리눅스 육성, 한쪽은 ‘밀고’ 한쪽은 ‘막고’
황치규기자 delight@inews24.com
2003년 05월 07일
리눅스를 놓고 정부 및 공공기관들 사이에 한 쪽은 지원하려고 하고, 한 쪽에선 도입을 가로막으며 따로노는 상황이 연출되고 있다.
정보통신부는 공개소프트웨어 산업을 육성하려고 하는 반면, 국가정보원과 한국정보보호진흥원(KISA)은 리눅스가 보안에 취약하다는 것을 근거로 공공기관 도입을 제한하고 있는 것.
정통부는 올 초 국내 소프트웨어 산업 발전을 위해서는 공개SW 육성이 필요하다고 판단, 각종 정책을 쏟아내는 등 리눅스로 대표되는 공개SW 활성화에 대한 적극적인 의지를 표명하고 있다. 소스코드가 공개돼 있으면 보안에 강하다는 주장도 펼쳐 왔다.
그러나 보안 분야에선 소스코드가 공개된 리눅스는 해킹 위험이 크다는 평가를 받으며 유닉스와 윈도보다 공공기관에 들어가는데 어려움을 겪고 있다.
결국 소프트웨어와 보안담당 부서간 리눅스에 대한 접근 방식이 다른 셈이다.
이에 대해 관련 업계는 정부기관 사이에 엇갈린 입장을 보이는 것은 공개SW 활성화에 도움이 안된다며 의견일치를 볼 것을 강력하게 주문하고 있다.
◆"리눅스 보안성은 검증되지 않았다"…KISA
리눅스는 정부기관에 구축되는 보안솔루션에 대한 인증인 K시리즈중 K2등급까지 부여된다.
반면, 유닉스는 K4 등급까지 주어진다. 제도적으로 리눅스의 보안등급 상승은 차단돼 있는 것이다.
이와 관련, K시리즈 인증을 담당하는 한국정보보호진흥원(KISA)측은 "방화벽과 침입탐지시스템(IDS) 관련 공개 운영체제(OS)에 대한 평가정책은 미국과 영국 사례를 참조한다"며 "참조결과 리눅스는 소스코드가 공개돼 있는데다 개발주체가 없어 유닉스나 윈도보다 해킹 위험이 크다"고 설명한다.
또 "최근 들어 하드웨어기반 보안장비에 들어가는 임베디드리눅스는 안정성에 해킹위협에 안전하다는 입증을 하면 K4 인증을 부여하고 있다"고 강조한다.
공개OS가 패치가 잘 되기 때문에 안전하다는 주장에 대해 KISA측은 "그럴 수도 있지만 개발주체가 없어 보안에 취약하다는 것을 보강해주지 못한다"고 주장했다.
결국 KISA측 입장은 리눅스의 보안성은 검증되지 않았으며 미국과 영국에서 사례가 나오지 않은 이상 일반 리눅스에 K4등급을 부여하지 못한다는 것으로 정리되고 있다.
◆"리눅스 보안 문제는 해결 가능"…업계
리눅스 보안 문제가 검증되지 않았다는 KISA측 주장에 대해 관련업계는 리눅스에 K4등급이 부여돼도 문제가 없다는 입장이다.
또 리눅스 플랫폼이 공공은 물론, 민간 분야로까지 확대되는 추세를 감안하면 리눅스 기반 보안솔루션도 재평가를 받아야 한다고 주장하고 있다.
정통부 소프트웨어진흥과에선 공개SW를 활성화하려고 하고 있는데 보안 분야에서 이같은 상황이 일어나는 것은 모순이라는 것.
업계 한 관계자는 "미국 NSA도 리눅스 기반 시큐어OS를 만들어 공급하는 것으로 알고 있다"며 "리눅스 커널를 잘 만든 뒤 커널 소스에 대한 인증과 디지털 서명을 공개한다면 보안 문제를 해결 할 수 있다"고 주장했다.
그는 이어 "임베디드 리눅스가 들어간 하드웨어 장비에 K4등급을 부여한 것은 사실상 리눅스를 인정한 것과 마찬가지"라며 "결국 일반 리눅스로 확대될 것으로 본다"고 전망했다.
현재 임베디드리눅스가 탑재된 보안장비로 K4등급을 받은 기업은 어울림정보기술 등이 있다.
리눅스 기반 보안 제품을 판매하는 A사 임원은 "리눅스가 보안에 취약한 것은 애플리케이션 때문이지 커널 때문은 아니다"고 말했다.
또 다른 업체 관계자는 "윈도에도 문제가 많음에도 미국에서 검증되지 않았다는 이유로 도입을 제한하는 것은 바람직하지 않다"고 지적했다.
한편, 공개SW 활성화 정책을 추진중인 정통부 소프트웨어진흥과는 이와 관련, "주체가 다르기 때문에 협의가 필요한 사안"이라고 밝히고 있다. 보안 분야에서 일어나는 상황을 알고 있지만 소관 업무가 다르기 때문에 당장 어떻게 할 수 있는 입장은 아니라는 것이다.
2003-05-06
