[시론] 사이버 보안, 공개소스SW 도입에 답 있다
북한의 사이버 공격 때문에 또다시 비상이 걸렸다. 정부가 조사 결과를 상세히 발표하지 않아 일부 언론은 “더 심각한 문제가 있는 것 아니냐”는 의혹의 눈초리도 보내고 있다. 하지만 매우 민감한 사건이라 공개적 분석은 어려울지 모른다. 다만 장기적으로는 소프트웨어 분야에서 기술 자립을 해야만 정보기술(IT) 시대에 국가안보를 지킬 수 있다는 점을 지적하고자 한다.

어떻게 해야 소프트웨어 기술 자립이 가능해질까. 첫 번째 해답은 공개소스소프트웨어다. 서버, PC, 데이터베이스(DB) 등 주요 소프트웨어를 미국 국방부가 검증한 공개소스소프트웨어로 채택하면 된다. 소스코드를 알면 그 소프트웨어 내부에서 어떤 일이 벌어지고 있는지, 그 소프트웨어가 변형된 적이 있는지, 어느 부분이 취약한지를 파악할 수 있다.

소프트웨어는 흔히 건축과 비교된다. 보안에 민감한 건물은 설계를 다른 나라에 맡기지 않는다. 부득이 맡겨야 한다면 설계도를 반드시 챙겨둔다. 설계도가 있어야만 상하수도, 통풍시설, 전선 등 외부와 통하는 곳을 파악할 수 있기 때문이다. 소프트웨어도 마찬가지다. “소스코드를 비밀로 감춘 소프트웨어라야 더 신뢰할 수 있다”는 주장을 믿으면 안 된다는 것이 미 국방부 정보책임자의 지적이다. 미국도 쓰라린 경험을 통해 얻은 교훈이다.

볼랜드라는 회사의 인터베이스라는 데이터베이스 사건이 좋은 사례다. 이 데이터베이스를 만든 회사는 소스코드를 외부에 공개하지 않았기 때문에 절대 믿을 수 있다고 주장해왔지만 사실은 이 소프트웨어 안에 정보를 밖으로 빼돌리는 ‘백도어’가 숨겨져 있었다는 것을 그 회사 책임자도 몰랐고, 구매자인 미 국방부도 7년 동안이나 모르고 사용했다. 그동안 수많은 미 국방부 비밀문서가 유출됐음은 물론이다. 미 국방부는 “소프트웨어 회사가 아무리 소스코드를 비밀로 감춰도 그 개발자들이 해킹을 심을 수도 있고, 해킹 가능성을 남겨둘 수 있다”고 생각하고 보안정책을 수립해야 한다고 강조한다.

이런 이유 때문에 미 국방부는 공개소스소프트웨어를 중요시하고 있고 ‘SE Linux’(Security Enhanced Linux) 같은 보안이 확실한 운영체제를 사용하고 있다. 독일도 세계 226개 해외공관에 있는 1만1000대의 서버를 15년 전에 전부 리눅스로 바꾸었고, 프랑스 헌병대도 서버를 리눅스로 변경했다. 중국, 브라질 정부는 공개소스소프트웨어 도입을 거의 강제화하고 있다.

공개소스소프트웨어를 도입하면 보안문제만 해결되는 것이 아니다. 공개소스소프트웨어는 소스코드가 다 공개돼 있기 때문에 개발·유지·보수·교육·개선 등 모두 자국 인력을 통해서 할 수 있는 길이 열리게 된다. 이렇게 해서 축적되는 소프트웨어 원천 기술은 다시 그 나라의 스마트폰, 스마트TV, 스마트자동차 경쟁력을 높이는 데 기여하게 된다. 이처럼 공개소스소프트웨어는 한 나라의 IT 생태계에 미치는 파급효과가 대단히 크다.

그러나 한국은 정부도 민간도 공개소스소프트웨어 도입에 소극적이다. 국내에 관련 전문인력이 없기 때문이라고 한다. 그러나 거꾸로 젊은이들에게 왜 공개소스소프트웨어 공부를 하지 않느냐고 물어보면 “정부나 민간이나 공개소스소프트웨어를 도입하지 않기 때문”이라고 답한다. 이 문제는 공공기관이 앞장서서 공개소스소프트웨어를 도입해야만 풀릴 수 있다.

북한의 사이버 공격은 기술자립으로만 완전히 막을 수 있다. 과거처럼 남의 소프트웨어를 블랙박스 형태로 가져와 사용법만 익혀서는 기술자립은 불가능해진다. 그 안에 무엇이 들어있는지 검증할 수 있어야만 안심하고 쓸 수 있다. 우리나라가 소프트웨어 기술자립 문제를 계속 미루면 원천기술은 없이 모든 사회 기능을 정보화시킴에 따라 유사시에는 오히려 사회 전체가 마비되는 나라, 국가 전체의 정보가 외부로 유출되는 나라로 전락할 우려가 있다는 사실을 직시해야 한다.

고건 < 이화여대 석좌교수·공개소스소프트웨어재단 이사장 >