본문 바로가기

Home > 정보마당 > 공개SW 활용 성공사례

공개SW 활용 성공사례

SSL 인증도 공개SW로

국내외 안팎으로 보안에 대한 관심과 투자는 꾸준히 이어지고 있다. 특히 국내의 경우 흔하게 발생하는 보안 사고들로 인해 그 중요성은 나날이 증가되고 있는 상황이다. 이러한 보안 사고에 대비하기 위해 정부는 지난 2012년부터 보안 서버 구축을 의무화 했다. 하지만 보안서버 구축 의무화로 인해 홈페이지를 운영하는 모든 이들에게 부담으로 작용할 수밖에 없다는 지적이 끊이지 않았다. 이에 스마일서브는 공개SW를 활용해 보안서버를 구현함은 물론 공개SW라이선스인 GPL(GNU General Public License)로 공개해 비용절감은 물론 개발자들이 보다 손쉽게 보안서버를 구축할 수 있도록 돕고 있다.

- 기     관 스마일서브
- 수행년도 2015년 4월
- 도입배경 보안서버 개발 편의성 제공 및 도입에 따른 비용 절감 추구
- 솔 루 션 자바스크립트(Javascript) 등
- 도입효과 : 공개SW를 활용해 보안서버 개발 후 공개SW 재배포, 오픈SSL 사용에도 에러메세지 없음, 상용 SSL인증 서비스에 들어가는 비용 절감, 다양한 언어로 재배포 가능

스마일서브는 지난 2002년 설립한 국내 대표적인 호스팅 업체로 국내 호스팅 업체 중 드물게 자체 IDC를 보유한 기업이다. 이 회사는 IDC 운영에 필요한 기술과 SW, 하드웨어를 독자적으로 개발하는 등 경쟁력 개발에 꾸준히 노력해 오고 있다. 특히 스마일서브는 외부 보안 업체에 의존하지 않고 자체 보안 솔루션을 확보해 입지를 다져 왔다. 대부분의 기업들이 외부보안 전문 업체에 보안을 맡기고 있는데 반해 자체 개발한 서버 보안, 방호 기술을 바탕으로 독립적으로 운영해 오고 있던 것.


김병철 스마일서브 대표는 “우리 회사는 데이터센터 호스팅 클라우드 서비스 전문회사”라며 “특히 70여명에 불과한 중소기업임에도 회사에서 필요로 하는 모든 것을 스스로 해결해 왔다”고 소개했다. 실제 이 회사는 HW를 자체적으로 개발해 공급함은 물론, 회사 내 모든 SW는 공개SW를 활용하고 있다. 김 대표는 “아파치, 마이SQL, 리눅스 서버는 물론 업무용 PC도 리눅스”라며 “UPS, 네트워크 관제, 서버 모니터링까지 사용하는 모든 프로그램이 공개SW가 아닌 것이 없다”고 강조했다.



보안서버를 공개SW로 공개

이런 상황에서 스마일서브는 보안서버를 공개SW를 활용해 개발하는 한편 이를 다시 공개SW 라이선스인 GPL로 공개(www.boanserver.com)했다.



보안서버란 사용자의 PC와 웹서버 사이에 송수신되는 개인정보를 128비트(bit) 또는 256비트로 암호화해 전송하는 보안솔루션을 설치한 서버를 뜻한다. 여기서 서버는 HW를 기반으로 구현되는 것을 말하는 것은 아니다. 기존의 웹서버에 SSL 인증서를 설치하는 ‘SSL 방식 보안 서버’와 암호화 툴킷을 적용해 암호통신 기능을 제공하는 ‘응용프로그램 방식 보안서버’로 나뉜다. 대체로 웹호스팅 서비스를 하는 업체들은 SSL 인증서를 일정기간 단위로 구입해 SSL 인증서를 설치하거나 응용프로그램을 웹서버에 설치하는 형태를 취한다.


스마일서브의 보안서버는 자바스트립트로 구현한 응용프로그램이다. 기존 응용프로그램 방식의 보안서버가 액티브X(Active-X)기반이었던데 반해 공개SW인 자바스크립트로 SSL을 이용한 암호화를 구현한 것이 특징이다.



▲ 스마일서브 ‘보안서버’ 동작방식


SSL(Secure Sockets Layer)은 월드와이드웹(www)브라우저와 웹서버 간 데이터를 안전하게 주고받기 위한 업계 표준 프로토콜로써 SSL인증은 웹브라우저와 웹서버 간 서로 상대의 신원을 확인하는 기능이다.


쉬운 예로 구글(google)을 들 수 있다. SSL을 통해 구글에 접속하면 도메인 주소는 보안이 필요한 중요한 페이지들이 사용자의 의도와 상관없이 https://로 바뀐다.



▲ SSL 인증이 적용된 구글 화면


이는 모든 브라우저들이 베리사인(Verisign)이나 코모도(Comodo) 등의 SSL 인증기관의 인증서가 설치돼 있으며, 구글이나 페이스북 같은 서비스를 제공하는 업체들 역시 SSL 인증을 받아 놓았기 때문이다. 이를 통해 양측은 모든 것들이 암호화 돼 데이터가 송수신된다. 따라서 중간에서 해커가 내용을 가로채더라도 암호화돼 있어 이를 알아볼 수 있는 방법이 없다. 이에 정부는 지난 2012년부터 기업들이 SSL 인증이 가능한 보안서버를 구축하도록 의무화 했다.



▲ SSL보안서버 적용과 미적용의 차이, 출처=이웃닷컴



상용SSL 인증, 웹호스팅비용 보다 비싼 보안서버

하지만 문제는 비용이다. 국내 보안 서버 인증서 시장은 베리사인(Verisign)과 코모도(Comodo), 글로벌사인(GlobalSing) 등 상위 3개 글로벌 기업들이 시장의 90%이상을 차지하고 있다. 이들 업체가 제공하는 SSL 인증 서비스를 이용하려면 연간 수 십 만원의 비용이 들어간다. 여러 도메인을 가지고 사업을 할 경우 수 백 만원 단위로 비용이 껑충 뛸 수도 있다는 것이 김병철 대표의 설명이다.


비용 부담의 대안으로 오픈SSL을 사용하는 경우도 있지만, 이 경우는 브라우저 회사에 인증을 받지 않아 접속 시 해킹 당한 사이트 같은 느낌의 에러 메시지가 뜰 수도 있다는 문제가 발생한다.


뿐만 아니라 해커들의 공격이 키로거 공격(개인 컴퓨터에 악성코드를 뿌리고 키보드가 입력하는 내용을 감청해 자동으로 수집, 보고하는 방식)으로 개인정보를 탈취하는 경우가 많아 보안서버의 법적의무화가 보안 상황 개선에 기대만큼의 효과를 거두지 못한다는 점이다.


김 대표는 “가장 큰 문제는 보안서버 의무화로 인해 전체적인 홈페이지 산업과 인터넷 비즈니스가 위축되고 있는 상황에도 불구하고 비용대비 효과는 나타나지 않는다는 점”이라고 지적했다.



확산 효과 ‘톡톡’...관련 산업 발전에 도움 희망

그렇다면 스마일서브의 보안서버는 어떤 장점을 갖고 있을까. 우선 비용을 크게 줄일 수 있게 됐다는 점이다. 매년 SSL 보안 인증서 구입 갱신을 하지 않아도 법으로 의무화된 홈페이지 개인정보 암호화를 무료로 이용할 수 있다. 또 자바스크립트를 사용했기 때문에 오픈SSL을 사용할 때 나타났던 ‘유효하지 않은 인증서’라는 에러 메시지도 나타나지 않는다. 뿐만 아니라 액티브X나 실행파일(.exe) 없이도 키보드 보안이 가능하다.



▲ 오픈SSL 인증서 에러


이러한 장점을 바탕으로 확산에도 속도가 붙고 있다. 정확한 집계는 하지 않고 있지만, 출시 한 달이 안 된 상황에서 이미 페이스북을 통해 200여건이 넘는 공유가 이뤄지고 있다. 홈페이지에는 문의와 감사의 글들이 꾸준히 올라오고 있다.


김병철 대표는 “공개SW기반의 보안서버는 소스가 복잡하지 않아 누구나 쉽게 다룰 수 있을 것”이라며 “솔루션 개발자은 유용하게 사용할 수 있을 것”이라고 말했다.



[인터뷰]

“공개SW는 산업발전의 근간”

김병철 스마일서브 대표


김병철 스마일서브 대표
▲ 김병철 스마일서브 대표

공개SW를 활용해 보안서버를 구축한 이유는

국내 보안 문제가 심각한 상황이다. 회사에서 운영하는 블로그 글 중 ‘나는 악마를 보았다(http://idchowto.com/?p=8790)’와 같은 경우도 있었다. 이미 다 털렸다고 볼 수 있다. 정부는 보안 서버 의무화를 외쳤지만, 다양한 이유로 그 효과는 떨어진다고 판단했다. 특히 상용 보안서버의 경우, 가격이 문제가 컸기 때문에 공개SW를 활용해 보안서버를 개발해야겠다고 생각했고 또한 이를 오픈해 더 많은 사람들이 혜택을 누렸으면 하는 바람이 있었다. 우리 회사도 그간 공개SW로부터 받은 혜택이 크기 때문이다. 회사 운영에 필요한 모든 것을 공개SW를 통해 이뤘다. 늘 언젠가는 그 빚을 갚아야겠다고 생각해온 터였다.



공개SW의 의미는

공개SW는 산업발전의 근간이라고 볼 수 있다. 일례로 아파치는 90년대 초 컴퓨팅 산업이 발전하는데 구세주와 같은 역할을 했다. 아파치가 없었다면 웹 산업이 이처럼 발달하거나 크지 못했을 것이다.



보안서버 개발에 소요된 기간과 개발하면서 어려웠던 점은

보안서버는 약 2개월에 걸쳐 개발됐다. 보안서버 구상과 기획에 한 달, 실제 개발에 한 달 정도 소요됐다. 개발자도 단 2명으로 해결했다. 자바 스크립트를 공부했던 사람들은 쉽게 코드를 보고 수정할 수 있을 것으로 판단된다.

어려웠던 점은 크게 없었다고 본다. 국내에는 보안서버 관련 소스가 공개된 것이 없어 구글링을 통해 해외에서 소스를 구했다. 누구나 쉽게 구할 수 있다.




- 공개SW 역량프라자
맨 위로
맨 위로