오픈소스로 웹사이트 제작시 보안이 취약하다고 들었는데요.

오픈소스로 홈페이지 제작시 보안

 

 

[질문]

 

오픈소스로 웹사이트 제작시 보안이 취약하다고 들었는데요. 이걸 서버관리를 aws 클라우드로 한뒤 waf 로 보안을 하면 해결되는 문제인가요?? 초보적인 질문죄송합니다 너그럽게 봐주시면 감사하겠습니다.

 

[답변]

 

안녕하세요. IT전문 컨설턴트 입니다.

 

오픈소스로 웹사이트를 제작할 경우 소스 코드의 알고리즘을 분석해서 취약점이 노출되며, 이를 토대로 공격이 용이한 형태가 될수 밖에 없습니다. 프로그램상의 결함은 아무리 좋은 방화벽이나 네트워크 구조를 가지고 대응하더라도 결함으로 인해서 발생하는 문제 요인을 해결할 수는 없습니다. 

​

여러가지 공격방법중에서 웹방화벽이나 물리적인 방화벽장비를 통해 일부를 해결할수 있지만, 그 전에 제대로 보안부분을 고려하여 개발하는 것이 더 중요하겠죠. 개발은 거의 1회성으로 가능하겠지만, 방화벽으로 넘기게 되면, 지속적인 패킷손실, 속도저하, USER별 접근 환경에 대한 대응, 방화벽 예외처리 등의 여러가지 상황을 고려해야만 합니다. 

​

오픈소스에 대해서 조금더 고민을 해보셔야 할듯 합니다. 목적에 따라서 적합한 상황도 있겠지만, 비즈니스를 하거나 중요한 개인정보를 포함해야 하는 형태라면 추천드리지는 않습니다. 오픈소스는 개발자가 개발에서 사용한 소스를 공개하고, 사용자들이 그 소스를 활용하여 가공할수 있는 방식이입니다. 

​

개발자가 인류애가 넘쳐서 (널리 인간을 이롭게 하기 위해서) 소스 코드를 공개할 이유가 있을까요? 많은 시행착오와 학습을 통해서 자신만의 노하우를 축적하려고 하는것이 일반적일것입니다. 물론 그 중에서 가치 있는 소스들도 있을수 있지만 기대를 하는것이 무리한 생각이 아닐까 합니다. 취지는 좋습니다. 예를들어 구구단을 생각해보면, 모든 개발자들이 구구단을 짤 필요없이, 선배개발자가 작업한 구구단을 활용해서 여러 응용 프로그램을 개발하는것이 사회적으로는 이익이겠죠. 만약 구구단이 아니라 정말쓸만한 노하우를 쉽게 내어놓을까요?. 누구나 손쉽게 대용량 포털사이트를 만들수 있는 소스라든지, 유투브나 아프리카 같은 동영상 사이트를 구축할수 있는 소스라든지. 옥션이나 11번과 같은 대형 쇼핑몰을 구축할수 있는 소스라든지... 불가능에 가깝겠죠. 

​

정리를 해보면 오픈소스는 그만그만한 소스들이 대부분입니다. 

​

그 반대로 생각해 보겠습니다. 

개발자가 많은 공부와 시행착오와 경험을 토대로 소스를 자체적으로 개발했다고 가정해 보겠습니다. 그러면 개발한 소스의 가치는 얼마일까요?. 여기에 개발을 위해서 투입한 장비, 소프트웨어, 재경비 등을 고려한다면 그 가치는 얼아일까요? 대부분의 소프트웨어 및 웹에이전시들은 이 기준에서 견적을 산출합니다. 

당연히 난이도가 높고 많은 경험이 필요한 소스라면 그 가치는 높아지겠죠. 

그래서 견적금액이 수배에서 수백배 이상의 차이가 날수 있는 상황입니다. 

​

비즈니스의 가치로 생각을 해보겠습니다. 

레드오션이라 불리는 시장상황이 쉽게 생기는 이유가 오픈소스에 있습니다. 누구나 쉽게 시장에 진입하고, 소스를 통해서 결과물을 만들수 있다면, 후발주자들이 자연스럽게 생성될수 밖에 없는 시장이 형성될것입니다. 반면에 쉽게 만들수 없고, 진입장벽이 높다면 그만큼의 후발주자들이 발생할 가능성이 낮아지겠죠. 선두를 달리는 서비스가 있을때, 2위 3위 업체들이 쉽게 따라잡을수 없는 이유는 현재 순간에도 1위 업체는 고객들의 요구사항을 읽어들여서 서비스에 반영할 가능성이 높습니다. 후발주자들과의 격차가 그만큼 벌어질수 밖에 없으며, 이 현상에서 중요한 역할을 하는것이 자체적으로 운영가능한 소스의 유무입니다. 만약 특정한 인력을 통해서만 수정해야 하는 상황이 되거나, 소스알고리즘이나 DB구조상의 한계로 인해서 서비스의 확장이 불가능하더나, 타 시스템과의 호환성이 떨어진다면 경쟁구도에서 승산이 없을것입니다. 

​

이런 이유에서 많은 성공하는 기업들은 오픈소스나, 특정회사의 솔루션을 가지고 진행하는 사업이 아니라, 자체적인 구축이나 믿을만한 협력개발사를 통해서 구축하는 전략을 사용합니다. 

​

오픈소스의 가치는 높습니다. 많은 사람들이 해당 소스를 활용하면서 쌓아온 문제점들을 해결하면서 많은 시간동안 수정을 거듭해온 소스라면 더 욱더 그렇겠죠. 하지만, 이 현상은 긍정적인 예시일 뿐입니다. 핵심적인 소스를 오픈소스를 활용해서 구축했는데, 시장변화가 생겨서 기능을 추가해야 할때, 해당 오픈소스의 지원을 받을수 없는 상황이라면 어떻게 될까요? 흔히 제로데이라 불리는 시장상황은 이런 상황을 의미합니다. 예를들어 소스상의 결함이 발생했는데, 개발자가 A/S를 해주지 않는다면 어떻게 될까요?. 상용소스라면 판매한 회사에서 의무적으로 A/S를 진행하기때문에 큰 문제가 발생하지 않지만, 결재나 유료비즈니스를 운영하는 상황에서 이런 일이 발생한다면 치명적일것입니다. 소스가 공개되어있기때문에 취약점 분석을 통한 2차 3차 해킹또한 흔히 들리는 이야기 입니다. 

​

[IT컨설턴트의 생각]

시스템은 구축하는 방법이 다양합니다. 

처음부터 단계별로 기획/디자인/개발의 과정을 밟을수도 있으며, 어느정도의 경험을 활용해서 몇몇의 절차를 줄일수도 있습니다. 세상은 빠르게 변화하고 있으며, IT기반 기술은 더 빠르게 발전하고 있습니다. 각 분야의 IT전문가들의 다양한 경험을 토대로 시장에 도전해 본다면, 남들보다 조금 더 경쟁력을 가진 시장진입이 되지 않을까 합니다. 

위에서도 말씀드렸듯이 건물을 짓는 방법이 많듯이, 홈페이지 및 시스템을 구현하는 방법또한 다양합니다. 

고층건물을 짓는 노하우가 쉽게 유출되지 않듯이 시스템 또한 마찬가지 입니다. 

중요한 것은 용도와 예산규모, 시장성 등에 맞게 설계하고 짓는것이 아닐까요?