​
[그림 1] 국내 윈도우 OS 버전별 점유율 (*출처: Statcounter.com)

비단 윈도우7의 기술지원 만료가 아니더라도 수많은 알려진 취약점과 이를 이용한 보안 위협을 최소화하기 위해 과도한 윈도우 종속에서 벗어날 필요가 있다는 전문가들도 있다. 전 세계적으로 가장 많이, 가장 오래 사용되고 있는 운영체제이다 보니 그만큼 윈도우 취약점이 많이 알려져 있는 것이 사실. 또 사용자가 많은 만큼 당연히 공격자들의 집중 포화 대상이다. 아무리 마이크로소프트(Microsoft, MS)가 신속히 취약점에 대한 패치를 제작하고 배포해도 새로운 제로데이 취약점이 나타나기 마련인 반면, 사용자들의 보안 패치 적용 속도는 MS의 기대만큼 신속하지 못하다.


더구나 절대적으로 윈도우 의존도가 높은 우리나라는 보안 위협에 더욱 취약할 수 밖에 없다. 스탯카운터에 따르면, 윈도우가 국내 PC 운영체제 점유율의 87%를 차지하고 있는 것으로 나타났다. [그림 2]에서 볼 수 있는 것처럼 윈도우 다음으로 점유율이 높은 맥 운영체제(OS X)도 겨우 한 자릿수에 불과하며, 기타(Unknown) 운영체제와 리눅스 운영 체제를 합해도 맥 운영체제만 못할 정도다.
　

​
[그림 2] 2018년 1월~ 2019년 8월 국내 OS 점유율 (*출처: Statcounter.com)

개방형OS에 대한 엇갈린 전망

전 세계적으로 윈도우에 비해 맥OS나 리눅스 OS가 점유율이 현격히 떨어지는 이유는 오피스 프로그램 등 대부분의 소프트웨어(이하 SW)와 웹 서비스가 주로 혹은 전적으로 윈도우용으로 제작되기 때문이다. 윈도우 사용자가 많으니 SW 또한 윈도우 사용자를 대상으로 개발할 수 밖에 없고, 대부분의 SW가 윈도우용으로 제작되니 결국 윈도우 사용자가 늘어날 수 밖에 없는 구조다. 따라서 리눅스 기반의 개방형OS 도입과 관련해 애플리케이션 호환성이 가장 큰 걸림돌로 지목됐다.

그러나 최근 국내외 주요 SW 업체들이 멀티OS 관점으로 SW 호환성을 확대하고 있는 추세다. 또 일부 개방형OS 업체는 윈도우 환경에서 기본적으로 사용하던 기능들을 선택적으로 설치해 사용할 수 있도록 하고 있다. 행안부에서도 개방형OS의 단계적 도입·확산을 목표로, 인터넷망 PC에 개방형OS를 선도입하면서 주요 SW의 호환성 검토 및 확보를 중점 추진한다는 계획이다. 또 민·관 협의체를 구성하고 SW 업체들의 개방형OS 호환성 확보를 촉진하고 있다.

여기에 일반 기업을 중심으로 확대되고 있는 클라우드 인프라도 개방형OS 도입의 촉매로 작용할 전망이다. 최근 클라우드 환경으로의 이전을 추진 또는 고려하는 공공기관이 늘어나고 있는 추세다. 클라우드 환경에서는 웹과 인터넷만 있으면 클라우드 서비스를 통해 주요 업무 처리가 가능하기 때문에 OS 종속성(dependency)이 낮은 편이다. 또 지난 2017년부터 공공기관 노플러그인(No-plugin) 정책을 실시하면서 액티브X나 플러그인을 제거하고 표준 웹 중심으로 대외 서비스와 업무 환경을 개편한 것도 클라우드와 개방형OS의 진입 장벽을 낮출 수 있다는 평가다. 실제로 행안부는 워드프로그램 등 각종 상용 SW들을 PC에 설치할 필요없이 인터넷으로 접속해 이용할 수 있는 웹 오피스(Web Office) 기반으로 전환하고 전자결재·회계 등 내부 업무용 전자정부 시스템의 호환성도 확보해 나가기로 했다.

이처럼 대내외 환경적 영향과 시기적으로 공공기관의 개방형OS 도입을 낙관적으로 보는 의견이 힘을 얻고 있다. 물론, 이것은 어디까지나 행정 및 공공기관에 한한 것으로, 일반 기업까지 개방형OS 확대될 것을 기대하기는 이르다는 것이 일반적인 견해다.



개방형OS 도입, 진짜 문제는?

개방형OS 도입에 있어 가장 큰 걸림돌은 사실 보안이다. 수많은 취약점으로 인해 보안 위협에 노출되기 쉬운 윈도우의 대체재로 등장했지만 개방형OS 역시 보안 위협으로부터 자유로울 수 없기 때문이다.

개방형OS가 기반으로 하고 있는 리눅스는 얼마 전까지만해도 윈도우에 비해 취약점이 적고 보안이 강력하다고 여겨졌다. 다양한 오픈소스를 기반으로 하는 리눅스의 가장 큰 장점은 누구나 이를 활용해 프로그램을 개발하고, 그 과정에서 취약점이 발견되면 집단지성을 통해 신속하게 개선할 수 있다는 것이다. 그러나 이러한 개방성과 유연성은 공격자에게도 동일하게 주어지는 조건이다. 결국 리눅스 및 리눅스 기반의 개방형OS 사용이 증가할수록 리눅스 취약점을 찾기 위한 악의적인 시도 또한 증가할 것은 명약관화다.

이미 리눅스 커널 취약점이나 리눅스용 악성코드가 점점 증가하고 있으며 이로 인한 보안 침해 사건도 증가하는 추세다. 올해만 해도 리눅스 기반의 IoT 기기를 노리는 사일렉스(Silex) 악성코드와 암호화폐를 채굴하고 클라우드 보안 솔루션의 무력화를 시도하는 악성코드가 발견된 바 있다. 국내에서는 지난 2017년 웹호스팅 업체의 리눅스 서버가 랜섬웨어에 감염돼 3,400여개 기업의 웹 서비스가 마비되는 사고가 있었다. 물론, PC가 아닌 서버와 관련된 침해 사례지만, 리눅스 역시 안전할 수 없다는 것을 확인한 계기가 됐다.

이처럼 리눅스 관련 보안 위협이 증가하고 있는 가운데 적절한 보안 대책이 마련되지 않은 상태에서 리눅스 기반의 개방형OS를 보호하기 위한 보안 솔루션이나 정책적인 제도가 미흡하다는 것이 더 큰 문제로 지적된다. 개방형OS에 대한 보안 정책이 정해져야 보안 업체들도 이를 기준으로 솔루션을 개발•제공할 수 있다. 현재 국내 보안 정책은 윈도우OS 기준이기 때문에 개방형OS 환경과 맞지 않다. 적절한 보안 대책이 마련되지 않은 상태에서 도입된 개방형OS 는 결국 보안 공백을 야기하기 십상이다. 따라서 개방형OS 기반의 업무 환경에 관한 보안 정책 마련과 함께 개방형OS 기반의 업무용 PC 전용 보안 솔루션 도입을 서둘러야 한다.



안랩, 개방형OS 전용 보안 솔루션 출시

안랩은 보안 공백 없는 개방형OS 도입을 위해 개방형OS 기반의 업무용 PC 전용 보안 솔루션인 V3 Desktop for Linux를 출시한다. V3 Desktop for Linux는 행안부 지정 보안 소프트웨어 7종 업체 중 백신 부문 업체인 안랩이 다년간 리눅스 서버 보안 솔루션을 개발, 제공해온 노하우와 기술력이 집약된 제품이다.
　

[그림 3] 개방형OS 전용 보안 솔루션 V3 Desktop for Linuxx
　

리눅스 기반의 개방형OS에 최적화된 PC 보안 솔루션인 V3 Desktop for Linux는 구름(Gooroom), 티맥스OS(TmaxOS), 하모니카(HamoniKR) 등 다양한 개방형OS를 지원한다. 압축파일을 포함한 다양한 확장자에 대한 실시간 악성코드 검사 기능을 제공하며, 검사 결과에 따른 치료 방법을 설정하는 기능도 제공한다.

추가 에이전트 설치 없이 중앙 관리 솔루션(AhnLab Policy Center 4.6, AhnLab EMS)과의 연동을 통해 개방형OS에 대한 일원화된 보안 관리가 가능하다. 특히 PC에 V3 Desktop for Linux를 설치하면 자동으로 커널 버전과 실시간 검사 기능을 사용할 수 있는 OS인지 확인하고, 그 결과를 관리자에게 제공하기 때문에 효과적으로 보안 운영 현황을 파악할 수 있다. 이 밖에도 다양한 엔진 업데이트 옵션을 제공해 최신 보안 위협으로부터 개방형OS 기반의 업무용 PC를 보호한다.

안랩은 올해 가상화PC 전용 보안 솔루션인 V3 for VDI를 출시한데 이어 개방형OS 전용 보안 솔루션인 V3 Desktop for Linux를 선보이며 다변화되는 기업 인프라 보호를 위해 적극적으로 대응한다는 계획이다.​
　

[출처 : 안랩(((www.ahnlab.com)]