Home > 전체기사
암호화의 부상, 오픈 소스냐 유료 제품이냐?
  |  입력 : 2014-12-09 17:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

암호화 도입에 있어 오픈 소스 솔루션과 유료 제품의 차이

커다란 틀 안에선 모든 것이 ‘오픈 소스’처럼 다뤄져야


[보안뉴스 문가용] 회사의 개발부서나 담당자들의 회의에서 ‘오픈 소스’라는 말을 꺼내보았는가? 아마 직접적인 ‘욕’만 없었을 뿐 본질적으로는 비슷한 반응이 나올 것이다. ‘오픈 소스’라는 말은 마치 종교나 정치, 혹은 음악 취향처럼 사람을 양 극단으로 갈라놓는 힘을 가지고 있다. 하지만 신기하게도 ‘보안’의 측면에서 오픈 소스란 보완할 점이 많다는 점에서 대부분이 동의하고 있다.

 


오픈 소스 솔루션과 유료 제품의 차이는?

본격적으로 이야기를 시작하기 전에 오픈 소스 암호화 솔루션과 유료 암호화 솔루션의 차이에 대해 짚어보도록 하자. 일단 유료 제품은 어느 정도는 공식 절차에 의해 검증을 받은, 완결성과 마무리가 깔끔하게 떨어지는 ‘완제품’이다. 물론 사용자의 기기에서 제품 설명서 그대로 제품이 돌아가도록 할 수만 있다면 말이다. 그게 안 될 경우 A/S같은 걸 받을 수 있긴 하다. A/S로도 어쩔 수 없다면, 제조사의 끊임없는 버그 보고서와 업데이트를 참고하면 된다. 아무튼 돈을 낸 대신 데이터에 대한 확실한 보호를 보장받거나, 그게 안 됐을 때 손가락질 할 누군가를 확보할 수 있다.


그럼에도 사용자들 중 적지 않은 수가 오픈 소스 암호화 솔루션을 선택하는 건 사실이건 아니건 한 가지 생각 혹은 선입견 때문인데, 외부 암호화 프로그램은 비싸고 좋지도 않다는 것이다. 암호화 솔루션 제조사가 광고하고 홍보하는 것처럼 강력한 기능을 발휘하는 제품이지만 소스가 닫혀있다는 한계가 있기 마련이고, 실제 커뮤니티에서 공개적으로 계속해서 수정되고 고쳐지는 과정 자체에 더 마음을 줄 수 있다는 게 그들의 입장이다. 그러므로 오픈 소스와 유료 제품의 가장 큰 차이는 ‘진화’의 가능성이라고 정리할 수 있다.


공격에 활짝 열려있긴 하지만

돈을 내고 산 제품의 질이 형편없고 광고에 비해 한참이나 모자라다면, 보통 법정에서 시시비비를 가리거나 언론사에서 대대적으로 보도한다. 하지만 오픈 소스와 관련된 문제들은 표면 위로 좀처럼 드러나지 않는다. 혹은 해당 오픈 소스를 만든 커뮤니티 전체에 대한 공격처럼 여겨진다. 이게 무슨 말인지 사례를 들어 설명해보겠다.


올해 OpenSSL에서 취약점이 발견되었고 하트블리드 공격이 잇따랐다. 그리고 수천 개의 사이트가 이로 인해 피해를 입었다. 해커들에게는 공격의 문이 활짝 열렸으며 사용자들에게는 짜증의 문이 활짝 열렸다. 그리고 그것을 고친 업데이트가 배포되었다. 즉 분명히 오픈 소스에 대한 취약점이지만 누군가에게 그 책임을 묻는 대신 커뮤니티 전체가 이를 ‘공격’으로 받아들여 해결에 나섰다는 것이다.


오픈 소스, 더 스마트하게 하려면?

유로 암호화 제품도 써보고 오픈 소스 커뮤니티도 돌아다녀 본 사람으로서 필자는 둘 중 하나를 선택해야 하는 사람들에게 도움이 될 다섯 가지 고려 사항을 정리해 보았다.


1. 열려있다는 것의 장점과 단점 : 내 주위 개발자들은 항상 농담처럼 ‘진짜 실력이 좋은 개발자는 좋은 소스를 잘 훔치는 개발자’라고 말한다. 소스가 믿을만하다면 코드를 일일이 타이핑하느니 복사해서 붙이기하는 게 훨씬 간단하고 쉽다. 그러나 이것이 ‘오픈’ 소스의 미덕은 아니다. 열려 있다는 것을 유일한 장점으로 여겨서는 선택에 큰 애로사항이 있을 거라는 얘기다.


2. 죽을 때 잘 죽을 수 있는 것 : 생산 혹은 창조하는 업무를 가진 사람들이 제일 못하는 건 자신의 생산물 혹은 창조물을 없애는 것이다. 개발자 혹은 보안 담당자가 사용한 오픈 소스가 이런 저런 형태로 회사 네트워크 내에 깊숙이 얽혀 있다면 더더욱 없애는 게 쉽지 않을 것이다. 하지만 죽인다는 게 꼭 다른 소프트웨어로 대체하는 게 아니다. 바로 버전 업, 즉 업데이트를 말한다. 약하다고 소문난 버전은 죽여야 한다. 필요하다면 소프트웨어 자체를 전부 다 삭제하더라도 말이다.


3. 돌다리도 두들겨야 : 보안 관련 소프트웨어 도입이라면 오픈 소스이건 유료 제품이건 먼저 시험해볼 수 있어야 한다. 오픈 소스는 이런 점에서 비교적 자유롭다. 유로 제품의 경우도 시험판을 먼저 제공하는 제조사들이 대부분이다. 보안 솔루션을 회사에 도입하는 건 중요한 결정이다. 시험할 수 있는 기회를 최대한 활용하는 것이 현명하다.


4. 당신은 암호 전문가가 아니다 : 보안에 관해서는 스스로에게 정직해야 한다. 당신의 전문분야가 무엇인지 제대로 파악해야 하고, 암호나 암호화에 대해서 잘 모른다면 그 사실을 인정해야 한다. 어쩌면 회사 내에 암호화 전문가가 아예 없을 수도 있다. 이 역시 인정해야 한다. 암호화에도 전문성이 당연히 필요하고, 오픈 소스든 유료 제품이든 표준이라는 것이 존재한다. 당신의 부족함을 가장 잘 메워줄 수 있는 게 무엇인지 파악할 필요가 있다.


5. 음식 맛을 돋구는 양념을 곁들여야 : 위와 비슷한데, 조직 내 리스크 관리 능력, 사용자의 성향, 취향 및 수준 등에 대한 객관적이고 정직한 지표가 있어야 한다. 오픈 소스도 좋고 유로 제품도 좋지만 내부의 능력을 보완해줄 수 있는 교육 및 훈련을 곁들이는 것도 생각해봄직 하다.


보안업계의 여러 솔루션이나 기업들이 해커들에게 무기력하게 뚫림에 따라 암호화가 급격하게 부상하고 있다. 보안 담당자로서는 어떤 솔루션을 도입하느냐가 시급한 문제일 텐데, 위의 몇 가지 제안이 선택에 도움이 되기를 바란다. 개인적으로 유료 제품이라고 하더라도 큰 보안 커뮤니티 안에서는 모든 것이 오픈 소스처럼 다뤄지는 게 맞는다고 본다. 즉, 모두의 참여가 절실하다.

글 : 맷 리틀(Matt Little)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제