암호화 도입에 있어 오픈 소스 솔루션과 유료 제품의 차이
커다란 틀 안에선 모든 것이 ‘오픈 소스’처럼 다뤄져야

[보안뉴스 문가용] 회사의 개발부서나 담당자들의 회의에서 ‘오픈 소스’라는 말을 꺼내보았는가? 아마 직접적인 ‘욕’만 없었을 뿐 본질적으로는 비슷한 반응이 나올 것이다. ‘오픈 소스’라는 말은 마치 종교나 정치, 혹은 음악 취향처럼 사람을 양 극단으로 갈라놓는 힘을 가지고 있다. 하지만 신기하게도 ‘보안’의 측면에서 오픈 소스란 보완할 점이 많다는 점에서 대부분이 동의하고 있다.
 


오픈 소스 솔루션과 유료 제품의 차이는?
본격적으로 이야기를 시작하기 전에 오픈 소스 암호화 솔루션과 유료 암호화 솔루션의 차이에 대해 짚어보도록 하자. 일단 유료 제품은 어느 정도는 공식 절차에 의해 검증을 받은, 완결성과 마무리가 깔끔하게 떨어지는 ‘완제품’이다. 물론 사용자의 기기에서 제품 설명서 그대로 제품이 돌아가도록 할 수만 있다면 말이다. 그게 안 될 경우 A/S같은 걸 받을 수 있긴 하다. A/S로도 어쩔 수 없다면, 제조사의 끊임없는 버그 보고서와 업데이트를 참고하면 된다. 아무튼 돈을 낸 대신 데이터에 대한 확실한 보호를 보장받거나, 그게 안 됐을 때 손가락질 할 누군가를 확보할 수 있다.

그럼에도 사용자들 중 적지 않은 수가 오픈 소스 암호화 솔루션을 선택하는 건 사실이건 아니건 한 가지 생각 혹은 선입견 때문인데, 외부 암호화 프로그램은 비싸고 좋지도 않다는 것이다. 암호화 솔루션 제조사가 광고하고 홍보하는 것처럼 강력한 기능을 발휘하는 제품이지만 소스가 닫혀있다는 한계가 있기 마련이고, 실제 커뮤니티에서 공개적으로 계속해서 수정되고 고쳐지는 과정 자체에 더 마음을 줄 수 있다는 게 그들의 입장이다. 그러므로 오픈 소스와 유료 제품의 가장 큰 차이는 ‘진화’의 가능성이라고 정리할 수 있다.

공격에 활짝 열려있긴 하지만
돈을 내고 산 제품의 질이 형편없고 광고에 비해 한참이나 모자라다면, 보통 법정에서 시시비비를 가리거나 언론사에서 대대적으로 보도한다. 하지만 오픈 소스와 관련된 문제들은 표면 위로 좀처럼 드러나지 않는다. 혹은 해당 오픈 소스를 만든 커뮤니티 전체에 대한 공격처럼 여겨진다. 이게 무슨 말인지 사례를 들어 설명해보겠다.

올해 OpenSSL에서 취약점이 발견되었고 하트블리드 공격이 잇따랐다. 그리고 수천 개의 사이트가 이로 인해 피해를 입었다. 해커들에게는 공격의 문이 활짝 열렸으며 사용자들에게는 짜증의 문이 활짝 열렸다. 그리고 그것을 고친 업데이트가 배포되었다. 즉 분명히 오픈 소스에 대한 취약점이지만 누군가에게 그 책임을 묻는 대신 커뮤니티 전체가 이를 ‘공격’으로 받아들여 해결에 나섰다는 것이다.

오픈 소스, 더 스마트하게 하려면?
유로 암호화 제품도 써보고 오픈 소스 커뮤니티도 돌아다녀 본 사람으로서 필자는 둘 중 하나를 선택해야 하는 사람들에게 도움이 될 다섯 가지 고려 사항을 정리해 보았다.

1. 열려있다는 것의 장점과 단점 : 내 주위 개발자들은 항상 농담처럼 ‘진짜 실력이 좋은 개발자는 좋은 소스를 잘 훔치는 개발자’라고 말한다. 소스가 믿을만하다면 코드를 일일이 타이핑하느니 복사해서 붙이기하는 게 훨씬 간단하고 쉽다. 그러나 이것이 ‘오픈’ 소스의 미덕은 아니다. 열려 있다는 것을 유일한 장점으로 여겨서는 선택에 큰 애로사항이 있을 거라는 얘기다.

2. 죽을 때 잘 죽을 수 있는 것 : 생산 혹은 창조하는 업무를 가진 사람들이 제일 못하는 건 자신의 생산물 혹은 창조물을 없애는 것이다. 개발자 혹은 보안 담당자가 사용한 오픈 소스가 이런 저런 형태로 회사 네트워크 내에 깊숙이 얽혀 있다면 더더욱 없애는 게 쉽지 않을 것이다. 하지만 죽인다는 게 꼭 다른 소프트웨어로 대체하는 게 아니다. 바로 버전 업, 즉 업데이트를 말한다. 약하다고 소문난 버전은 죽여야 한다. 필요하다면 소프트웨어 자체를 전부 다 삭제하더라도 말이다.

3. 돌다리도 두들겨야 : 보안 관련 소프트웨어 도입이라면 오픈 소스이건 유료 제품이건 먼저 시험해볼 수 있어야 한다. 오픈 소스는 이런 점에서 비교적 자유롭다. 유로 제품의 경우도 시험판을 먼저 제공하는 제조사들이 대부분이다. 보안 솔루션을 회사에 도입하는 건 중요한 결정이다. 시험할 수 있는 기회를 최대한 활용하는 것이 현명하다.

4. 당신은 암호 전문가가 아니다 : 보안에 관해서는 스스로에게 정직해야 한다. 당신의 전문분야가 무엇인지 제대로 파악해야 하고, 암호나 암호화에 대해서 잘 모른다면 그 사실을 인정해야 한다. 어쩌면 회사 내에 암호화 전문가가 아예 없을 수도 있다. 이 역시 인정해야 한다. 암호화에도 전문성이 당연히 필요하고, 오픈 소스든 유료 제품이든 표준이라는 것이 존재한다. 당신의 부족함을 가장 잘 메워줄 수 있는 게 무엇인지 파악할 필요가 있다.

5. 음식 맛을 돋구는 양념을 곁들여야 : 위와 비슷한데, 조직 내 리스크 관리 능력, 사용자의 성향, 취향 및 수준 등에 대한 객관적이고 정직한 지표가 있어야 한다. 오픈 소스도 좋고 유로 제품도 좋지만 내부의 능력을 보완해줄 수 있는 교육 및 훈련을 곁들이는 것도 생각해봄직 하다.

보안업계의 여러 솔루션이나 기업들이 해커들에게 무기력하게 뚫림에 따라 암호화가 급격하게 부상하고 있다. 보안 담당자로서는 어떤 솔루션을 도입하느냐가 시급한 문제일 텐데, 위의 몇 가지 제안이 선택에 도움이 되기를 바란다. 개인적으로 유료 제품이라고 하더라도 큰 보안 커뮤니티 안에서는 모든 것이 오픈 소스처럼 다뤄지는 게 맞는다고 본다. 즉, 모두의 참여가 절실하다.
글 : 맷 리틀(Matt Little)
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>