리눅스의 보안 문제?
제가 얼마전에 잡지를 보니 전산 담당자 들이 리눅스를 도입하는거를 꺼려하는 이유가 리눅스의 보안 문제라고 하네요..
저는 회사에서 리눅스 기반으로 솔루션을 만들어 판매하고 있습니다.
그래서 이런 부분을 피부로 직접 느끼고 있습니다.
제품에 대해 설명을 하면 좋다고 말을 하다가 '기반은 리눅스 입니다' 라고 하면 표정이 약간 일그러지면서 '유닉스는 안됩니까?' 이런 말을 종종 듣습니다.
그러면서 리눅스는 불안하고 보안에 약하기 때문에 자기가 관리하는 전산실에 들여 놓기를 꺼려진다는 얘기를 많이 하더군요..
그리고 저희 회사는 학교, 관공서, 기업 등을 상대로 판매를 하는데 의외로 학교 전산 관리자들중에 이런 분들이 많습니다. 물론 학교들은 유닉스 관련 업체들로 부터 지원을 많이 받기 때문에 더 유닉스를 선호하는 면도 있는것 같습니다.
물론 리눅스를 쓰고 있고 리눅스에 대해서 긍정적으로 생각하시는 분들도 있지만 의외로 안 그러분이 꽤 많다는 얘기 입니다.
이런것을 보면 한편으로는 좀 답답한 마음이 들기도 합니다.
리눅스로도 충분히 감당이 가능한 서버를 왜 굳이 돈을 들려가며 유닉스를 고집하는지..
과연 이러한 분들이 생각하는것 처럼 리눅스가 보안에 취약한지..
저 개인적인 생각으로는 리눅스가 오픈 소스 기반이고 커널까지 소스가 다 공개되어 있으므로 보안에 취약한면이 있을 수는 있다고 생각합니다.
하지만 유닉스라고 그렇게 보안에 취약하지 않다고 생각하지는 않습니다.
어차피 유닉스도 오픈 소스 프로그램들을 많이 사용하고 해킹은 remote exploit 에 의해 많이 이루어 지므로 리눅스에 비해 보안에 크게 뛰어날것도 없다고 생각합니다.
어차피 보안은 네트웍 구성과 서버 관리자의 몫이라 생각이 듭니다.
여러분은 어떻게 생각하시는지 듣고 싶습니다..
인식의 차이라 생각됩니다....유닉스는 참 오래 된 환경입니다..
인식의 차이라 생각됩니다....
유닉스는 참 오래 된 환경입니다... 그동안 많은 곳에서 널리 쓰이면서 검증을 받은 환경이죠... 상대적으로 리눅스는 아직은 유닉스에 비해서는 덜합니다.... 최소한 한국에서는 상용 솔루션으로 나와서 크게 성공한 경우가 별로 없죠....
물론 상황은 계속 나아지고 있으니.. 아직 더 기다려야 할 것 같습니다.....
보안문제를 해결하는 데에 있어서의 오픈소스의 능력은 굳이 얘기하지 않아도 다들 잘 아실테니... 생략하고요...
Consider the ravens: for they neither sow nor reap; which neither have storehouse nor barn; and God feedeth them: how much more are ye better than the fowls?
Luke 12:24
보안 문제에 대해서라면 어떻게 생각하면 맞는 말이기도 합니다. 이유는 리
보안 문제에 대해서라면 어떻게 생각하면 맞는 말이기도 합니다. 이유는 리눅스가 가장 대중적으로 쓰이다 보니까, 어떤 보안 헛점이 발견 되었을 때 배포되는 exploit 이, x86-linux 기반으로 배포될 뿐더러, 해킹 관련 툴도 가장 표준적인 x86-linux 기반이 많습니다. 제대로 관리자만 있다면 이야기가 달라지겠지만, 그렇지 않다면 리눅스가 제일 많이 뚫리는 건 사실입니다.
물론, 이는 리눅스 문제가 아니라... 관리자 문제입니다. 적어도 제가 학교에서 경험바로는 그렇습니다.
으흠.
제가 근무하는 곳의 서버관리자나 디비관리자 혹은 보안관리자들도 위와
같은 생각을 하고 있는것 같습니다.
이유는 많을 것입니다만 가장 간단 명료한 이유는
"새로운것을 배우기 귀찮다"
일것입니다. 그들은 직장에서도 어느정도 위치에 올라와 있으니 현재 작업
환경에 익숙해져 있습니다. 문제가 생긴다면 해당 업체의 엔지니어들이
달려와 작업을 해 주며 그들과 차 마시고 저녁식사하는것도 그들의
일과중에 하나입니다. 돈은 회사에서 지불되는것이지 담당자들의
주머니에서 나가는것은 아니죠.
책임지기 싫어서겠지요...
제 생각엔 책임지기 싫어서 인것 같습니다.
유닉스는 책임져줄 회사가 그런대로 있고, 윗사람들의 의식이 안정적이다라고
생각을 많이 합니다.
그러나, 리눅스 같은 경우 윗사람들이 요새와서 들어봤고, 자기는 전통적으로
유닉스만 안전하다고 생각을 하고 있었으니 믿음이 덜 가겠죠.
그런데 담당자가 리눅스를 썼을 경우 한마리로 '책임은 니가 져라'란 식이
되니 당연히 담당자는 다른데로 책임을 돌려야 하니까. 책임에 대한 백업
개념으로 리눅스를 싫어하는 것 같습니다.
전산실에 근무하시는 분들한테는 죄송하지만 제느낌을 좀 적겠습니다.
...^^
일단 전산실 같은 경우는 연공서열이나 이런 것을 많이 생각하는데다가
개발이나 이런 것들을 tight하게는 하지 않기 때문에 거기서 찍히면 굉장히
피곤합니다. 한마디로 조금은 공무원 비슷한 느낌입니다...
하여간 리눅스 썼다가 조금이라도 문제생기면 된통 뒤집어쓰니까 변명거리라도
만들어야죠...^^
저도 대용량으로 안정적으로 도는 쪽은 썬이 적합하다고 막연하게 생각은
합니다만(전혀 근거없는 선입견이죠...) 리눅스로 개발하면서 많이 생각이
바뀌더군요....
굉장히 오래 네트워크쪽으로 부하를 걸면서 실무를 해도 문제가 생긴다거나
하는 것은 없더군요.
제가 보안에는 과문이라 뭐라고 얘기하기는 애매하지만, 실제로 보안쪽도
리눅스관련 opensource나 리눅스를 쓰는데도 있다고 알고 있습니다.
요즘은 리눅스에 대해 굉장히 신뢰를 가지고 일을 하는 편입니다.
사람들 의식도 저처럼 좀 바뀌었으면 하는 바램입니다.
서명.....음, 서명이라...
아싸!!! Three Go!
다른 쪽은 몰라도 관공서에서는 책임 지기 싫어서 비싼거 씁니다.예
다른 쪽은 몰라도 관공서에서는 책임 지기 싫어서 비싼거 씁니다.
예를 들어 리얼텍 1만원짜리 사서 고장나면 문책당하지만
3com 10원짜리 사서 고장나면 불가항력이다 라고 평가합니다.
적어도 이나라에서는 "싼게 비지떡" 입니다
리눅스도 많이 사용하게 하려면 비싼 재품을 내놓아야 합니다
저가에서 고가까지 다양하게....
그리고 개인적인 생각에는 "보안은 사람"이라고 생각합니다.
아무리 좋아도 사람이 별로면 보안은 의미 가 없다고 생각하죠.
+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년
글쎄요...
일단 exploit 같은게 빨리 뜬다는 점은 인정하지만, 어자피 외부 보안일경우엔 별 차이 없다고 생각됩니다. sendmail, apache 이런건 유닉스에서도 많이 쓰죠...
저도 보안은 관리자에 달려있다고 봅니다.
저 같은 경우엔 학교에 있는데요, 학교 전산실 근무자의 지식이 상식 이하인 경우를 많이 봤습니다.
sendmail 버그 같은거 떠도 패치 안합니다. 아무리 비싼 하드웨어에 비싼 UNIX를 써도 관리자가 그모양이면 소용없죠.
한번은 네트워크 관리자가 제가 관리하는 서버의 pop3 포트를 외부에서 못 들어오게 막았더군요. 상의도 없이 이게 뭐냐고 따졌더니, 답변이 과관이더군요... 큰일 해낸것 처럼 말하더군요 "스팸이 많이 와서 막았다" SMTP막지 않은게 어찌나 다행이던지...
아, 얘기가 샜는데요, 아무래도 다른분 말씀하신대로 책임회피성이 강하겠죠....
--
Life is short. damn short...
유지보수 서비스의 유무도 중요하겠죠.비싼 워크스테이션 장비의 유지
유지보수 서비스의 유무도 중요하겠죠.
비싼 워크스테이션 장비의 유지보수비로 매년 몇백만원이 나가는 건 당연(!)히 여길 수 있지만, 값싼 PC 장비에 공짜 리눅스를 깔아놓고는 유지보수 계약을 맺자고 할 수도 없을테니깐요.
유지보수 계약을 맺지 않은 상태에서 장비의 고장이나 OS의 패치/재설치 등의 관리를 할 수 있는 사람이 없다면...
[color=white][/color]
전산실..
물론 담당자들의 안이함도 있을 수 있겠지만 관리상의 '편의' 측면에서도
생각해 볼 수 있지요..
전산실 중 참 어이 없는 경우가 서버 10여 대에 벤더가 죄다 제각각인 경우죠.
전산실이란 개개인의 취향에 따라 이러저런 리눅스 버전 깔아보며 즐거워하는
취미와는 다릅니다. 리눅스를 사용하더라도 일관된 버전과 일관된 관리체계가
가능해야 합니다.
전산 운영 담당자들의 안이함이라고도 생각할 수 있겠지만 전산실은 서버를
'관리'하기 위해 서버를 관리하는 곳이 아닙니다. 서버는 돈이 되는 비즈니스
프로세스를 돌리기 위해 존재하는 것이죠. 이것을 관리하기 위해서 힘이 10배로
들고 10배의 시간이 든다면 10배의 비용을 들여서라도 관리가 편한 쪽을
택하는 것이 맞습니다. 때문에 개인적으로는 메이저급 리눅스 유지보수 업체가
생기는 것이 필요하다고 생각합니다. 그렇게 되면 메인 서버의 리눅스 도입도
보다 탄력을 받지 않을까요?
Re: 글쎄요...
저도 그런 경우를 다른곳에서도 듣는데 그런 이야기를 들을때마다
제가 굶어 죽지 않을것 같다는 안도에 한숨을 쉬게되는군요.(저도 잘난것 없지만)
- Advanced -
학교 ..
학교 전산실 보면 답답하기 이루 말할 수가 없습니다.
명색이 컴공 대학원까지 나온 사람들인데...
학교 라우터 비밀번호는 모두 cisco 제품의 기본 비밀번호였고... - 이제는 아니더군요. 그래봐야... 라우터 옆에 비밀번호 쓴 딱지가 붙어 있던 걸 떼어낸 게 얼마 안됐으니.. ---
언젠가 웹메일 서비스한다고 ... 모든 유저들의 패쓰워드를 모두 하나로 통일 시켜서 ... 덕분에 한바탕 난리치고 .. 공지라도 하든가... pop3 로 그냥 쓰던 사람들 갑자기 몇일동안 메일 안와서 난리나서 전화해보면 ... 비번 바뀌었다고 얘기하고 .. 바꾸려면 전산소까지 와서 서류 작성하는데.. 메일 비번을 서류로 작성하니 . --- 그 서류뭉치만 누출되면 메일보안은 하늘로 훨훨 .. 날아갈 판... 게다가 다시 비번 바꾸라는 얘기도 안해주고.. 쩝..
몇년전엔가 제일 황당했던 건 ... 2만명이 넘는 사람들 e-mail 을 ms exchange 서버로 하겠다고 ... 해서 다들 기겁했던 일이었죠. 라이센스료만 얼마야 --- 거기에 다시 메일 계정 세팅하고 그러려면 ? 흐헉이죠. 결국 ... 무산됐지만...
관리자가 정말로 중요합니다. 보안... 암만 장비가 좋고 패치가 잘 나오면 뭐해요.. 관리자가 스타크래프트 하느라 메일 체크도 안하는데 ---
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
보안이라는건 시스템보다는 아무래도 관리자에 따라서 많이 좌우된다고 생각합
보안이라는건 시스템보다는 아무래도 관리자에 따라서 많이 좌우된다고 생각합니다.
리눅이나 프비나 보안에 대해서 이야기가 많이 나오지만, 관리자가 게으르고 관심이 없어서 페치안하고 하다보면, 오히려 윈도보다 못하게 되는 경우도 많습니다.
이 반대되는 경우도 많이 봐왔구요.
관리자의 부지런함이야 말로 좀더 나은 보안을 유지할수 있는 지름길이라 생각합니다.
그나저나. 저도 페치 안한지가.. ㅡㅜ
\ 별을 보며 소원을 빌 때 당신이 누구인지는
\ 중요하지 않습니다. 당신이 소망하는 것이
★ 무엇이든, 포기하지 않는 한 그 꿈은 이루어
집니다. <司法試驗 合格記 中>
보안의 무결성은 관리자의 성실/근면/정직/적극성에서 생기는거 아닐까요?
보안의 무결성은 관리자의 성실/근면/정직/적극성에서 생기는거 아닐까요?
리눅스가 보안에 취약하다?
근거 있는 예기라면 동의하겠는데 근거없는 소문이라면
그런 소문이 여러분들 머리속에 해킹되어 들어간 것입니다.
빨리 다른사람들 머리속으로 전파되지 않도록 보안에 신경좀 쓰세요.
오히려 보안의 취약점을 먼저 밝혀내고 원인 분석과 동시에 그것을
빠르게 패치하는 것이 리눅스라고 생각이 드는데요. 오픈소스의 장점이죠?
오픈소스가 아닌 운영체제들은 보안문제가 있어도 모른척 하는거 아닐까요?
아무도 모르는 그런 상황들 밝혀지지 않는 미궁속 코드들에 의해서 동작은
하고 있지만 그것이 보안이 뚫렸는지를 알수 없는것보다는
솔직하게 모든것이 드러나는 것이 더 낳을겁니다.
리눅스 보안의 취약점에 대한 근거가 있다면 말씀해보세요 누구든지.
아무리 검토해도 오픈소스가 보안에는 훨씬 유리한거라는 주장을 해봅니다.
리눅스가 100배 낳을듯.
중요한것은 암호를 "1234" 또는 Server옆에 딱지로 암호 적어두는
그러한 관리자가 문제일뿐.
그리고 보안패치가 나왔는데도 불구하고 패치도 안하고 노는 관리자!
그건 관리자가 아니라 왠수죠?
안정성에 대한 실험이나 통계에 대해서 궁금함
저도 고집스럽게 많은 컴퓨팅 시간을 다른 운영체제보다 리눅스와 함께했고, 지금도 리눅스 플랫폼에서 개발을 하고 있습니다. 그런데 의문스러운 것은 저와 같이 제가 아는 여타 많은 리눅서처럼 리눅스의 안정성을 실제적인 근거없이 막연히 또는 주관적인 경험만으로 믿고 있다는 것이죠. (윈도우즈 95/98과의 비교는 사양합니다. 솔직히 그것이랑 비교하기는 좀 치사한 것 같더군요.)
그래서 궁금한것은, 리눅스의 안정성에 대한 실험이나 통계가 있습니까? 성당과 시장이라는 글도 읽었습니다만, 구체적인 예나 통계가 없던 것으로 기억합니다. 이것에 대해서 저도 찾아보겠습니다만, 아시는 분은 좀 올려주십시요.
기억을 더듬어보니 보안패치의 속도에 대해서 나온 기사를 읽은 적이 있습니다. 친MS 에서 쓴 것으로 기억하는데(왜냐하면, MS에 너무 유리하게 쓰여져서... 리눅서적인 생각 ^^) 버그 발견에서 패치까지 리눅스(오픈소스였던가?)와 MS에서의 속도가 거의 비슷하다고 나온 것을 읽은 적이 있습니다. 또한 MS의 사용자가 엄청 많이 때문에 그것이 장점이 되어 새로운 요구사항이나 문제점들이이 빨리 그리고 많이 획득된다고도 했던 것 같구요.
아~~~ 나도 FUD의 마법에 빠진 것인가? 그럼 백신을 찾아보고 기다리겠습니다
내 블로그: http://unipro.tistory.com
우선 여러분들의 말씀 처럼 보안은 사람이 하는 것입니다.시스템이 아무
우선 여러분들의 말씀 처럼 보안은 사람이 하는 것입니다.
시스템이 아무리 좋으면 뭐합니까,사람이 관리 안하면 바보 됩니다.
MS가 취약해진 것은 빌 게이츠의 경영 이념 때문인듯 합니다.
버그를 잡는 것도 돈이 된다면 하고 안된다면 별관심이 없다는 것이지요
아래 인터뷰를 한번 보세요..
원문은 해커스랩에 있습니다.
http://www.hackerslab.org/korg/view.fhz?menu=focus&no=5
빌 게이츠의 인터뷰 요약:
- 버그 리포트는 통계에 의거한 것이므로 실제로 중요하지 않다.
- 버그가 픽스되기를 원하는 사람은(정의상) 소수다.
- 마이크로소프트는 버그에 대해 상관하지 않는다. 왜냐면 버그픽스는 큰 수입을 안겨주지 않기 때문이다.
- 만일 버그를 발견했다고 생각한다면 당신이 무능하다는 것을 의미한다.
-사람들은 자신이 얼마나 멋진 사람인지를 보여주기 위해 버그에 관해 불평한다. 버그가 진정한 문제점을 일으키기 때문이 아니라.
ps.핫메일 서버로 스펨을 보넬수 있다는 보고가 있는데. 3개월째 페치 안한다고 그러더군요.
+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년