Home > 전체기사
오픈소스가 공짜라고? 어림없는 소리
  |  입력 : 2017-12-11 17:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오픈소스에도 보이지 않는 비용 있어...하드웨어, 교육, 추가 개발 등
기본 보안 수칙 사항 잘 지키고 있어야 효용 가치 높아져


[보안뉴스 문가용 기자] 리눅스 OS, 워드프레스 CMS 등 세상에는 무료로 제공되는 소프트웨어들이 가득하다. 최근에는 이러한 오픈소스들의 인기가 폭발적으로 올라가고 있다. 블랙덕(Black Duck)이라는 오픈소스 보안 전문 업체의 조사에 의하면 2017년 약 90%의 단체에서 오픈소스 소프트웨어를 사용했고, 60%는 작년에 비해 그 사용률이 증가했다고도 답했다.

[이미지 = iclickart]


왜 오픈소스의 인기가 급증 중일까? 무료이기도 하지만, 호환성 등의 이유로 한 브랜드에 억지로 매여 있을 필요가 없어지고, 보안이 더 낫다는 응답자들이 많았다. 이 중 가장 큰 이유는 ‘무료’인데, 사실 오픈소스가 ‘공짜’라는 건 오해다. 또한 보안도 ‘사용자 하기 나름’이라, 반드시 오픈소스가 더 낫다거나 돈 주고 산 솔루션이 더 낫다고 말하기 힘들다.

‘오픈소스’란 무료로 다운로드 받아 설치하고, 필요에 따라 수정해서 사용할 수 있으며, 다른 사람과 공유할 수 있는 소프트웨어를 말한다. 구매 계약서나 사용 허가증 등에 따라 컴퓨터 몇 대에 설치할 수 있는지 주의 깊게 셈할 필요도 없다. 그렇다면 공짜란 뜻 아닐까? 아니다. 일견 그렇게 보이기도 하지만, 오픈소스를 사용할 때 직접, 간접적인 비용이 발생한다. 물론 그리 높지 않은 게 대다수이긴 하지만, 완벽히 0원인 오픈소스는 그리 많지 않다.

일단 오픈소스를 사용하기 위한 하드웨어와 IT 인프라를 마련하는 데에 비용이 든다. 무슨 당연한 소리냐고 물을지 모르겠는데, 꼭 필요한 오픈소스가 현재 보유하고 있는 하드웨어와 맞지 않아 하드웨어를 새롭게 구매하는 경우가 드물지 않다. 경우에 따라 이 부분에서 큰 비용이 소요될 수도 있다. 호환성뿐만 아니라 생각지 못했던 보안 구멍이 생겨 그 부분을 막느라 추가 하드웨어나 소프트웨어를 구매해야 할 수도 있다.

오픈소스의 기회비용
특정 오픈소스 솔루션들의 경우 실험 및 개발 환경에 맞게 만들어졌다. 이런 경우 아름답고 편리한 UI나 UX는 찾아보기 힘들다. 개발자라면 쉬운 UI 없어도 얼마든지 솔루션을 다룰 수 있지만, 일반 직원이 업무에 사용하도록 하기 위해서라면 추가 작업이 들어가야 한다. 이는 시간과 돈을 필요로 하는 일이다. 실제로 오픈소스를 들여와도, 회사 사정에 맞게 추가 개발을 하느라 긴 시간을 보내는 단체들이 꽤나 많다.

오픈소스는 기본적으로 DIY(Do It Yourself)의 특성을 가지고 있다. 자유로운 사용성을 의미하기도 하지만, 책임은 사용자 자신이 져야 한다는 뜻이기도 하며 전문가처럼 잘 다루지 못할 경우 어딘가 엉성해진다는 것도 알아두어야 한다. 또한 자유롭기 때문에 일반 직원들이 사용하다 잘못될 수도 있고, 누구나 써봤음직한 소프트웨어가 아니기 때문에 사용자 교육도 따로 시켜야 한다. AS 센터도 없다.

오픈소스의 또 다른 장점으로 꼽히는 건 방대한 커뮤니티로부터의 빠른 피드백이다. 뭔가 고장이 났다거나 잘 모를 때 오픈소스의 커뮤니티로부터 도움을 받을 수 있는데, 이 과정이 매번 친절하거나 부드럽지는 않다. 직접 질문글을 올리고, 댓글을 기다렸다가, 그 댓글의 무결성과 진위성을 확인해야 한다. 가끔은 너무 많은 도움이 들어와 뭘 선택해야 할지 판단하기 힘들 때도 있다. 조언들 모두가 다 옳다고 보장할 수도 없다.

심지어 커뮤니티 사용자들의 기술 및 경험의 수준에도 큰 차이가 있다. 인터넷 공간 속에서 그저 아는 척 해보고 싶어 그럴듯한 얘기를 어디서 귀동냥 한 사람이 당신의 질문글에 어설프게 답을 할 수도 있다. 인터넷에서 얻은 정보는 기본적으로 신뢰하기 힘들다는 게 정설이기도 하다.

이런 보이지 않는 비용들은 오픈소스를 사용하는 기간 내내 발생한다. 유로 소프트웨어와 마찬가지로 유지비용과 고객 지원을 필요로 한다. 오픈소스가 보안과 관련된 것이라면? 패치 여부 파악과 설치, 트러블슈팅 및 사용자 교육 모두 아무런 3자 도움 없이 진행해야 한다. 시간과 노력이 많이 들어가는 일이다.

너무 단점만 나열했을까? 오픈소스 소프트웨어만이 가진 장점도 있다. 커스터마이징 등 자유롭기 때문에 같은 소프트웨어라도 버전이 다양하다는 게 그 중 하나다. 이는 공격자들을 까다롭게 만드는 것이다. 한 시스템에 설치된 한 오픈소스 공략에 성공했다고 해서, 다른 시스템에 있는 같은 오픈소스를 자동으로 공략할 수 있다는 보장은 없다.

그러나 모든 오픈소스 사용자들이 자신에게 맞게 커스터마이징을 한다는 보장 또한 없는 게 현실이다. 또한 돈을 주고 사지 않았기 때문에 실험을 해보거나 잠시 사용해보고 잊어버리고 방치할 때도 많다. 그래서 어떤 오픈소스에서 대대적인 취약점이 발견됐다는 소식이 있어도, 그 오픈소스가 우리 회사 어딘가에도 있을 거라고 생각하지 못한다. 오픈소스에 대한 관리 체계가 없다면, 오픈소스는 쉽게 구할 수 있다는 점 때문에 오히려 독이 된다.

오픈소스 보안 툴은 더 큰 골칫거리가 될 수도 있다. 기본적인 네트워크 내 행동을 정의해두지 않는다면 정상적인 현상과 비정상적인 현상을 구분할 수 없게 되는데, 이는 공격의 탐지를 크게 어렵게 만든다. 또한 사건 대응 절차를 미리 규정해두지 않으면 탐지 이후 해야 할 일들을 제대로 하지 못해 눈 뜨고 당하기 일쑤다. 이런 상태에서 벤더의 지원 없이 혼자서 관리해야 하는 오픈소스 보안 툴들을 사용한다면, 혼돈의 문이 열려버린다.

유료 보안 솔루션들도 그 가짓수가 너무 많아 관제센터의 업무를 비효율적으로 만든다는 지적이 요즘 많이 나오고 있다. 체계가 없는 오픈소스라면 이 문제를 더 심각하게 만든다. ‘관리’의 입장에서는 ‘다양성’이 반드시 좋은 것만은 아니다. 무료에다가 기능이 좋다고 오픈소스 보안 툴을 마구 가져다 쓰면, 뒷감당이 힘들어질 것이 뻔하다. 그러므로 다음 몇 가지 항목들을 검토해보는 걸 권장한다.

1) 벤더 측으로부터의 전문적인 지원 없이도 괜찮을 만큼 기업 내 보안 수칙 사항들이 잘 갖춰져 있나? 오픈소스를 사용하고 싶다면 기본이 탄탄해야 한다. 그 오픈소스가 보안 솔루션이라면 더더욱 그렇다.

2) 오픈소스를 도입한 후 사용자와 일반 직원들을 충분히 교육시킬 여건이 마련되어 있는가? 저비용으로 사용하는 만큼 입맛에 딱딱 맞게 제공되는 오픈소스는 거의 없다. 사용자에게 불친절한 경우도 많다. 조직 차원에서 교육 시간과 비용을 따로 할애해야 한다.

3) 보안 파트너들(관제사나 솔루션 제공업체 등)도, 지금 회사에서 도입하려고 하는 오픈소스에 대해 잘 알고 있나? 기존 플랫폼과 호환이 되는가? 요즘 같이 얽히고설킨 네트워크 환경 내에서는 연결성과 호환성에 대한 검토가 반드시 필요하다.

글 : 앤디 조던(Andy Jordan), Mosaic451
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제