[사진=게티이미지뱅크]
오픈소스 소프트웨어란 코드가 공개돼, 누구나 여기에 기능을 추가하거나 변경하고, 사용할 수 있는 소프트웨어를 말한다.
이미 잘 만들어진 오픈소스를 가져와 자사 서비스에 맞춰 적용하면 필요한 서비스를 빠르게 구축할 수 있다. 개발자가 원하는 특정 기능을 시간과 노력을 들여 개발할 필요 없이 개발 시간과 비용을 획기적으로 줄일 수 있으며, 향후 기능 추가나 호환성 확보 역시 널리 알려진 오픈소스를 사용해 해결할 수 있다.
하지만 소스가 개방돼 있다는 점은 양날의 칼과 같다. 커뮤니티를 통해 기능이나 성능을 강화할 수 있는 한편, 사이버 공격자가 취약점을 발견하기도 용이하다. 인터넷 세계에서 널리 쓰이는 오픈소스에 취약점이 발견된다면, 이는 인터넷 세계의 근간을 흔드는 일이 된다. 마치 사상누각과 같다.
지난 2014년에도 오픈소스 기반 서비스 취약점이 발견됐다. IT와 금융업계에 큰 충격을 준 '오픈SSL 보안 취약점(일명 하트블리드)' 사건이다. 오픈SSL은 보안 인증서 서비스 구현에 쓰이는 오픈소스로, 아주 간단한 명령어로 서버 내에 있는 데이터를 유출할 수 있는 취약점이 있다.
불과 7년 만에 이보다 더 규모가 큰 사고도 발생했다. 최근 등장한 로그4j 보안 취약점(일명 로그4셸)으로 인해 보안 업계는 피해 예방에 주력했다. 로그4j는 거의 모든 인터넷 서버에서 관리를 위해 쓰이는 오픈소스로, 이 취약점을 악용하면 가상자산 채굴 악성코드(크립토마이너), 랜섬웨어 공격, 정보유출, 디도스(DDoS) 등 다양한 형태의 공격을 펼칠 수 있다.
국가정보원은 주요 즉시 국가시설에 대한 점검과 실태파악을 마치고 늦은 밤까지 연락을 돌리며 대응에 나섰으며, 한국인터넷진흥원 역시 수시로 보안 업데이트 사항을 공개하며 대응 방안을 민간기업에 공유했다. 과학기술정보통신부 등 관계부처는 기업 정보보호최고책임자를 모아 대응 현황을 조사하면서 대응에 어려운 점 등 업계의 목소리를 들었다. SI 기업은 고객사를 보호하기 위해 각종 서비스를 제공했고, 보안 기업은 취약점 진단 도구를 급히 만들어 배포했다. 소프트웨어 하나가 IT와 관련한 모든 곳에 영향을 준 셈이다.
물론 오픈소스라고 해서 무조건 보안에 취약하다는 의미가 아니며, 사용하지 말아야 한다는 이야기도 아니다. 앞서 언급한 것처럼 오픈소스는 오늘날 개발 환경에서 필수요소로 자리잡고 있다.
중요한 것은 관리다. 어떤 오픈소스를 서비스에 적용하고 있는지 기업에서 언제나 현황을 파악하고 있어야 하며, 개발자 커뮤니티나 보안 인텔리전스를 통해 취약점 정보를 얻고 문제가 있는 오픈소스를 즉시 수정해야 한다. 기업 내 IT나 보안 담당자가 없는 소규모 기업이라도 IT를 이용한 서비스를 구축했다면 이러한 작업이 필요하다. 직접 하기 어렵다면 기관이나 전문기업의 도움을 받아야 한다.
KISA 역시 민간기업을 대상으로 원격 웹 취약점 점검이나 보안도구 등을 제공한다. 홈페이지 운영에 필요한 정보보호 전문지식이나 서버관리 인력이 없는 중소기업은 무료로 점검 서비스를 받을 수도 있다.
이번 취약점으로 인한 위협은 아직 끝나지 않았다. 서비스 수가 많은 기업은 점검과 조치를 위해 더 많은 시간이 들 것이며, 특히 서비스를 외주로 개발한 소기업은 이러한 사건이 발생한 사실조차 인지하지 못했을 가능성도 크다. 조치 이전에 침투한 해커가 훗날을 도모하며 악성코드가 탐지되지 않도록 숨겨놓았을 수도 있다. 취약한 기반 위에 지어진 건물은 무너질 수밖에 없다. 기반을 튼튼하게 하는 것은 관심과 노력이다. 내외부로 발생하는 비정상 보안 이벤트를 감지하고, 기본적인 보안 수칙을 지키는 등 최소한의 노력이 필요하다.
이미 잘 만들어진 오픈소스를 가져와 자사 서비스에 맞춰 적용하면 필요한 서비스를 빠르게 구축할 수 있다. 개발자가 원하는 특정 기능을 시간과 노력을 들여 개발할 필요 없이 개발 시간과 비용을 획기적으로 줄일 수 있으며, 향후 기능 추가나 호환성 확보 역시 널리 알려진 오픈소스를 사용해 해결할 수 있다.
하지만 소스가 개방돼 있다는 점은 양날의 칼과 같다. 커뮤니티를 통해 기능이나 성능을 강화할 수 있는 한편, 사이버 공격자가 취약점을 발견하기도 용이하다. 인터넷 세계에서 널리 쓰이는 오픈소스에 취약점이 발견된다면, 이는 인터넷 세계의 근간을 흔드는 일이 된다. 마치 사상누각과 같다.
지난 2014년에도 오픈소스 기반 서비스 취약점이 발견됐다. IT와 금융업계에 큰 충격을 준 '오픈SSL 보안 취약점(일명 하트블리드)' 사건이다. 오픈SSL은 보안 인증서 서비스 구현에 쓰이는 오픈소스로, 아주 간단한 명령어로 서버 내에 있는 데이터를 유출할 수 있는 취약점이 있다.
국가정보원은 주요 즉시 국가시설에 대한 점검과 실태파악을 마치고 늦은 밤까지 연락을 돌리며 대응에 나섰으며, 한국인터넷진흥원 역시 수시로 보안 업데이트 사항을 공개하며 대응 방안을 민간기업에 공유했다. 과학기술정보통신부 등 관계부처는 기업 정보보호최고책임자를 모아 대응 현황을 조사하면서 대응에 어려운 점 등 업계의 목소리를 들었다. SI 기업은 고객사를 보호하기 위해 각종 서비스를 제공했고, 보안 기업은 취약점 진단 도구를 급히 만들어 배포했다. 소프트웨어 하나가 IT와 관련한 모든 곳에 영향을 준 셈이다.
물론 오픈소스라고 해서 무조건 보안에 취약하다는 의미가 아니며, 사용하지 말아야 한다는 이야기도 아니다. 앞서 언급한 것처럼 오픈소스는 오늘날 개발 환경에서 필수요소로 자리잡고 있다.
중요한 것은 관리다. 어떤 오픈소스를 서비스에 적용하고 있는지 기업에서 언제나 현황을 파악하고 있어야 하며, 개발자 커뮤니티나 보안 인텔리전스를 통해 취약점 정보를 얻고 문제가 있는 오픈소스를 즉시 수정해야 한다. 기업 내 IT나 보안 담당자가 없는 소규모 기업이라도 IT를 이용한 서비스를 구축했다면 이러한 작업이 필요하다. 직접 하기 어렵다면 기관이나 전문기업의 도움을 받아야 한다.
KISA 역시 민간기업을 대상으로 원격 웹 취약점 점검이나 보안도구 등을 제공한다. 홈페이지 운영에 필요한 정보보호 전문지식이나 서버관리 인력이 없는 중소기업은 무료로 점검 서비스를 받을 수도 있다.
이번 취약점으로 인한 위협은 아직 끝나지 않았다. 서비스 수가 많은 기업은 점검과 조치를 위해 더 많은 시간이 들 것이며, 특히 서비스를 외주로 개발한 소기업은 이러한 사건이 발생한 사실조차 인지하지 못했을 가능성도 크다. 조치 이전에 침투한 해커가 훗날을 도모하며 악성코드가 탐지되지 않도록 숨겨놓았을 수도 있다. 취약한 기반 위에 지어진 건물은 무너질 수밖에 없다. 기반을 튼튼하게 하는 것은 관심과 노력이다. 내외부로 발생하는 비정상 보안 이벤트를 감지하고, 기본적인 보안 수칙을 지키는 등 최소한의 노력이 필요하다.
- 기자 정보
- 이상우
- lswoo@ajunews.com
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[포토] 윤석열 대통령, 4·19혁명기념탑 분향](https://image.ajunews.com/content/image/2024/04/19/20240419134308633606_388_136.jpg)
![[슬라이드 포토] 넷플릭스 시리즈 종말의 바보 제작발표회](https://image.ajunews.com/content/image/2024/04/19/20240419134605530571_388_136.jpg)
![[포토] 눈길 끄는 눈물의 여왕 김수현 벤츠](https://image.ajunews.com/content/image/2024/04/18/20240418134936718565_388_136.jpg)
![[포토] 제60회 한국보도사진전 개막](https://image.ajunews.com/content/image/2024/04/18/20240418134920458248_388_136.jpg)
![[금투세 폐지 논란] 코리아 디스카운트 심화...韓증시 불확실성 높여](https://image.ajunews.com/content/image/2024/01/03/20240103150426112900_388_136.jpg)
