보안

오픈소스, 보안 위협 대응체계가 약점

Ellen Messmer | Network World 2008.07.22

오픈소스 소프트웨어가 기업 사용자에게는 심각한 보안 위험이 될 수 있다는 연구 결과가 나와 관심을 모으고 있다. 이유는 오픈소스 커뮤니티가 최소한의 보안 베스트 프랙티스를 제대로 지원하지 못했기 때문이다.

 

포티파이 소프트웨어(Fortify Software)와 컨설턴트인 래리 수토가 진행한 이번 연구는 11개의 오픈소스 소프트웨어 패키지와 이들 소프트웨어의 커뮤니티가 3개월 동안 보안 이슈에 어떻게 대응하는지를 평가하는 식으로 이루어졌다. 이번 연구의 목표는 이들 오픈소스 소프트웨어 패키지의 커뮤니티가 보안 문제나 발견된 취약점에 제대로 대응할 수 있는지를 알아보고, 보안 가이드라인과 적절한 개발 프로세스를 만들어내는 것이었다.

 

이번 연구에서 오픈소스 애플리케이션 서버인 톰캣(Tomcat)이 최고 점수를 받았다. 나머지 10개의 오픈소스 패키지는 Derby, Geronimo, Hibernate, Hipergate, JBoss, Jonas, OFBiz, OpenCMS, Resin, Struts이었는데, 좋지 않은 성적을 거두었다. 이들 10개 패키지 중에서 애플리케이션 서버인 JBoss는 웹 사이트 보안 관련 정보로의 링크가 뛰어났고, 보안 전문가와 쉽게 연결된다는 점에서 높은 점수를 받았지만, 보안 취약점을 신고할 수 있는 특정 이메일이 갖추고 있지 않는 등 문제점도 많았다.

 

포티파이의 보안 연구그룹 책임자인 야콥 웨스트는 “버그를 일반 메일링 리스트로 보내지는 않는다, 왜냐하면 일반에 공개되어 악용될 수 있기 때문이다”라고 지적했다. 버그를 신고할 수 있는 비공개 통로가 있어야 일반에게 알려지기 전에 이들 버그를 고칠 수 있고, 해커들이 관련 정보를 악용하기 힘들어진다는 것이다.

 

하지만 소프트웨어를 무료로 공급하는 오픈소스 커뮤니티는 이들 소프트웨어를 상용으로 판매하고 지원하는 역할을 하는 사업부에 비해 보안 문제에 대한 인식이 높지 않은 것으로 나타났다.

 

포티파이는 11개 오픈소스 패키지의 여러 가지 버전에서 총 2만 2,826건의 크로스사이트 스크립팅과 1만 5,612건의 SQL 인젝션 문제를 확인했다. 이를 기반으로 포티파이는 해당 오픈소스 소프트웨어 커뮤니티의 웹 사이트나 대표 이메일로 연락을 시도했지만, 결과는 좋지 않았다. 웨스트는 “2/3 정도가 아무런 응답도 받지 못했다”며, “연락 전화번호가 없는 경우가 많다. 누구에게 이런 정보를 이야기해야 하는지 알 수 없는 상태인 것이다”라고 지적했다.

 

보고서는 “오픈소스 패키지가 엔터프라이즈급의 기능을 제공한다고 하지만, 이들 제품은 업계 베스트 프랙티스를 수용하지 않고 있으며, 이를 고려하지도 않고 있다. 일부 오픈소스 개발팀 만이 올바른 방향으로 개발을 진행하고 있다”고 평가했다.

 

웨스트는 포티파이이 이번 연구를 오픈소스 소프트웨어를 평가절하하기 위한 목적으로 실시하지 않았다는 점을 분명히했다. 오히려 기업과 정부기관의 오픈소스 도입이 증가하고 있는 상황에서 보안 관련 기능을 향상시켜야 한다는 점을 지적하기 위한 것이라고 강조했다.

 

전임 미 백악관 사이버보안 책임자이자 현재 컨설턴트로 활약하고 있는 하워드 슈미트는 “이번 연구 결과는 기업이 오픈소스 소프트웨어를 도입하려면, 이런 점에 대해 주의깊게 살펴봐야 한다는 것을 보여준다”고 말했다.

 

오픈소스 소프트웨어가 비용 효?珝탔 면이나 기능 면에서는 상용 소프트웨어 못지 않지만, 유지보수의 관점에서는 매우 세밀한 검증이 필요하다는 것이다. 슈미트는 “누구에게 물어볼 것인가? Geronimo를 사용하고 있는 수천 개 기업은? 협력업체들은 어떻게 할 것인가?”라고 반문했다. 슈미트는 기업이 찾을 수 있는 기본적인 해결책은 오픈소스 패키지에 대한 대비를 자체적으로 갖추는 것이라고 덧붙였다.

 

정부기관과 기업은 오픈소스 소프트웨어의 문제를 위험관리와 코드 분석 등을 통해 자체적으로 해결하려고 한다면, 이러한 정보를 오픈소스 커뮤니티에 제공할 것인가도 결정해야 한다.

 

또 다른 문제는 소프트웨어의 개발 라이프사이클에 관련된 것인데, 오픈소스 커뮤니티는 포티파이가 찾아낸 문제점 중에서 구버전의 문제를 해결하지 않으려는 경향을 보이기도 했다는 것이다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.