곧 추 서 기

오픈 소스 코드가 프로젝트를 위험에 빠뜨릴 수 있다 ?? 오롯이 | 1/21/2008 11:02:19 AM


	LinuxInsider 1월 15일자에 다음과 같은 기사가 실렸다. 숨겨진 오픈 소스 코드가 당신의 애플리케이션을 위험에 빠뜨릴 수 있다라는. Is Hidden Open Source Code Putting Your Apps at Risk? 이 글에 언급된 오픈 소스로는 Apache Geronimo, JBoss Application Server, Libtiff, Net-SNMP, ZLIB 등이다. Apache Geronimo는 IBM(?)의 코드 기부로 시작된 무료 EJB 서버이며, JBoss는 얼마전 RedHat 인수한 역시 무료 EJB 서버이다. 소프트웨어 위험 관리 솔루션 회사인 Palamida의 조사 결과에 지난 한해 따르면 금융, 기술, 정부 등 다양한 분야의 엔터프라이즈를 조사하여 3억 라인 이상의 코드를 분석한 결과 위에 언급한 다섯 가지 오픈 소스에서 보안 위험성을 가장 많이 간과하며 애플리케이션이 구축되고 있음을 발견하였다. Palamida의 리포트는 오픈 소스가 상용 애플리케이션 보다 더 보안에 취약하다는 것을 지적한 것은 아니라고 밝히고 있다. 많은 프로젝트들이 시간이나 비용에 쫓겨 시스템을 구축시에 보안에 대해 전혀 고려하지 않고 진행되고 있으며 이로 인해 많은 위협 요소들이 발생한다고 지적한다. 또 다른 견해로는 오픈 소스가 보안 위협 발생시 상용 보다 좀 더 빨리 패치 등이 나온다고 밝히고 있다. .... 개인적인 생각에, 오픈 소스를 중요한 애플리케이션 구축에 적용할 때는 본인이 꼼꼼히 점검해야 한다. 하나 이상의 오픈 소스를 써서 이루어진, 특히 OS에서부터 다양한 오픈 소스 모듈을 엮어 이루어진 애플리케이션의 경우, 해당 오픈 소스 모듈의 보안 위협 때문에 해당 모듈에 대한 패치가 나오기 전까지 전체 시스템이 위험에 빠질 수 있다. 또한 오픈 소스들은 대부분 그러하듯 사용하는 사람, 즉, 자기책임하에 해당 모듈을 사용하는 것이 일반적이다. 물론 유명한 것들은 커뮤니티도 많고, 유료 서비스를 제공하지만... 시장에서 특히 우리나라의 경우, 오픈 소스 하면 무엇이든지 용서가 되는 경향이 있다. 오픈 소스니까 좀 느려도 되고, 오픈소스니까 좀 불편해도 되고, 오픈소스니까... 오픈소스이니까... 오픈 소스를 쓰고 오픈 툴을 써서 불편하게 프로젝트하는 것이 오히려 근사해 보이기까지 한다. 자동화된 툴을 써서 GUI를 통해 각종 환경을 설정하면 초보 취급을 받고 커맨드라인에서 파이프 써 가며 다양한 커맨드 엮어 뭔지 모르지만 죽 화면 가득 띄우면 전문가다와 보이기 까지 한다. 예전 회사에 겪었던 것인데, 미국 본사에서 온 박사는 윈도우를 주로 사용하면서도 Cygwin을 통해 커맨드라인 열어 어떤 폴더까지 슬래시/백슬래시 써가며 찾아가 결국 노트 패드 열어 문서를 확인하는 것을 보면서 애처롭기까지 했다. 윈도우에 포팅안 된 많은 오픈 서버를 위해 Cygwin을 써서 테스트하는 것은 이해할 수 있지만... 혹은 세살 버릇 여든 간다는 속담처럼 한번 손에 익은 버릇일 수도... 오픈 혹은 오픈소스 (이 둘은 엄연히 다르다)는 특정 플랫폼, 특정 언어의 문제가 아니다. 오픈 소스의 위력은 이미 자바에서 확인되었고 닷넷 또한 오픈 소스의 활성화를 기대하고 있다. 대부분의 경우 상용이 먼저 시장을 점렴하고 이후 오픈 소스가 차차 세력을 넓혀 상용 소프트웨어의 자리를 빼았는 것이 일반적이다. 각종 라이브러리 시장이 그러했고 프레임웍(특히 각종 컨테이너형 프레임웍)이 또한 그러했으며, 개발 툴 또한 점차 그런 양상을 띄는 듯 보인다. 오픈과 상용 소프트웨어가 전달하고자 하는 가치가 같다면 상용 소프트웨어는 존재 근거를 잃게 되겠지만, 많은 상용 소프트웨어 업체들은 바로 차별화를 내세워 시장에서 오픈 소스와 경쟁하고 있는 것이다. 오픈소스,보안 Trackbacks (1) \| Comments (8)

http://acroama.isblog.net/trackback_post_62.aspx

http://m.dydijaztos.com/gj 11/1/2008 8:57:44 PM

Medalhas Religiosos

2Bjl7t0 | Durecel Battery

신묘군 1/22/2008 11:55:57 AM

개발 바닥을 떠난지 몇 년이 되어서 감이 없는데... 쓰신 글 중에서 "시장에서 특히 우리나라의 경우, 오픈 소스 하면 무엇이든지 용서가 되는 경향이 있다. 오픈 소스니까 좀 느려도 되고, 오픈소스니까 좀 불편해도 되고, 오픈소스니까... 오픈소스 이니까... 오픈 소스를 쓰고 오픈 툴을 써서 불편하게 프로젝트하는 것이 오히려 근사해 보이기까지 한다."라고 하셨는데 음... 격세지감이군요. 제가 개발 바닥에 있을 때에는 저 말에서 오픈소스를 IBM으로 바꾸면 정확하게 맞아 떨어졌지요. 문제는 오픈소스가 더 잘 개발되어 있느냐가 아니라 오픈소스와 상용 제품 중 어느 것이 턱없이 짧아진 개발 사이클 또는 개발된 결과 물의 수명 사이클을 버텨낼 수 있느냐 하는 것이고 그런 관점에서 보아 상용 제품은 이미 밀려나고 있는거죠. IBM 메인프레임이 그랬 던 것 처럼!

신묘군 1/22/2008 11:56:31 AM

그리고 "많은 상용 소프트웨어 업체들은 바로 차별화를 내세워..."라고 하셨는데 궁금하군요. 어떤 차별화가 가능할까요? 비싸다? 폼 나는 케이스에 담아준다? 인쇄된 매뉴얼을 준다? 비싼 교육 프로그램을 이수할 수 있다?

오롯이 1/22/2008 1:31:57 PM

우리나라에서 특히 오픈 소스에 프리미엄을 주는 경향이 강하다는 말을 드렸던 것입니다. 오픈소스 제품을 질이 좋아서 사용하는 것이 아니라, 무슨 트렌드처럼 오픈 소스를 중시하는 경향을 지적하고 싶었습니다. 글쎄요. 개발 싸이클 혹은 운영 측면에서 오픈 소스가 더 강점이 있나요 ? 툴을 예를 들면, 자바 개발 툴 중에 가장 좋은 툴로 저는 Intellij IDEA를 꼽습니다. 이 툴이 가장 먼저 각종 feature를 담아 개발 편의성을 가져다 주고 이후에 eclipse를 비롯한 많은 자바 툴들이 따라 해서 지금은 보편화가 되어 차별성이 없어지고 있지만... 지금도 IDEA 만큼 개발자를 생각하는 툴은 없어 보입니다. 상용이 오픈에 밀리는 것은 오픈이 조금씩 늦고 당장 기능을 떨어지지만 상용을 지속적으로 따라하기 때문에 당장은 조금 불편하더라도 쓸만하기(?) 때문입니다. 쓸만한 것하고 훌륭한 것하고는 차이가 있겠지요. 오픈이 전부인 사람에게는 현재의 기능이 전부이지만, 상용과 오픈을 함께 경험한 사람들은 차이를 알 것이라고 생각합니다. 저는 eclipse가 쓸만한 툴이지 훌륭한 툴이라고 생각하지 않습니다.
차별화란 이런 것이지요. 오픈이 생각못한 기능을 적용하여 개발자의 편의성 생산성을 도모하고 오픈이 커뮤니티를 통해 풀어야하는 문제를 support라는 이름으로 직접 해결해주고, 제품의 하자가 발생하게 되면 이에 대해 책임을 지는 것. 이런게 차별화아닐까요 ?
오픈이 있어서 상용이 더 제품을 잘 만들려고 노력하는 것 아닐까요 ? 낫지 않다면 살 이유가 없겠죠.

신묘군 1/22/2008 3:14:47 PM

요즘은 상업적인 목적으로 코딩은 하지 않지만 그래도 가끔 코딩을 해야 되는데 많은 경우에 상용 제품에는 원하는 기능이 없어서 결국 sourceforge를 뒤적이게 됩니다. 제가 말씀드렸던 속도의 문제는 그런 관점에서 말씀드린 것이구요. (더 정확히 표현하자면 coverage의 문제라고도 할 수 있겠네요) 상용 제품이 더 좋기 때문에 팔린다는 건 제 경험을 기준으로는 크게 공감하지 않습니다. 한국의 소프트웨어 시장에서 마이크로소프트 윈도를 제외하고는 패키지 소프트웨어가 차지하는 비중라는 건 사실 보잘 것 없고 많은 경우에 SI에 업혀 다니는 실정인데 그런 관점에서 본다면 상용 소프트웨어는 팔아주는 사람이 있기 때문에 팔리는 것이라고도 할 수 있지요.

오롯이 1/22/2008 3:30:42 PM

네..의견 감사드립니다.

DK 1/24/2008 5:10:17 AM

오픈 소스의 다른 문제는 라이센스 문제가 아닌가 싶습니다. 법적으로 어떤 오픈 소스 라이센스들은 상업용 소프트웨어에 공짜로 이용할 수 없게 되어 있습니다. 대표적인게 GPL 이죠. 어떤 분들은 이걸 자유소프트웨어라고 구별하기도 하지만요. 뭐, 어쨌든 라이센스를 안지키거나 아예 안읽고 그대로 쓰는 그런 생각없는 분들이 훨씬 더 많은 거 같습니다.

오롯이 1/24/2008 8:55:13 AM

아 네...저는 GPL에 대해 아는 바가 없지만, GPL 기반의 오픈 소스를 이용하면 이를 사용한 소프트웨어의 소스도 공개하는 것이 원칙이라고 알고 있는데, 이를 지키지 않아 근래에 제소당하는 기업이 늘고 있더군요. 버라이존도 그렇고. 자본주의에서 의미있는 완전 공짜란 힘든 건가 보죠 ? 다른 사람의 정신 노동의 결과물을 이용하려면 상용처럼 돈을 내던지, 혹은 그걸 이용한 자신의 노동의 산물로 대신 하던지..

dotnetpower 4/13/2009 1:19:35 PM

의견은 의견일뿐이라고 생각합니다.
물론 위험에 빠뜨릴수 있다고 하더라도, 상용 제품도 결함이 있으면 마찬가지 입니다. 오픈소스가 넘처나지만, 실제 사용되어 지는 오픈소스 프로젝트는 극소수에 불과 할것 같네요. 리스크 관리가 되어야 하니깐요. 널리 퍼지고 인정받은 spring 과 같은 오픈소스는 오픈소스의 범주에 묶어 버릴것이 아니라 훌륭한 제품이라 인정해야 하지 않을까요? :)