이만용 리눅스코리아 기술총괄이사 yong@linuxkorea.co.kr
컴퓨터가 단순한 자동화, 회사자료의 저장고 정도의 내부 역할을 수행하는 단계에서 개인과 회사를 연결해 주는 「통신 채널」 역할을 하면서 컴퓨터 보안의 문제도 그 범위와 수위의 변화를 겪을 수밖에 없다. 이전에는 내부자의 절도 행위를 막는 차원이었지만, 지금은 인터넷을 통해 접근하는 무명의 세계인이 시도할 만한 일에 대한 모든 방어 차원으로 확대됐다. 획기적으로 더 많은 사람을 만나 회사와 상품을 알리고 사업의 기회를 높임과 동시에 그 위험도 정확히 그 만큼 증가한 셈이다.
그럼 「리눅스가 경쟁 관계에 있는 유닉스나 윈도보다 보안에 취약한가?」 이에 대한 대답은 「절대 그렇지 않다」이다. 아마도 이같은 질문에 어느 운용체계도 스스로가 보안에 더 취약하다고 고백하지 않을 것이다. 이는 각 진영의 목소리 크기, 논리성으로 판결날 것이다. 많은 보안 전문가들은 기술적인 오류보다는 인간적인 오류가 재앙을 불러일으키는 장본인이라고 본다. 사실 기술적인 오류는 어느 정도 피할 수 없는 숙명이다. 그러나 일반인이 생각하는 것과 달리 기술적인 오류는 보안 문제에 있어 가장 쉬운 작업에 속한다. 많은 시간이 드는 고된 작업이긴 하지만 불가능한 일은 아니기 때문이다.
가장 위험한 요소는 시스템의 보안 문제에 대해 별 관심을 갖지 않는 숙련되지 않은 상태, 실제로 안전하지 않은데 안전하다고 믿는 잘못된 안도감을 갖고 있는 관리자다. 특히 후자의 경우 오픈 소스가 아닌 기존의 모든 보안 패키지를 사용하고 있는 사람들의 가장 심각한 문제다.
이미 해커들이 들락날락하고 있는데, 「나는 몇 천만원 짜리 제품을 사용하고 있기 때문에 안심」이라고 생각하는 것은 매우 잘못된 일이다. 컴퓨터 보안 문제와 전통적인 절도 문제는 별로 다를 것이 없다. 경보기 하나 설치했다고 안심하는 사람이 있는가. 매일 정기점검해 주는 직원들의 노력없이는 절도를 막을 수 없는 것처럼 컴퓨터 보안은 소프트웨어 문제가 아니라 지속적인 서비스 문제다. 바로 이 점 때문에 보안 관련 서비스 회사들이 존재하는 것이다.
현재 리눅스를 사용하고 있는 많은 고객들은 고급 보안 서비스나 보안에만 전념하는 전담 인력을 갖지 못한 중소기업인 경우가 많다. 또는 보안에 신경을 쓰지 않는 경향이 있는 대학생들의 개인/동아리 서버인 경우가 태반이다. 선두 리눅스 업체는 이들의 보안 의식을 고취시키고 보안 뉴스를 전달하고 신속하게 대처할 수 있도록 하는 서비스를 제공해야 할 것이다.
안전한 시스템 구축을 위한 규칙 중 하나로서 「자신에게 필요치 않은 것은 절대 설치하지 않는다」가 있다. 리눅스는 현재 S/390 메인프레임부터 임베디드 시스템에 이르기까지 모든 시스템을 망라하고 있는 거인이 되어 가고 있다. 이 모든 기능이 하나의 CD롬에 들어있기 때문에 특정 분야의 사용자는 자신에게 필요치 않은 기능을 덤으로 받게 되고 보안 위험이 증가하게 된다.
메이저 배포판 제작자들은 이제 기능을 분리하지 않으면 안된다. 일반 고객을 대상으로 하는 푸짐한 CD도 좋지만 각 컴포넌트의 보안성을 철저히 검증하여 테스트에 통과한 컴포넌트로 구성된 「날씬한」 배포판을 만들어내야 한다.
실제로 필드 엔지니어가 하는 작업 중 하나가 배포판을 모두 설치한 후, 고객의 요구에 따라 패키지를 삭제해 내는 일이다.
리눅스는 빠르면 올 연말 유닉스에 필적하는 모든 기능을 갖춘 대용량 리눅스 커널 2.4 발표를 앞두고 더 높은 곳으로 오를 준비를 하고 있다. 이미 적지 않은 사람들이 유닉스 수준의 접근 제어 기능을 구현하고 있는 등 노력이 진행중이지만 배포판 제작자, 보안 서비스 제공자들이 더 많은 노력을 기울여 훌륭한 리눅스 솔루션을 만들 수 있기를 기대한다.