시큐어OS, 기술 논란속에 신규업체 참여 러시

‘시큐어OS(Secure OS)’에 대한 기술논쟁이 가열되고 있는 가운데, 신규업체들의 시장 참여가 가속화되고 있다.

이들 신규 업체의 제품은 미국 국방부 공급 제품(썬 마이크로시스템즈 군사용 보안 운영체제 TSOL) 이나 자체 개발제품으로 기존 업체들과 다른 기술적인 차별성을 강조하고 있다.

휴대폰에 들어가는 수정진동자를 개발하는 거래소 상장 기업인 써니전자(대표 곽동훈 www.sunny.co.kr)는 지난 4월 싱가폴 보안 솔루션 업체인 에스엔알텍(www.snrtec.com)에 24억4천여만원을 투자, 최대주주가 됐다.

그후 에스엔알텍이 아태지역 독점 판매권을 획득한 미국의 보안업체 ‘TCS(Trusted Computer Solutions, Inc www.tcs-sec.com)’의 시큐어OS 제품군을 국내에 공급하기 위해 국내 지사 설립을 준비하고 있다.

또 올 해 초 국제해킹대회를 개최한 한국디지탈웍스(대표 김성기 www.kdworks.co.kr)도 자체 개발한 ‘웍스(WORKS)’로 시장 진입을 서두르고 있다. ‘웍스’는 기존 제품군과 달리 상용운영체제와 하드웨어 사이에서 구현되는 독립 보안 운영체제라는 게 회사측의 설명.

양사는 모두 대부분의 상용 제품군이 따르는 ‘LKM(Loadable Kernel Module)’ 방식의 제품군에 대해 차별성을 강조하고 있다.

하지만 아직 학계 등 보안 전문가들 사이에서 조차 ‘시큐어OS’에 대한 정의와 기능에 논란이 벌어지고 있는 만큼, 현재의 혼란을 잠재우려면 상당한 시간과 검증절차가 걸릴 것이라는 지적도 제기되고 있다.

◆TCS 솔루션은 무엇인가

미국의 보안업체 ‘TCS(Trusted Computer Solutions, Inc www.tcs-sec.com)는 94년 미국의 MITRE 보안 공학자들이 설립한 기업으로, 미군 CIA FBI 백악관 등 관공서나 미군에서 전문적으로 사용하는 서버보안 솔루션을 개발하고 있다.

썬마이크로시스템즈(트러스티드 솔라리스 TSOL 개발), 오라클(OLS개발) 등의 전문 개발자가 포진해 있으며, 최근 미 국방부로부터 펀딩을 받아 제한적이나마 민간 보안 제품을 판매하고 있다.

DIA(미국방정보국), NSA(미 국가안보국), DICAST(미 국방부 첩보연합) DITSCAP(미 국방부 IT보안 자격 및 인증), CC(국제공통평가기준) 등 유명 보안인증서를 다수 갖고 있으며, 규제 때문에 민간 시장에 본격적으로 들어오지 못하다가 최근 적대국이 아닌 국가에 한해 수출이 허용됐다.

이 제품을 판매하는 김종철 에스엔알텍 이사(General Manager)는 “기존에 개발된 LKM방식 제품과 달리 TCS솔루션은 원천소스코드에서 보안성을 구현했다”며 “전세계 민간 시장은 CA가 주도하고 있지만, 우리 제품은 미국 정부당국에서 사용할 만큼 보안성이 입증된만큼 장기적으로 보면 민간 시장에서도 입지를 굳힐 수 있을 것”이라고 밝혔다.

기존 LKM방식(애드온 방식)의 경우 사용자들이 자신이 접근권한을 정의하는 단순한 환경에서는 잘 동작하지만, 관리적인 측면에서 접근 권한을 정의하는 환경에서는 적합하지 않다는 것이다.

하지만 TCS는 접근권한이 주체가 아닌 객체를 기준으로 설정되고 이 때 동일한 중앙 정책에 따라 제어되는 다중레벨보안(Mutilevel Security)와 강제적접근제어(Mandatory Access Control)를 지원하기 때문에 보안성에서 앞선다는 설명이다.

(02)3282-7593.

◆웍스는 어떤 제품인가

‘웍스(WORKS)’는 한국디지탈웍스가 개발한 보안 운영체제다. 한국디지탈웍스는 이를 기반으로 방화벽과 VPN(가상사설망), 로드밸런싱 및 침입탐지시스템(IDS)을 선보이고 있다.

한국디지탈웍스는 부산에 근거한 보안업체로, SI(시스템통합)업체 제이미인터미디어테크(www.jemitech.com)와 관계회사다.

‘웍스’는 애드온 방식(시큐어 커널방식)을 쓰는 기존 시큐어OS와는 기술 기반이 다르다는 게 한국디지탈웍스의 설명. 애드온 방식이란 후킹 데몬을 통해 시스템 콜을 가로채서 미리 정의된 접근정책을 참조, 프로세스나 파일에 접근을 인증하는 것을 말한다.

하지만 ‘웍스’는 기존 상용 운영체제 하단에 동작해서 상용운영체제가 가지는 근본적인 보안의 취약성을 보완해준다는 것이다. 이 때 ‘웍스’는 상용 운영체제와 하드웨어 플랫폼 사이에 동작하면서 모든 입출력을 모니터링하고, 커널 모니터링과 프로세스의 무결성을 체크하게 된다.

김득준 기술이사는 “우리가 개발한 웍스는 웍스안에서 일반 운영체제가 안전하게 돌아갈 수 있도록 한 역발상으로 개발된 제품”이라며 “모든 운영체제와 하드웨어, 그리고 타 보안제품과의 연동성을 보장한다”고 강조했다.

즉 현재 ETRI 등에서 개발하고 있는 능동보안센서 및 능동적 네트워크 트래픽 관리 기능 등이 ‘웍스’로 구현되고 있다는 설명이다.

(051)245-8353.

◆한국정보보호진흥원, 시큐어OS 평가에 부정적

현재 국내에서 ‘시큐어OS’라는 이름으로 팔리는 제품군은 10여가지. 그중 한국CA의 ‘이트러스트액세스컨트롤’과 시큐브의 ‘시큐브TOS’, 티에스온넷의 ‘레드아울’, 시큐브레인의 ‘하이자드2.0’, 그리고 여기에 미국의 TCS와 한국디지탈웍스가 가세했다.

하지만 아직 한국정보보호진흥원과 학계에서는 ‘시큐어OS’의 정의와 기능들에 대해 논란이 가열되고 있는 상황이다. ▲ 어떤 제품을 ‘시큐어OS’로 부를 수 있는가와 ▲ 시큐어OS 제품군에 대한 보안성 평가를 할 수 있으며, 할 필요가 있는 지 등에 대해 공방이 일고 있는 것.

한국정보보호진흥원 관계자는 “현재 시중에 나와있는 대부분의 제품을 시큐어OS로 부를 수 있는지 의문”이라며 “애드온 방식이 커널 수정 방식과 보안성에서 크게 차이가 난다고 보지는 않지만, 대부분의 제품이 시큐어OS의 기본 항목인 멀티 운영체제 지원능력에 한계가 있을 수 밖에 없다고 본다”고 말했다. 즉 현재의 제품군은 보안이 강화된 운영체제라고는 볼 수 있지만 ‘시큐어OS’라고 말하기에는 한계적이란 것이다.

그는 또 “3년전에 시큐어도스(DOS)를 만들었던 회사가 MS의 출시정책으로 제품을 내놓기도 전에 실패한 일이 있다”며 “시큐어OS는 운영체제를 만드는 회사와 국가에서 주도할 수 밖에 없다고 본다”고 말했다. 결국 국내에서 완전한 의미의 시큐어OS를 만들기 어려운 만큼, 그 평가또한 더욱 힘들다는 지적이다.

국내 서버보안 시장의 70%를 장악하고 있는 한국CA측은 “우리가 채택한 애드온 방식이 커널수정 방식보다 보안성이 낮다는 것은 말도 안된다”며 “애드온 방식도 유닉스 시스템 내의 시스템 아키텍처상에서 커널로 이동하는 모든 시스템 콜을 그 전에 보안 데몬이 가로채기 때문에 완벽한 서버보안”이라고 강조했다. 커널내부간의 시스템콜은 보안과 무관하다는 것이다.

또 “오히려 커널수정 방식은 커널 변경이 필요할 때마다 시스템을 재부팅해야 하는 위험성을 갖고 있는 등 적절치 못하다”며 "커널레벨에서 역할기반 접근제어가 가능하다는 티에스온넷 제품군도 LKM 방식과 기능상의 차이는 거의 없으며, 다만 설치 및 구동방식의 차이가 있을 뿐이다”라고 밝혔다. 하지만 같은 미국업체인 TCS는 LKM방식과 자사 기술기반의 차이점을 강조하고 있는 만큼 기술적인 논란은 끊이질 않고 있다.