실시간
뉴스

기본분류

[취재수첩] 오픈소스 생태계의 버그, 하트블리드의 교훈

[디지털데일리 심재석기자] 최근 오픈SSL의 하트블리드(심장출혈) 버그로 인해 IT업계가 발칵 뒤집어졌다. 오픈SSL은 전 세계에서 가장 많이 사용하는 암호화 프로토콜이다. 구글, 페이스북, 트위터 등 거의 대부분의 웹사이트가 오픈SSL을 기반으로 데이터를 주고 받는다. 이런 오픈SSL로 데이터를 송수신할 때 심장출혈처럼 데이터가 조금씩 밖으로 빼돌려질 수 있다는 사실에 IT업계는 경악했다.

오픈SSL의 보안결함은 오픈소스소프트웨어(이하 오픈소스)의 위기로 확대되는 모양새다. 과연 오픈소스를 믿을 수 있느냐는 근본적인 회의가 대두되고 있는 것이다.

그동안 ‘오픈소스는 일반 상업용 소프트웨어 비해 안전하다’는 것이 오픈소스 진영의 주장이었다. 오픈소스는 특정 기업의 역량에 의존하는 것이 아니라 훨씬 더 다수의 개발자에 의해 개발되기 때문에 오류가 발생해도 빠른 시간에 수정될 수 있다는 것이었다. 또 이용자(또는 기업)들도 광범위해 더 많은 피드백을 받을 수 있어 일반 상용 소프트웨어에 비해 오류가 더 쉽게 발견될 수 있다고 간주돼 왔다.

그러나 이는 일종의 관념일 뿐이었다. 와이어드 보도에 따르면, 오픈SSL 개발에 참여한 개발자는 불과 4명뿐이었다. 그나마 전업으로 참여한 개발자는 한 명에 불과했다. 그러니까 1명의 전업 개발자와 3명의 파트타임 개발자가 개발한 보안 프로토콜에 전 세계 인터넷이 의존해 왔던 것이다.

오픈소스 진영의 주장이 산산이 부서지는 모습이다. 하트블리드 버그는 로빈 세겔만이라는 개발자 개인의 실수에서 비롯됐는데, 전 세계 인터넷 업계는 2년 동안 이를 발견하지 못했다. 오픈SSL처럼 유명한 오픈소스에 불과 4명의 개발자만이 참여했다는 것은 충격적이다. 리눅스나 아파치, 모질라 등 몇몇 유명 프로젝트들을 제외한 대부분의 오픈소스 프로젝트는 제대로 된 지원을 받지 못하고 있다. 이를 두고 와이어드는 “오픈소스 생태계의 버그”라고 표현했다.

오픈소스 생태계의 버그는 또 있다. 모두가 오픈소스 개발에 참여하려고 하는 반면, 테스트에 관심을 가진 사람들은 많지 않다는 점이다. 오픈소스 프로젝트의 커미터(코드를 수정할 수 있는 권한을 가진 사람)가 되면 개발자로서 명예를 얻게 된다. 이는 개발자들이 특별한 보수 없이 오픈소스 프로젝트에 뛰어드는 가장 큰 이유다.

그러나 테스팅은 다르다. 오픈소스의 테스팅을 열심히 해도 얻을 것은 별로 없다. 테스터가 유명해지는 경우도 없다. 전문 테스터들이 오픈소스 테스팅에 적극 나서지 않는 이유다. 소프트웨어 품질은 테스팅과 비례하는데, 이같은 생태계 환경은 오픈소스에서버그를 발견할 가능성을 낮춘다.

그렇다고 오픈소스의 사용을 중단할 수는 없다. 오픈소스는 이미 전 세계 인터넷 인프라스트럭처의 핵심 기술로 자리잡았다. 또 오픈소스를 통해 얻은 경제적 가치도 어마어마하다. 오픈소스가 없다면, 우리가 인터넷을 사용하는 비용은 훨씬 더 올라갈 수밖에 없다.

이런 오픈소스의 가치를 지속시키는 동시에, 이번에 문제가 된 생태계 버그를 없애는 것만이 해결책이라고 볼 수 있다.

이를 위해서는 업계 선도 기업들의 지원이 필요하다. 외신에 따르면, 구글, IBM, 아마존 등 IT기업이 3년간 매년 최소 10만 달러를 출자해 문제를 이런 문제를 해결하기 위해 나섰다고 전해졌다.

국내 기업들도 이 문제에 관심을 가질 필요가 있다. 국내에도 여러 오픈소스가 있다. 오픈소스를 통해 성장한 IT기업들은 오픈소스의 가치를 지속시키기 위해라도 오픈소스 보호에 앞장서야 한다.

아울러 오픈소스를 사용하는 일반 기업들도 ‘오픈소스 생태계의 버그’를 인지해야 한다. 오픈소스에 의존하기에 앞서 오픈소스를 검증할 역량을 가져야 한다는 것이 하트블리드의 교훈이다.

<심재석 기자>sjs@ddaily.co.kr

디지털데일리 네이버 메인추가
x