솔루션

보안성 높다는 오픈소스 OS, 취약점 1·2위··· 개방형 OS 괜찮나?

이종현
[디지털데일리 이종현기자] 지난 1월14일 마이크로소프트(OS)의 운영체제(OS) 윈도7의 기술지원서비스가 종료(EOS)됐다. 추후 정기적인 보안패치나 업데이트 등의 지원을 받지 못하게 됨에 따라 보안 공백이 우려됐다. 이에 정부는 공공기관 PC를 윈도10으로 교체하는 한편 ‘개방형 OS 도입전략 수립’을 시작으로 공공에 개방형 OS 활용을 늘려갈 방침이다.

국내서 개발되고 있는 ‘하모니카 OS’, ‘구름 OS’, ‘티맥스 OS’ 등은 리눅스 기반 개방형 OS다. 대표적인 오픈소스인 리눅스는 전 세계 개발자가 코드를 확인할 수 있는 만큼 문제점 진단과 패치도 그만큼 빠르다는 의견이 있다.

하지만 ‘안전한 리눅스 기반의 개방형 OS’라는 캐치프레이즈가 무색하게 리눅스의 보안성에 대한 의문이 제기된다.

미국표준기술연구소(NIST)가 공개한 ‘국가 취약점 데이터베이스(NVD)’ 데이터 분석에 따르면 2019년 기준 OS 취약점 1, 2위를 오픈소스 OS가 차지했다. ‘안드로이드가’ 414개로 1위, ‘데비안 리눅스’가 360개로 2위다. ‘윈도10’ 357개, ‘윈도7’ 250개, ‘우분투 리눅스’ 190개 등이 뒤를 이었다.

애플의 ‘iOS’와 모바일 OS를 양분하고 있는 안드로이드는 그만큼 공격면(공격받는 범위)이 넓기 때문에 취약점이 많이 발견된다는 ‘변명 거리’가 있다. OS 이용자가 많을수록 공격자와 공격시도도 늘기 때문이다. 시장조사기관 스탯카운터에 따르면 2020년3월 전 세계 기준 모바일 OS 점유율은 안드로이드가 73.3%, iOS가 25.89%다.

거기에 가상사설망(VPN)서비스 평가 사이트인 ‘TheBestVPN’에 따르면 414개의 안드로이드 취약점 중 146개는 안드로이드를 채택한 스마트폰 제조사의 사전 앱 권한 설정으로 인한 것이라고 전했다.
스탯카운터 데스크톱PC OS 점유율
스탯카운터 데스크톱PC OS 점유율

하지만 2위를 차지한 데비안 리눅스의 경우 점유율은 낮은 데 반해 발견된 취약점은 많은 편이다. 스탯카운터는 3월 기준 전 세계 데스크톱 OS 점유율을 윈도 77.26%, 맥OS 17.69%, 리눅스 1.89%로 분석하고 있다. 리눅스가 서버 시장에서 윈도에 비해 높은 점유율을 보인다고 하더라도 전체 시장에서 높은 점유율을 가진 윈도10에 비해 데비안 리눅스가 보인 취약점은 매우 높은 수치다.

OS 취약점이 최근 갑자기 부각된 것은 아니다. NIST는 1999년부터 2019년까지 OS 취약점 자료도 함께 공개했다. ▲데비안 리눅스 3067개 ▲안드로이드 2563개 ▲리눅스 커널 2357개 ▲맥OS 2212개 ▲우분투 리눅스 2007개 ▲윈도 서버 2008 1421개 ▲윈도7 1283개 ▲윈도10 1111개 등이다.

1993년 첫 버전이 출시한 데비안의 경우 그 기간만큼 취약점이 많이 발견될 수밖에 없겠으나 지난 20년간 데비안은 가장 많은 취약점이 발견된 OS라는 불명예스러운 타이틀을 보유한 것은 사실이다.

자료만 두고 보면 ‘보는 눈이 많아 취약점 발견·개선도 빠르다’는 오픈소스 OS의 장점은 제대로 발휘되지 못하는 것으로 보인다. 오히려 책임질 사람이 부족하므로 개선이 더디다는 지적도 있다.

리눅스의 취약점은 이를 이용하는 개방형 OS의 취약점으로 직결된다. 개방형 OS의 경우 기반이 되는 리눅스 버전의 업데이트가 되길 기다려야 하는데, 이 기간 취약점에 노출될 수 있다. 또 원판의 패치가 되더라도 이를 적용하기까지의 시간이 걸린다. 더군다나 국내서 개발되고 있는 개방형 OS 3종은 모두 지난해 발견된 취약점 2위(360개)인 데비안 리눅스를 기반으로 한다.

취약점이 다수 드러났다고 해서 데비안 리눅스가 나쁜 선택이라고 딱 잘라 말할 수는 없다. 사이버보안에서 취약점은 그 개수보다 심각도가 중요하다. 20개의 심각하지 않은 취약점보다 1개의 심각한 취약점이 더 치명적이다. 하지만 안심할 수도 없는 노릇이다.

보안업계 관계자는 “기존 리눅스 이용자의 경우 PC에 대한 이해도가 높은 편이다. 사용자 부주의로 생기는 보안사고가 윈도에 비해 적을 수밖에 없다”며 “하지만 지식이 없는 이용자가 리눅스 기반의 OS를 사용하면 이를 잘 활용하느냐도 문제겠지만 기존에 발생하지 않던 보안사고가 다수 발생할 수도 있다”고 경고했다.

이어서 그는 “지속적인 보안패치가 되는 OS가 안전한 것은 명백한 사실이다. 또 특정 기업에 종속되는 독과점 형태가 바람직하지 않다는 의견도, 장기적인 관점에서 독자적인 기술을 연구개발해야 한다는 것도 공감한다”며 “쉽게 결정할 일은 아닌 것 같다. 정부도 장기간의 로드맵을 통해 접근하지 않나. 좋은 결과가 나오길 바란다”고 응원했다.

한편 기술지원이 종료된 윈도7을 이용하는 PC가 여전히 많아 보안이 우려된다. 스탯카운터에 따르면 3월 기준 국내 윈도 PC의 점유율은 윈도10이 78.43%, 윈도7이 17.16%다.

2019년 MS 제품군에서 발견된 취약점은 총 668개로 1999년 이래 6814개의 취약점이 발견돼 가장 많은 공격자들의 공격 타켓이 됐다. 오라클, IBM, 구글, 애플이 각각 6115개, 4679개, 4572개, 4512개 등의 취약점이 발견되며 2위부터 5위를 차지했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널