2014. 4. 30. 16:31

제2의 '하트 블리드' 막기 위해 IT 거인들 뭉쳤다.

오픈소스 진영에서 더이상 하트블리드와 같은 초대형 취약점이 등장하지 않도록 하기 위해 글로벌 IT 기업들이 뭉쳤다. 리눅스 재단을 중심으로 구글, 페이스북, 인텔, 아마존웹서비스(AWS), 랙스페이스가 초기 참여하고, 마이크로소프트(MS), 시스코, 델, 후지쯔, IBM, 넷앱, VM웨어 등이 가세했다. 24일(현지시간) 씨넷 등 외신은 오픈소스 진영에 사용되는 암호화 기술의 취약점을 해결하기 위해 글로벌 기업들이 뭉쳐 '코어 인프라스트럭처 이니셔니브'를 개설했다고 보도했다.

참여한 회사들은 각각 매년 10만달러씩를 내고, 3년 동안 해당 프로젝트를 지원한다. 오픈소스로 공개되는 암호화 통신 기술인 오픈SSL에서 발견된 하트블리드 취약점은 개발자들이 조금만 주의를 기울여 검토했더라면 초대형 보안 이슈로까지 불거지지는 않았을 것이다. 그러나 오픈소스 진영 개발자들이 대개 자원봉사나 일과 외 시간에 혹은 적은 비용을 받고 개발에 참여하기 때문에 여러가지 버그들이 제대로 수정되지 못하거나 방치되는 일들이 잦았다.

새로운 이니셔티브를 이 같은 오픈소스 개발자들의 한계를 극복할 수 있는 대안이 될 수 있을 것으로 전망된다. 코어 인프라스트럭처 이니셔티브는 먼저 문제가 된 오픈SSL을 보완한다. 오픈SLS은 앞서 이 프로젝트에 참여한 회사들을 포함해 인터넷을 통한 이메일 전송, 사내 보안 통신을 위한 가상사설망(VPN) , 인터넷 전화 등에도 광범위하게 사용된다.

짐 젬린 리눅스 재단 이사는 "코어 인프라스트럭처 이니셔티브는 오픈소스코드 개발에 시간을 투자할 수 있는 암호화 전문가들을 재정적으로 지원한다"고 밝혔다. 리눅스는 20년째 커널 단에서 발생하는 버그 문제를 완벽히 해결하지 못하고 있다. 새로운 이니셔티브가 나오더라도 제대로 문제를 해결할 수 있는가에 대한 지적이 나오는 이유다.


''제2 하트 블리드 막으려면 오픈소스 개발자 지원 늘려야''


제2 하트블리드 사태를 막기 위해서는 오픈소스 프로젝트를 진행하고 있는 개발자들에 대한 지원이 강화될 필요가 있다는 지적이다. 자원봉사나 다름 없는 형태로 개발돼 온 오픈소스 소프트웨어(SW)가 보안성을 확보하기 위해서는 외부 후원이 늘어날 필요가 있다는 것이다. 

최근 구글을 중심으로 한 글로벌 IT 회사들은 오픈소스SW의 보안성을 확인하고, 강화하기 위해 관련 중급 수준 개발자를 지원하는 '코어 인프라스트럭처 이니셔티브(CII)'를 개설했다. 하트블리드로 인해 오픈소스 환경에서 발견된 보안 취약점이 전 세계 웹사이트, 네트워크 장비 등에 타격을 가할 수 있다는 위기감을 반영한 행보다.

외신에 따르면 오랫동안 자유(free) SW는 마치 공짜SW인 것처럼 잘못 인식돼왔다. 자유(free)는 공짜를 듯하는게 아니라 SW가 어떻게 작동되는지 이해하도록 돕고, 특정 기관 등의 감사로부터 자유롭다는 것을 의미한다는 설명이다.

많은 오픈소스 프로젝트들의 큰 문제 중 하나는 프로젝트를 지속하기 힘들다는 점이었다. 오픈SSL은 그동안 2천달러 자금으로 개발/운영돼 왔다. 오픈BSD는 전기료 문제로 곤란을 겪기도 했으며, GNOME은 최근에 현금자산이 바닥났다. 파이어폭스 개발사로 유명한 모질라는 구글 검색광고 등에 높은 의존율을 보이고 있다.

대부분의 사이트, `하트 블리드` 결함 해결

톱 1000대 웹사이트는 모두 최신의 오픈 SSL(Open SSL) 라이브러리로 패치했음이 확인되었고, 2%는 아직 문제를 해결하지 못하고 취약한 상태로 남아있다.

오픈 SSL이 웹사이트에서 광범위하게 사용하고 있기 때문에 많은 이들이 그들 서버와 고객 간 트래픽을 암호화하는 데 의존한다. 하트블리드 결함은 매우 은밀하게 악용할 수 있다. 보안전문가들은 사용자 이름, 비밀번호, 심지어 사이트 서버에 사용된 암호화 키마저도 캐낼 수 있어 사이버범죄가 있었거나 있을 수 있음을 우려했다.

오픈SSL 프로젝트는 지난 4월 7일 서버용 소프트웨어와 일부 클라이언트 운영체제에 대한 버그 패치를 발표했다. 열흘이 지난 4월 17일, 취약점을 가졌던 서버들은 대부분 패치했다. 보안 전문가들은 웹사이트 소유자들에게 새로운 SSL 인증과 키를 받기를 독촉했으며, 신중한 사용자라면 웹사이트에 접속할 때 경계를 늦추지 말 것을 충고했다.

여러 온라인 도구는 하트블리드 취약점 사이트를 보호해주는데, 보안 개발업체인 퀄리스가 제시한 것도 그 가운데 하나다. 퀄리스가 감지한 바에 따르면, 알렉사에 4만 9,000번째로 등재되어 있는 온라인 의류 사이트는 지난 21일까지 여전히 하트블리드 취약점을 갖고 있다.