 마이크로소프트 창업자 빌게이츠(William H. Gates)는 함께 일하는 것이 중요하다는 것을 강조한다. 그는 “마이크로소프트에는 뛰어난 아이디어가 많고, 그것들이 모두 상부에서 나온다는 인상을 준다. 그러나 그것이 꼭 사실은 아니다”라고 말한 적이 있다. 비단 마이크로소프트 뿐만 아니라 이러한 생각은 오픈소스 진영에서는 이미 오픈소스 커뮤니티를 통해 적극적으로 실현되고 있다. 특히 보안 문제 해결은 더욱 그렇다. 빌게이츠가 강조하고자 하는 내용이 바로 오픈소스 진영이 상용 소프트웨어와 차별화되는 강점이다.

핍스가 언급한 두가지 사례를 통해 오픈소스의 보안문제와 커뮤니티의 중요성에 대해 알아보자.

지난 2007년 솔라리스(Solaris)가 보안위협에 처한 적 있다. 솔라리스는 썬 마이크로시스템즈(Sun Microsystems)의 유닉스용 운영 체제(OS, Operating System)다. 유닉스 체계인만큼 보안 문제에 있어 가장 안전하다고 자타가 공인하던 시스템이었다. 때문에 이 시스템에서 발견된 보안문제는 사람들을 충격에 빠지게 하기에 충분했다. 발견당시 2002년경부터 존재 했을 것으로 추정된 이 버그는, 텔넷(Telnet)을 통해 솔라리스 시스템에 간단히 접근할 있도록 만드는 문제가 있었다. 이러한 접근이 가능하다면 악용될 소지가 다분히 있기 때문에 썬 마이크로시스템즈측은 문제가 발생하는 것을 막기 위한 패치를 즉각적으로 진행했다. 솔라리스의  보안상 취약점이 악용될 가능성도 충분히 있었다. 그러나 함께 문제 해결을 위해 고민한 커뮤니티 덕에 이 문제가 세상에 알려지기도 전에 문제를 해결할 수 있었다.

또 다른 경우는 자바(Java)다. 지난 2000년에 자바의 보안문제가 보고된 적 있다. PHP 서비스 접근 거부문제를 일으켰는데 이 문제는 로직 에러에 의한 것이라고 추정된다. 다행히 이 문제 역시 커뮤니티를 통해 활발한 토론이 이루어지고, 다양한 해결 방안들이 도출되었다.

이처럼 오픈소스에 보안 문제가 발생했을 때 해결하는데 가장 큰 공헌을 하는 곳은 바로 커뮤니티다. 오픈소스에서 발생하는 커뮤니티를 통해 보안 취약점을 즉시 발견할 수 있고 커뮤니티를 통해 즉각적으로 해결된다. 또 기업이 커뮤니티를 설득해 커뮤니티에서 적극적으로 문제 해결에 나설 수 있게 했다. 오픈소스가 보안에 강할 수밖에 없는 이유다.

네티즌의견(총 0개)