레드햇은 자사의 서버 가상화 제품인 레드햇 오픈스택 플랫폼 17.1(Red Hat OpenStack Platform)이 국가정보원과 국가보안기술연구소가 주관하는 보안기능 시험 제도의 국가용 보안요구사항을 통과하며 ‘보안기능 확인서’를 획득했다고 6일 밝혔다.
보안기능 확인서는 국가 및 공공기관에서 IT 제품을 도입 시 보안적합성 검증을 생략할 수 있도록 공인된 시험기관으로부터 보안기능 시험을 거쳐 인증을 받는 제도다. 이로써 레드햇 오픈스택 플랫폼 17.1은 제품의 보안 안전성과 기능성 등을 모두 검증 받았다.
최근 기업들의 클라우드 전환이 가속화됨에 따라 오픈소스의 활용은 필수적인 것이 되어가고 있다. 하지만 오픈소스 사용의 확대는 빠르게 진화하는 기술 환경과 짧아지는 제품 수명 주기와 맞물려 보안 취약점이라는 새로운 도전 과제를 대두시키고 있다. 특히 복잡한 클라우드 환경에서는 보안 위협에 대한 빠른 대응을 더욱 어렵게 만든다.
오픈소스는 비용 효율성과 유연성을 제공하는 반면 보안 측면에서는 지속적인 모니터링과 대응이 요구된다. 최근 발생한 주요 보안 사례들이 이를 뒷받침한다. 운영체제(OS) 영역에서는 센트OS(CentOS)의 지원 종료로 인한 보안 취약성 증가가 대표적이며 웹 서비스 영역에서는 Log4J 취약점 사태가 전 세계적으로 큰 파장을 일으켰다.
IaaS와 PaaS 영역에서도 클라우드 서비스의 복잡성이 증가하면서 구성 오류나 권한 관리 미흡으로 인한 보안 사고가 증가하고 있는 추세다. 특히 클라우드나 오픈소스 소프트웨어의 경우 기술 발전 속도가 빠르기 때문에 사용자의 소프트웨어 버전의 기술지원종료(EOS)에 따른 보안취약점이나 버전 현행화를 위해 서비스 공급업체의 지속적인 관리가 요구된다.
레드햇은 오픈소스 코드를 엄격한 품질 관리와 테스트 과정을 거쳐 엔터프라이즈급 제품으로 전환한다. 먼저 업스트림 커뮤니티의 코드를 검증하고 내부 테스트를 통해 안정성을 확보한 후, 보안 취약점을 점검하고 패치한다. 이후 고객 환경에서의 통합 테스트를 거쳐 최종적으로 제품화가 이뤄진다.
또한 레드햇은 제품 보안을 위해 전담 보안 대응팀(Product Security Team)을 운영하고 있으며 취약점 발견 시 즉각적인 분석과 패치 제공을 수행한다. 레드햇 보안 대응 팀은 24시간 상시체제로 운영되며 보안 취약점 DB를 관리하고 고객에게 실시간 보안 권고를 제공한다. 또한 레드햇 고객 포탈을 통해 보안 업데이트와 기술 문서를 제공해 고객의 보안 관리를 지원함으로써 보안 이슈에 대한 신속한 대응을 지원한다.
레드햇 오픈스택 플랫폼의 보안기능 확인서 획득은 국가정보원의 보안 요구사항을 충족함으로써 공공기관이 안심하고 프라이빗 클라우드를 구축할 수 있는 기반을 마련했다고 레드햇은 전했다. 회사는 이를 통해 멀티클라우드 환경에서 보안성이 검증된 IaaS 플랫폼을 제공함으로써 디지털 전환을 추진하는 공공기관의 신뢰할 수 있는 파트너로서의 위치를 공고히 할 수 있게 도울 예정이다.
헬로티 이창현 기자 |
