공개SW에 대한 진실
 |
||||
| ||||
 | ||||
|
|
|
|
|
이는 공개SW의 보안 메커니즘을 통해 확인할 수 있습니다. 가장 활발히 사용되는 공개SW 중 하나인 리눅스(Linux)의 예를 들어 보겠습니다. 리눅 스(Linux)의 보안성이 얼마나 뛰어난지에 대한 대표적인 사례로는 미국 NSA(National Security Agency)에서 학계, 업계의 보안 전문가들의 참여를 통해 추진하고 있는 Security-EnhancedLinux프로젝트를 꼽을 수 있습니다. Security-Enhanced Linux는 OS 관련 가 장 진보된 보안 프로젝트 중 하나로 평가 받고 있습니다. 이와 함께 대표적인 보안 솔루션 중 하나 인 침임탐지시스템(IDS) 중 상당수가 공개SW인 스노트(SNORT)에 기초하고 있다는 사실도 공개 SW가 갖는 보안상의 이점을 잘 보여주는 예라 할 수 있습니다. 이처럼 공개SW가 보안과 관련된 각종 개발의 중심에 있게 된 데에는 어떤 연유에서일까요?
바로 공개SW의 주요 특징 중 하나인 투명성(Transparency) 때문입니다. 소스를 제공하지 않는 사유SW의 경우 보안 결점이 곳곳에 있어도 이를 공급자가 인지하고 대응책을 마련하기 전까지 사 용자는 알 수가 없습니다. 반면에 공개SW는 소스 코드를 사용자가 직접 분석해볼 수 있어 보다 능 동적인 대처가 가능합니다. 그리고 보안 결점을 찾는 눈 또한 특정 업체 하나가 아니라 사용자와 개발자 등 그 수가 많기 때문에 보다 빨리 문제를 찾아 낼 수 밖에 없습니다. 물론 문제 해결 방안 공개SW 지원 업체 또는 커뮤니티를 통해 빠르게 전파되어 각종 보안 침해 사고의 잠재적 위험을 최소화 할 수 있습니다.
물론 이러한 투명성만으로는 공개SW의 보안성이 믿을만하다는 것이 설득력 없을 수도 있습니다. 이러한 질문에 대한 답으로 공개SW 커뮤니티는 SW 디자인에서부터 보안을 염두에 두고, 코드 검 수, 디자인 리뷰, 테스팅 등의 개발 프로세스를 강화하는 방법에도 관심을 두고 있습니다. 사실 아 주 예전부터 OpenBSD 프로젝트의 경우는 보안성이 사유SW를 넘어설 정도로 잘 진행이 되었습니 다. 이러한 공개SW 개발 모델을 유지하면서 보안의 기준을 높일 수 있는 노하우와 방법론을 공개 SW 커뮤니티가 알고 있고, 경험해 보았다는 점에서 우리는 공개SW의 보안성에 또 다른 믿음을 가 질 수 있게 됩니다. |
|
그렇다면 시장에서 바라보는 공개SW의 보안성은 어느 정도일까요? 가정에서건 사무실에서건 우 리의 컴퓨팅 일상에서 가장 많이 활용되는 브라우저를 예로 들어보겠습니다. 워싱턴포스트지에 시 큐리티 픽스(SecurityFix)라는 블로그 칼럼 코너에 글을 쓰고 있는 브라이언 크레브스(Brian Krebs) 의 분석에 따르면 2006년 인터넷 익스플로러가 보안 위협에 노출된 날자는 일 년중 284일(78%)에 달한 반면 경쟁 브라우저인 파이어폭스는 9일(2%)에 불과했다고 합니다.
이는 근본적으로 보안 위협이 발생했음에도 이에 발 빠르게 패치를 배포하지 못했던 점이 문제라 고 칼럼의 필자는 보고 있습니다. 요즘에는 보안 취약성이 발견되자마자 공격 코드가 나오는 시대 입니다. 보안 업계에서는 이를 제로 데이 어택(Zero Day Attack)의 시대라고 부르는데, 인터넷 익 스플로러는 이에 발을 잘 못 맞추고 있다고 브라이언 크레브스는 본 것이죠. 반면에 모질라는 보다 발 빠르게 보안 허점을 찾아내고, 대응을 했던 것입니다. 인터넷 익스플로러가 갖는 보안상의 허점 을 잡아낸 사람은 브라이언 크레브스뿐이 아닙니다. 인포메이션위크의 그렉 카이저(Greg Keizer)가 2006년 9월에 작성한‘SpywareBarely TouchesFirefox’라는 기사에도 보안 허점의 발견과 대응 에서의 사유SW와 공개SW간의 속도와 메커니즘 차이에 대해 잘 설명하고 있습니다.
이는 여러 연구 결과에서도 증명되고 있습니다. 카네기멜론 대학에서 2006년 1월 발표한 연구 보 고서에 따르면 사유SW에 비해 공개SW의 보안 허점 발견 및 대응 속도가 월등히 높은 것으로 나 타났습니다. 총 142개의 표본을 대상으로 분석한 결과 기업의 경우 보안 허점 발견에 평균 17.6시간 이 드는 반면 공개SW는 0.23시간이 걸리며, 패치 개발 및 배포에 드는 시간 역시 기업은 66.12시 |
|
|
|
간이 들고 공개SW는 0.42시간이 드는 것으로 결과가 나왔습니다. 이 조사는 리눅스나 파이어폭스 등의 공개SW가 사유SW에 비해 결코 보안에 취약하지 않다는 것에 대한 근본을 이해할 수 있는 좋은 연구라 하겠습니다. |
|
|
 |
||||
|
Intro. |
||||
|
Q01. |
||||
|
Q02. |
리눅스는 주로 웹 서버로만 쓰인다? | |||
|
Q03. |
||||
|
Q04. |
||||
|
Q05. |
||||
|
Q06. |
||||
|
Q07. |
공개SW는 사유SW에 비해 성능이 떨어진다? | |||
|
Q08. |
공개SW는 소스가 공개되어 보안에 취약하다? | |||
|
Q09. |
||||
|
Q10. |
||||
|
Q11. |
||||
|
Q12. |
공개SW는 업계 표준이 없어 차후 시스템 확장시 호환성 문제가 발생한다? | |||
|
Q13. |
공개SW 인력 구하기는 하늘의 별 따기? | |||
 | ||||
