본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

[칼럼]OpenSSL 경고 메시지에 담긴 '불편한 진실'

OSS 게시글 작성 시각 2015-05-06 15:57:47 게시글 조회수 3162

2015년 05월 06일 (수)


ⓒ 아이티투데이, 김대협 스마일서브 엔지니어 up81@smileserv.com



과거 마이크로소프트를 대표 주자로 한 상용 소프트웨어 진영이 오픈소스를 경계 대상으로 보고 택했던 전략이 있다. 바로 오픈소스에 대한 불안감을 조장하는 FUD(Fear, uncertainty and doubt) 메시지를 다양한 관점에서 뿜어 내는 것이었다.


지금은 오픈소스와 관련해 FUD 전략을 펼칠 수 없는 시대다 보니 과거의 기억으로 남아 있다. 하지만 FUD 비슷한 메시지들을 아직도 볼 수 있는 곳이 남아 있다. 대표적인 것이 Open SSL 이다.



▲ 김대협 스마일서브
서비스기획 엔지니어

Open SSL은 서버 운영체제, 웹 서버, 네트워크 장비 등에서 굉장히 널리 쓰인다. 반면에 클라이언트 측면에서는 널리 쓰이지 않고 있다. 그 이유는 클라이언트에서 사용하는 웹 브라우저 대부분이 Open SSL을 사용하지 않기 때문이다. Open SSL로 이용자를 인증하는 사이트나 서비스를 들어가면 가장 먼저 경고 문구가 뜬다. 브라우저 마다 조금씩 다르지만 대략 믿을 수 없는 사이트니 접속하지 말라는 투의 경고다.


인터넷 익스플로러, 크롬, 파이어폭스, 사파리 등 널리 쓰이는 웹 브라우저들은 사용자가 특정 사이트에 접근할 때 해당 사이트의 인증서를 검증한다. 이 때 시만텍, 고대디, 코모도 등에서 제공하는 유료 SSL 서비스를 쓰는 사이트의 경우 별 경고 없이 연결이 된다. 하지만 Open SSL을 이용해 인증서를 생성해 쓰는 사이트의 경우 위험 메시지를 마구 뿌려 댄다.


물론 웹 브라우저 입장에서는 조금이라서 신뢰성에 의심이 가면 경고를 하는 것이 맞다. 다만 좀 과하지 않나 하는 생각이 든다. '유효하지 않다', '잠재적으로 위험하다' 등의 문구를 보는 순간 대부분의 사용자들은 해킹 당한 사이트 아닌가? 하는 의구심을 갖는다. 그리고 해당 사이트 접속을 포기한다.


무엇이 이토록 강력한 경고 문구를 쓰게 만드는 것일까? SSL은 웹 브라우저와 웹 사이트 간에 안전한 연결을 위한 프로토콜이다. 이에 대한 CA(certificate authority) 역할 및 인증서 발행을 하는 곳이 앞서 언급한 시만텍, 고대디, 코모도 등의 업체다. 그리고 이들 업체들은 자사의 SSL을 업계에서 널리 쓰이는 웹 브라우저, 서버 플랫폼, 모바일 장치, 애플리케이션 등과 호환성을 보장한다.


웹 브라우저로 주제를 좁혀 보면 유명 브라우저에는 유명 인증서 업체의 인증서들이 심겨져 있다. 신뢰된 인증 기관이란 이유로 해당 업체들의 인증서가 기본 내장되어 있는 것이다. 즉, 업체 간 신뢰 관계가 맺어져 있다는 것인데 이 관계가 순수한 신뢰만으로 이어져 있을까?


보안 업계에서는 이 신뢰 관계를 설명할 때 HTTPS 생태계를 빼놓지 않는다. 이 생태계는 인증서 발행 업체, 웹 브라우저 업체, 웹 사이트 운영 기업 등으로 구성돼 있다. HTTPS 업계는 Open SSL을 생태계의 일부로 수용하는 데 있어 불안감을 조장하고 있다.


그들의 내세우는 논리는 '대마불사'다. 인증서 시장은 서너 개의 대형 업체 중심으로 움직인다. 그리고 소비자들은 대형 업체의 서비스는 믿을 만 하며 Open SSL처럼 치명적인 보안 허점도 없다고 생각하는 경향이 있다. 하지만 실체를 보면 꼭 그렇지도 않다. 언론에서 적극적으로 알리지 않아서 그렇지 버진사인, 코모도, 트러스트웨이브 등 나름 이름 있는 서비스 업체발 해킹 사고 소식도 심심찮게 들려 온다.


HTTPS 생태계의 문제는 몇몇 선도 업체 중심의 폐쇄적인 구조를 띈다는 것이다. 이런 구조에서는 문제를 숨기기도 쉽고 소비자를 기만하기도 쉽다. 각종 규제 강화 덕에 대형 업체의 SSL 인증서 장사는 활황을 이어가고 있다. 소비자들은 이들 기업의 서비스는 안전할 것이란 막연한 기대감을 갖고 브랜드 가치 때문에 높은 비용을 지불한다는 사실을 보지 못한다. 모든 암호화 기반 서비스나 솔루션은 공개된 표준을 토대로 만들어 지기 때문에 기술적, 보안적 차별성이 대동소이하지만 HTTPS 생태계는 대마불사 논리를 앞세워 수익을 창출하고 있다.


대부분의 웹 브라우저가 Open SSL을 이용하지 않는 것이 지금은 그리 큰 이슈가 아닐 수도 있다. 하지만 향후 사물인터넷(IoT) 시대가 본격화 되면 HTTPS 업계는 또 한번 Open SSL을 놓고 FUD 전략을 펼치지 말라는 법도 없다. 생각만 바꾸면 견고한 HTTPS 생태계가 아닌 새로운 대안이 얼마든지 존재한다, 최근 필자가 몸담고 있는 회사에서 Open SSL을 인증서로 쓸 수 있는 GPL 기반 보안 서버를 발표한 것도 같은 배경에서 이해할 수 있다.

정리해 보자면 돈만 내면 쉽게 쓸 수 있는 것 외에 다른 대안도 틈틈이 살펴보는 여유가 필요할 때이다. 과거 오픈 소스를 밀어 내려던 상용 소프트웨어 진영이 지금 태도가 달라진 이유도 사실 똑똑한 소비자들을 더 이상 속일 수 없어서였다. 이를 다시 한번 떠올릴 때가 아닐까?




※ 본 내용은 (주)아이티투데이 (http://www.ittoday.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 아이티투데이. 무단전재 및 재배포 금지


[원문출처 : http://www.ittoday.co.kr/news/articleView.html?idxno=60601]

맨 위로
맨 위로