세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
오픈소스가 공짜라고? 어림없는 소리
  |  입력 : 2017-12-11 17:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오픈소스에도 보이지 않는 비용 있어...하드웨어, 교육, 추가 개발 등
기본 보안 수칙 사항 잘 지키고 있어야 효용 가치 높아져


[보안뉴스 문가용 기자] 리눅스 OS, 워드프레스 CMS 등 세상에는 무료로 제공되는 소프트웨어들이 가득하다. 최근에는 이러한 오픈소스들의 인기가 폭발적으로 올라가고 있다. 블랙덕(Black Duck)이라는 오픈소스 보안 전문 업체의 조사에 의하면 2017년 약 90%의 단체에서 오픈소스 소프트웨어를 사용했고, 60%는 작년에 비해 그 사용률이 증가했다고도 답했다.

[이미지 = iclickart]


왜 오픈소스의 인기가 급증 중일까? 무료이기도 하지만, 호환성 등의 이유로 한 브랜드에 억지로 매여 있을 필요가 없어지고, 보안이 더 낫다는 응답자들이 많았다. 이 중 가장 큰 이유는 ‘무료’인데, 사실 오픈소스가 ‘공짜’라는 건 오해다. 또한 보안도 ‘사용자 하기 나름’이라, 반드시 오픈소스가 더 낫다거나 돈 주고 산 솔루션이 더 낫다고 말하기 힘들다.

‘오픈소스’란 무료로 다운로드 받아 설치하고, 필요에 따라 수정해서 사용할 수 있으며, 다른 사람과 공유할 수 있는 소프트웨어를 말한다. 구매 계약서나 사용 허가증 등에 따라 컴퓨터 몇 대에 설치할 수 있는지 주의 깊게 셈할 필요도 없다. 그렇다면 공짜란 뜻 아닐까? 아니다. 일견 그렇게 보이기도 하지만, 오픈소스를 사용할 때 직접, 간접적인 비용이 발생한다. 물론 그리 높지 않은 게 대다수이긴 하지만, 완벽히 0원인 오픈소스는 그리 많지 않다.

일단 오픈소스를 사용하기 위한 하드웨어와 IT 인프라를 마련하는 데에 비용이 든다. 무슨 당연한 소리냐고 물을지 모르겠는데, 꼭 필요한 오픈소스가 현재 보유하고 있는 하드웨어와 맞지 않아 하드웨어를 새롭게 구매하는 경우가 드물지 않다. 경우에 따라 이 부분에서 큰 비용이 소요될 수도 있다. 호환성뿐만 아니라 생각지 못했던 보안 구멍이 생겨 그 부분을 막느라 추가 하드웨어나 소프트웨어를 구매해야 할 수도 있다.

오픈소스의 기회비용
특정 오픈소스 솔루션들의 경우 실험 및 개발 환경에 맞게 만들어졌다. 이런 경우 아름답고 편리한 UI나 UX는 찾아보기 힘들다. 개발자라면 쉬운 UI 없어도 얼마든지 솔루션을 다룰 수 있지만, 일반 직원이 업무에 사용하도록 하기 위해서라면 추가 작업이 들어가야 한다. 이는 시간과 돈을 필요로 하는 일이다. 실제로 오픈소스를 들여와도, 회사 사정에 맞게 추가 개발을 하느라 긴 시간을 보내는 단체들이 꽤나 많다.

오픈소스는 기본적으로 DIY(Do It Yourself)의 특성을 가지고 있다. 자유로운 사용성을 의미하기도 하지만, 책임은 사용자 자신이 져야 한다는 뜻이기도 하며 전문가처럼 잘 다루지 못할 경우 어딘가 엉성해진다는 것도 알아두어야 한다. 또한 자유롭기 때문에 일반 직원들이 사용하다 잘못될 수도 있고, 누구나 써봤음직한 소프트웨어가 아니기 때문에 사용자 교육도 따로 시켜야 한다. AS 센터도 없다.

오픈소스의 또 다른 장점으로 꼽히는 건 방대한 커뮤니티로부터의 빠른 피드백이다. 뭔가 고장이 났다거나 잘 모를 때 오픈소스의 커뮤니티로부터 도움을 받을 수 있는데, 이 과정이 매번 친절하거나 부드럽지는 않다. 직접 질문글을 올리고, 댓글을 기다렸다가, 그 댓글의 무결성과 진위성을 확인해야 한다. 가끔은 너무 많은 도움이 들어와 뭘 선택해야 할지 판단하기 힘들 때도 있다. 조언들 모두가 다 옳다고 보장할 수도 없다.

심지어 커뮤니티 사용자들의 기술 및 경험의 수준에도 큰 차이가 있다. 인터넷 공간 속에서 그저 아는 척 해보고 싶어 그럴듯한 얘기를 어디서 귀동냥 한 사람이 당신의 질문글에 어설프게 답을 할 수도 있다. 인터넷에서 얻은 정보는 기본적으로 신뢰하기 힘들다는 게 정설이기도 하다.

이런 보이지 않는 비용들은 오픈소스를 사용하는 기간 내내 발생한다. 유로 소프트웨어와 마찬가지로 유지비용과 고객 지원을 필요로 한다. 오픈소스가 보안과 관련된 것이라면? 패치 여부 파악과 설치, 트러블슈팅 및 사용자 교육 모두 아무런 3자 도움 없이 진행해야 한다. 시간과 노력이 많이 들어가는 일이다.

너무 단점만 나열했을까? 오픈소스 소프트웨어만이 가진 장점도 있다. 커스터마이징 등 자유롭기 때문에 같은 소프트웨어라도 버전이 다양하다는 게 그 중 하나다. 이는 공격자들을 까다롭게 만드는 것이다. 한 시스템에 설치된 한 오픈소스 공략에 성공했다고 해서, 다른 시스템에 있는 같은 오픈소스를 자동으로 공략할 수 있다는 보장은 없다.

그러나 모든 오픈소스 사용자들이 자신에게 맞게 커스터마이징을 한다는 보장 또한 없는 게 현실이다. 또한 돈을 주고 사지 않았기 때문에 실험을 해보거나 잠시 사용해보고 잊어버리고 방치할 때도 많다. 그래서 어떤 오픈소스에서 대대적인 취약점이 발견됐다는 소식이 있어도, 그 오픈소스가 우리 회사 어딘가에도 있을 거라고 생각하지 못한다. 오픈소스에 대한 관리 체계가 없다면, 오픈소스는 쉽게 구할 수 있다는 점 때문에 오히려 독이 된다.

오픈소스 보안 툴은 더 큰 골칫거리가 될 수도 있다. 기본적인 네트워크 내 행동을 정의해두지 않는다면 정상적인 현상과 비정상적인 현상을 구분할 수 없게 되는데, 이는 공격의 탐지를 크게 어렵게 만든다. 또한 사건 대응 절차를 미리 규정해두지 않으면 탐지 이후 해야 할 일들을 제대로 하지 못해 눈 뜨고 당하기 일쑤다. 이런 상태에서 벤더의 지원 없이 혼자서 관리해야 하는 오픈소스 보안 툴들을 사용한다면, 혼돈의 문이 열려버린다.

유료 보안 솔루션들도 그 가짓수가 너무 많아 관제센터의 업무를 비효율적으로 만든다는 지적이 요즘 많이 나오고 있다. 체계가 없는 오픈소스라면 이 문제를 더 심각하게 만든다. ‘관리’의 입장에서는 ‘다양성’이 반드시 좋은 것만은 아니다. 무료에다가 기능이 좋다고 오픈소스 보안 툴을 마구 가져다 쓰면, 뒷감당이 힘들어질 것이 뻔하다. 그러므로 다음 몇 가지 항목들을 검토해보는 걸 권장한다.

1) 벤더 측으로부터의 전문적인 지원 없이도 괜찮을 만큼 기업 내 보안 수칙 사항들이 잘 갖춰져 있나? 오픈소스를 사용하고 싶다면 기본이 탄탄해야 한다. 그 오픈소스가 보안 솔루션이라면 더더욱 그렇다.

2) 오픈소스를 도입한 후 사용자와 일반 직원들을 충분히 교육시킬 여건이 마련되어 있는가? 저비용으로 사용하는 만큼 입맛에 딱딱 맞게 제공되는 오픈소스는 거의 없다. 사용자에게 불친절한 경우도 많다. 조직 차원에서 교육 시간과 비용을 따로 할애해야 한다.

3) 보안 파트너들(관제사나 솔루션 제공업체 등)도, 지금 회사에서 도입하려고 하는 오픈소스에 대해 잘 알고 있나? 기존 플랫폼과 호환이 되는가? 요즘 같이 얽히고설킨 네트워크 환경 내에서는 연결성과 호환성에 대한 검토가 반드시 필요하다.

글 : 앤디 조던(Andy Jordan), Mosaic451
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#오픈소스   #공짜   #무료   #하드웨어   #비용   #추가   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
공인인증서 제도가 폐지될 것으로 보입니다. 향후 공인인증서를 대체할 수 있는 최고의 인증기술은 무엇이라고 보시나요?
생체인증
전자서명
바코드·QR코드 인증
블록체인
노 플러그인 방식 인증서
기타(댓글로)