공개SW 소식

2017년 1월 8일 (일)

ⓒ 지디넷코리아, 김우용 기자


커진 영향력 만큼 보안우려 등 고려사항 늘어


지난해 리눅스는 25살을 맞았다. 리눅스는 한 대학생의 개인 프로젝트로 탄생했지만, 오늘날 전세계 어디에나 존재하는 컴퓨터 운영체제(OS)로 성장했다. 스마트폰부터 슈퍼컴퓨터, 웹서버, 클라우드, 심지어 자동차에도 리눅스가 사용된다.


리눅스 실패 영역이었던 개인사용자 기기도 안드로이드와 크롬북 등을 통해 리눅스를 빠르게 받아들이고 있다. 페도라, 오픈수세, 민트, 우분투 등 전통적인 데스크톱용 리눅스도 전세계 PC OS 점유율에서 5% 벽 돌파를 눈앞에 뒀다.


리눅스를 암덩어리라며 맹공세를 펼쳤던 마이크로소프트(MS)도 지난해 리눅스재단에 합류했다.



미국 지디넷의 오픈소스 전문 컬럼니스트 스티븐 보간니콜스는 최근 신년 칼럼에서 리눅스의 대세를 축하하면서도, 급증하는 보안 우려에 대해 벤더 책임론을 주장했다.


볼테르의 말처럼 큰 힘에는 큰 책임이 따른다. 전 IT 영역에 막강한 힘을 발휘하게 된 리눅스도 그에 걸맞는 책임을 요구받고 있다. 특히 보안 문제에 있어 그렇다.


과거 전세계 해커들의 공격대상은 PC시장을 장악했던 MS 윈도에 집중됐다. 가장 많이 쓰이는 소프트웨어에 많은 공격자가 도전하고, 그만큼 많은 취약점이 발견됐다. 뛰어난 해커가 취약점을 발견해 악성코드를 만들면, 그보다 서툰 실력을 가진 셀 수 없는 스크립트키드들이 그 코드를 활용하거나 변조해 확대시켰다.


이제 과거 윈도의 처지를 리눅스가 물려받게 된 상황이다. 해커들은 리눅스의 보안 취약점을 집중 공략하고 있다.


리누스 토발즈는 ‘지켜 보는 사람이 많으면 오류를 쉽게 찾아낼 수 있다(Given enough eyeballs all bugs are shallow)’는 리누스의 법칙을 주장했다. 이는 리눅스를 비롯한 오픈소스 소프트웨어를 성장시키는 핵심 개념이자 힘이었다.


그러나 현시점에서 ‘리누스의 법칙이 보안 측면에서도 잘 작동하는가’란 질문을 던질 수 있다.


SW 크기 측정 단위인 KLOC(1천개 소스코드 행수)를 기준으로 보면, SW 버그는 KLOC 당 15~50개 가량 발견된다고 한다. 코드를 엄격하게 점검하고 테스트했을 경우다.[참조글 바로가기]


리눅스 커널의 경우 1천600만 행의 코드로 이뤄져 있다. 산술적으로 240~800개의 버그가 리눅스 커널에 존재할 수 있다는 얘기다.


지난해 리눅스엔 2개의 중요한 보안 취약점이 이슈로 떠올랐다. LUKS 디스크 암호화 취약점이라 불린 스크립트와 리눅스 메모리 문제인 ‘더티카우(Dirty Cow)’였다. 그밖에 수많은 리눅스 버그와 취약점이 발견됐다. 이 문제들은 대부분 드러난 직후 고쳐졌다.


확실히 리눅스의 취약점 이슈 대응 속도는 애플이나 MS 같은 상용 SW 회사보다 빠르다. 그러나 적어도 3천여개의 버그가 발견되지 않았거나 고쳐지지 않고 있다.


리눅스 진영엔 뛰어난 보안 개발자가 많으며, 그들은 리눅스의 버그와 취약점을 발견하고 고치는데 헌신하고 있다. 일반 사용자나 개발자가 리눅스의 버그를 발견해 보고하는 방법도 여럿 존재한다. 그러나 보고된 버그를 교정할 개발자도 부족한 게 현실이다.


리눅스 리더 존 ‘매드독’ 홀은 2009년 블로그 글에서 이같은 현실적 문제를 지적했다. 자유소프트웨어에 무한정의 인적 자원이 있는 듯하지만, 실제로 버그를 발견하고 수정할 기술, 시간, 의사를 가진 사용자는 제한돼 있다는 것이다.[존 매드독 홀의 글 바로가기]


2009년까지만 해도 대부분의 리눅스 사용자는 개발자였다. 리누스의 법칙은 사용자를 개발자와 동일시 하는 입장인데, 2009년까지 이 입장이 유효했다.


그러나 오늘날 리눅스 사용자 대부분은 개발능력을 갖지 않은 일반인이다. 많은 개발자가 여전히 리눅스에 열정을 보이고 있지만, 그보다 훨씬 더 많은 수의 사용자가 자바와 자바스크립트의 차이조차 구분하지 못한다.


반면, 해커가 리눅스를 공격할 동인은 점점 더 늘어나고 있다. 아일랜드 개발자이자 우분투 데스크톱 버그 전문가로 통하는 두나허 캐롤(Donncha O'Cearbhaill)은 최근 블로그에서 연구자에게 리눅스 취약점을 발견하게 하는 검은 유혹을 경계하자고 지적했다.[블로그 바로가기]


그는 "연구자가 취약점 브로커에게 취약점을 찾아주게 하는 금전적 동기가 있다"며 "취약점을 찾아주면 1만달러 이상의 대가를 주겠다는 제안을 받았다"고 밝혔다.


그는 "금전적 동기부여가 소프트웨어를 더 안전하고 버그를 찾기 어렵게 만드는 유일한 방법"이라며 "리눅스 진영이 연구자에게 공짜로 그들의 작업을 의존하는 건 불가능하다"고 덧붙였다.


그는 버그나 취약점을 발견해 알리면 상금을 지급하는 MS나 구글의 버그 바운티 프로그램처럼, 리눅스와 오픈소스 개발업체가 나서서 버그와 취약점 보고에 대한 금전적 이익을 제공해야 한다고 주장했다.


존 매드독 홀은 2009년 글에서 모든 사용자가 리눅스 버그 발견과 수정에 참여할 수 있도록 독려해야 한다고 강조했다.


올해 전세계를 강타한 랜섬웨어는 기업 비즈니스에 큰 영향을 끼치고 있다. IBM 시큐리티에 따르면, 랜섬웨어에 감염된 기업 약 70%가 비용을 지불한다고 한다.


랜섬웨어의 리눅스 공격은 더욱 기승을 부릴 전망이다. 리눅스가 엄청나게 활용되는 가운데 이를 두고만 보기에 관련 업계와 개발자의 책임이 적지 않다.


스티븐 보간 니콜스는 "리눅스는 큰 힘을 얻었고, 개발자와 벤더가 앞으로 나아가야 한다"며 "(리눅스의) 보안을 관리할 큰 책임을 가져야 한다"고 강조했다.




※ 본 내용은 (주)메가뉴스(http://www.zdnet.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 지디넷코리아. 무단전재 및 재배포 금지


[원문출처 : https://www.zdnet.co.kr/news/news_view.asp?artice_id=20170106171615]

조회 수 :
314
등록일 :
2017.01.09
16:43:50 (*.162.249.76)
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 [주간 OSS 동향 리포트] 리누스 토발즈, 리눅스 커널 4.10 공개 OSS 2017-02-22 613
6147 구글, 파이썬-고 소스코드 변환해주는 ‘글럼피’ 오픈소스로 공개 OSS 2017-01-09 326
» 리눅스 시대 "큰 힘엔 큰 책임 따른다" OSS 2017-01-09 314
6145 레드햇, 오픈 하이브리드 클라우드 관리 기능 강화한 ‘레드햇 클라우드폼즈 4.2’ 발표 OSS 2017-01-09 179
6144 "HWP 수식을 LaTeX으로"…오픈소스 변환기 등장 OSS 2017-01-09 333
6143 글로벌 IT기업 SW 보안 취약성 급증… 어떤 기업이 제일 많나 OSS 2017-01-09 211
6142 SW교육 열풍속 `파이썬` 부상 OSS 2017-01-09 245
6141 국내외 기업들, 빅데이터 전문가들 모시기에 사활 걸었다 OSS 2017-01-09 182
6140 서울시, 3D 모델링·CAM 동영상 강의 공개 OSS 2017-01-09 154
6139 “2017년 운영체제 점유율, 애플이 MS 앞설 것” 가트너 OSS 2017-01-09 183
6138 “PC 시장, 2018년 성장세로 돌아선다” 가트너 OSS 2017-01-09 159


사이트하단 로고, 하단메뉴, 트위터 바로가기

퀵메뉴모음
퀵메뉴열기
퀵메뉴닫기