Linux 보안에 대한 Red Hat의 글로벌 영향력

Red Hat은 보안을 최우선으로 생각하는 전 세계 엔지니어들로 구성된 투명하고 탈중앙화된 글로벌 오픈소스 커뮤니티를 기반으로 구축되었습니다. Red Hat Enterprise Linux(RHEL)는 174개 이상의 국가에서 Fortune 선정 500대 기업 및 고객의 90% 이상이 사용하는 신뢰할 수 있는 운영 체제(Operating System, OS)입니다. 이러한 신뢰는 RHEL의 신뢰성과 안정성뿐 아니라 오픈소스 프로젝트에 적극적으로 기여해 온 Red Hat의 오랜 역사에 주로 기인합니다. 

그러나 Linux OS와 관련하여 종종 간과하는 한 가지 핵심 요소가 있습니다. 다른 운영 체제에 비해 보안이 강화되었다는 평판입니다. 이러한 평판이 있지만, 보안 측면에서 모든 Linux 배포판이 동일하지는 않습니다. 수년 동안 Red Hat은 RHEL 사용자에게 해당 지역의 엄격한 글로벌 보안 요구 사항을 충족하고 보안 모범 사례를 최대한 효율적으로 활용할 수 있는 적절한 기능을 제공하기 위해 상당한 투자를 해 왔습니다. 이 문서에서는 이러한 보안 투자 중 일부와 이러한 보안 투자가 연구/로드맵, 배포/실무, 판매 후 보안 지��이라는 세 가지 중점 영역에서 사용자에게 미치는 영향에 대해 설명합니다. 

리서치와 로드맵 

전 세계적으로 차이가 있는 컴플라이언스 요구 사항

40여개 국가에 100개 이상의 지사를 보유한 Red Hat의 팀은 국가마다 다양한 컴플라이언스 규정이 있다는 것을 잘 알고 있습니다. RHEL 연구 및 로드맵 단계의 핵심은 사용자가 현재 직면하고 있는 요구 사항과 향후 직면할 수 있는 새로운 요구 사항을 살펴보는 것입니다.

예를 들어, 더 많은 데이터가 클라우드로 이동하고 AI가 더 보편화되고 다양한 데이터 세트에 액세스해야 하는 상황에서 데이터 주권에 관한 새로운 우려가 계속 제기되고 있습니다. Red Hat은 다양한 산업과 국가의 고객을 통해 많은 사용자가 직면한 제어, 거버넌스, 증명 요구 사항을 잘 알고 있습니다. 전 세계의 특정 규정에 대해 자세히 알아보려면 Red Hat 웹페이지를 통해 글로벌 시장에서 Red Hat 제품 및 서비스에 대한 사이버 보안 검증 및 인증을 분류한 내용을 확인할 수 있습니다. 이 웹페이지는 새로운 규정이 도입됨에 따라 계속 발전할 것입니다.

다가오는 위협에 대비

제품 팀은 미래에 발생할 수 있는 위협을 식별하기 위해 먼 미래를 끊임없이 내다보고 있습니다. 군에서 처음 개발한 사례를 기반으로, 제품 팀의 구성원이 향후 위협이나 문제를 식별하면 SBAR이라는 문서를 생성합니다. 여기서 SBAR은 상황(Situation), 배경(Background), 평가(Assessment), 권장 사항(Recommendation)을 나타냅니다.

제목에서 알 수 있듯이 이 문서에서는 미래의 위협이 무엇인지, 위협이 고객과 제품에 미치는 영향, 해결의 실현 가능성, 해결 방법에 관해 상황을 설명하고 Red Hat이 취해야 할 권장 조치를 제시합니다. 기업의 오픈소스 특성 그대로 SBAR은 Red Hat의 모든 직원에게 공유되어, 직원들은 추가 정보 수집 및 가장 적절한 권장 사항을 얻을 수 있도록 협업합니다. 예를 들어, 몇 년 전에 작성된 SBAR에 따르면 제품 팀이 양자 내성 암호화의 향후 과제를 해결하는 방법에 대한 내부 계획이 2022년 4월에 이미 작성되었습니다. 

안전한 개발 라이프사이클(SDLC) 사례

소프트웨어 보안은 처음부터 개발 단계에 포함되어야 하며, Red Hat은 미국 국립표준기술연구소(NIST) 안전한 소프트웨어 개발 프레임워크(NIST SSDF SP-800-218)와 OWASP(Open Web Application Security Project) 지침 및 다양한 ISO 표준과 직접적으로 연계된 접근 방식을 따릅니다. Red Hat 제품 보안의 모든 팀원은 안전한 소프트웨어 관리 라이프사이클(SSML)에 대한 기대치를 이해할 뿐만 아니라 이러한 사례를 지원하도록 설계된 계획과 프로세스를 준수하는 데에도 능숙합니다. 프레임워크의 다양한 측면에 대한 자세한 내용은 Red Hat 제품 보안 팀이 작성한 기술 자료 문서를 참조하세요. 

더 많은 모니터링을 통한 리스크 감소

많은 벤더가 오픈소스 프로젝트에 단독으로 기여하는 읽기 전용 오픈소스에 참여하고 있습니다. 이러한 사례는 스타트업 기업과 대규모 기술 기업 모두에서 수없이 많습니다. 이러한 기업은 기술 도입을 촉진하기 위한 마케팅 경로로 오픈소스를 사용하지만 오픈소스의 진정한 힘인 혁신을 이유로 존중하지는 않습니다. 오픈소스 소프트웨어를 사용하고 싶어 하지만, 도큐멘테이션이나 사용자 그룹이 아닌 이상 패치와 기여는 환영받지 못합니다. 또한 이러한 기업은 개발자 코드를 원하지 않습니다. 오픈소스로 구축한 상용 프로젝트를 통해 수익을 창출하려면 프로젝트를 완전히 제어해야 합니다.

Red Hat은 오픈소스의 진정한 힘은 글로벌 기여자 그룹과의 협업 프로세스를 통해 코드를 구축하는, 커뮤니티 기반 오픈소스에 있다고 믿습니다. 가장 뛰어난 아이디어를 끌어내고 선택하는 방식은 Linus Torvalds가 말한 "충분한 눈으로 모든 버그를 발견할 수 있다"는 유서 깊은 전통을 뒷받침합니다. 건강한 기여자 커뮤니티가 있는 경우 한 참여자가 부적절하게 행동하면 다른 참여자가 해당 문제를 커뮤니티 내의 다른 구성원들에게 보고할 수 있습니다. 방에 있는 모든 사람들이 방 안의 다른 모든 사람들을 지켜보고 있는 것과 같습니다. 문제를 해결할 수 없는 경우 참여자 중 누구든 코드 사본으로 자신만의 경쟁 버전의 프로젝트를 시작할 수 있습니다. 

보안 관점에서 볼 때 커뮤니티 기반 오픈소스의 개방적이고 투명하며 협업적인 특성은 궁극적으로, 악의적인 취약점이 코드에 포함될 리스크를 낮춥니다. 모든 사람이 서로를 감시하고 모든 사람이 코드를 주시하면 의도적이든 우발적이든 유해한 요소를 잠입시키기가 훨씬 더 어렵습니다.

배포 및 사례

빌드 시 보안 강화 시작

Red Hat은 기본 보안 구성, 최소 권한 액세스 제어, 엄격한 코드 검토 등 여러 계층의 보안 메커니즘을 제품에 통합합니다. 사용자가 자주 관심을 갖는 기능 중 하나는 기본 구성을 제공하는 보안 프로필을 활용하는 기능입니다. 보안 기준을 선택할 때 관리자는 빌드 시 자동화를 활용하여 구성이 컴플라이언스 및 보안 모범 사례를 충족하는지 확인할 수 있습니다. 이렇게 하면 효율성이 향상되고 빌드 후 수동 작업을 수행하는 동안 인적 오류가 발생할 가능성과 리스크가 줄어듭니다. 

보안과 효율성 결합

2024년에 Red Hat은 플랫폼을 컨테이너 이미지로 제공하는 RHEL의 새로운 배포 방법인 이미지 모드를 도입했습니다. 이미지 모드는 컨테이너 네이티브 접근 방식으로 운영 체제를 구축하고 배포, 관리합니다. 단일 워크플로우를 통해 애플리케이션에서 기반 운영 체제에 이르는 전체 IT 환경을 동일한 툴과 기술로 관리할 수 있습니다. 이에 따라, 보안 팀은 이제 스캔 및 검증에서 암호화 및 증명, 운영 체제의 기본 요소에 이르기까지 기존의 익숙한 컨테이너 보안 툴을 사용하여 작업의 복잡성을 크게 줄일 수 있습니다.

사용자에게 보안 인사이트 제공

새로운 위협이 매일 등장하고 IT 팀에 대한 요구가 지속적으로 증가하는 상황에서 Red Hat Insights는 고객이 문제를 자체적으로 식별하여 보고하고, 비즈니스에 미치는 영향에 따라 리스크의 우선순위를 지정하고, 자동화 툴체인 내의 다음 작업을 시작할 수 있도록 설계되었습니다. Insights에서는 보안 분석 툴을 사용하여 리스크를 더욱 효과적으로 관리할 수 있습니다. 시스템에 CVE(공통 취약점 및 노출 사항)가 있는지 스캔하고, 스캔 정보를 수집하고, 단일 인터페이스를 통해 문제 해결 지침에 액세스할 수 있습니다. 

Insights에서는 심각도, 리스크 유형, 변경의 영향에 따라 문제 해결 조치의 우선순위를 정할 수도 있습니다. OpenSCAP 정책으로 규제 컴플라이언스를 감사해 선제적으로 관리하고, 컴플라이언스 미준수 시스템에 대해 더 쉽게 문제 해결을 수행하고, 컴플라이언스 리포트를 더 간편하게 생성할 수 있습니다. 또한 Insights를 사용하여 하이브리드 클라우드 환경 전반의 시스템에서 활성 맬웨어 시그니처를 신속하게 감지할 수 있습니다.

판매 후 보안 지원

글로벌 보안 파트너로 신뢰받는 Red Hat

보안은 Red Hat이 핵심적으로 중점을 두는 분야이며, Red Hat은 업계가 주도하는 조율된 책임 공개 프로그램 내에서, 그리고 이 프로그램을 통해 보안을 관리합니다. Red Hat은 오랫동안 이러한 조직에 참여하고 보안 데이터 공유 및 협업을 위해 글로벌/국내 파트너와 협력해 왔습니다.

전 세계적으로 CVE(공통 취약점 및 노출 사항) 초기 핵심 참여자로서 특별한 역할을 담당하는 소수의 조직 중 하나인 Red Hat은 CVE.org와 협력하에, 공개된 사이버 보안 취약점을 식별하고 정의 및 카탈로그화하는 CVE.org의 임무에 함께합니다. Red Hat은 핵심 참여자 역할 외에 CVE 넘버링 기관(CVE Numbering Authority, CNA)이기도 합니다. 즉, Red Hat은 취약점에 CVE ID를 할당하고 CVE 레코드를 게시하도록 CVE 프로그램에서 인증을 받았습니다.

Red Hat 사용자는 새로운 CVE에 대한 알림을 받을 때 RHEL에 본질적으로 익숙한 보안 전문가 팀이 적극적으로 취약점 평가에 참여했다는 사실에 안심할 수 있습니다. 이러한 취약점이 Red Hat 제품에 영향을 미칠 때 팀은 이미 필요한 문제 해결 단계를 조사하고 있습니다.

마지막으로, Red Hat은 Red Hat이 의존하고 참여하는 오픈소스 커뮤니티를 지원하는 최후의 CNA이기도 합니다. 즉, 다른 CNA에서 다루지 않는 오픈소스 프로젝트에 영향을 미치는 취약점과 관련하여 CVE를 할당하고 게시할 수 있습니다.

보안, 취약점, 문제 해결에 대한 투명성

Red Hat은 확실히 RHEL에 중점을 두지만 보안과 관련해서는 보안 정보와 취약점을 적극적으로 공개 공유합니다. 투명성은 Red Hat의 DNA에 심어져 있으며, 제품 보안 팀은 보안 및 개인정보 보호 리스크를 완화하는 데 필요한 양질의 정보와 이에 대한 액세스를 제공하는 것을 하나의 비전으로 가지고 있습니다.

이러한 비전은 Red Hat 고객에 한정되지 않고 모든 Linux 사용자를 위한 패치 및 완화 전략을 위한 커뮤니티 협업으로 확장됩니다. 우리 모두는 커뮤니티로서 세계에서 가장 안전한 운영 체제 중 하나라는 Linux의 평판을 유지하기 위해 노력해야 합니다. 앞서 언급했듯이 이러한 노력은 Red Hat 코드에도 적용됩니다. Red Hat의 코드는 오픈입니다. 누구나 자유롭게 코드를 검사, 감사, 검토하고 코드 작성에 기여할 수 있습니다.

Red Hat은 전 세계의 업계 동료들과 함께 오픈소스 보안 사례 개발에 참여하며, 이를 통해 글로벌 산업이 도입하고 이를 기반으로 구축할 수 있는 토대가 되는 프레임워크를 제공합니다. 이러한 사례는 새로운 것이 아니며, 지난 30년 동안 Red Hat이 OpenSCAP 생성을 지원하고, OpenSSF 및 CoSAI 같은 조직에 참여했으며, OSV.dev에 기여한 사례에서 입증됩니다. 

향후 30년 전망

Red Hat은 전통적인 의미의 보안 기업으로 간주되지는 않지만 수십 년 동안 기반이자 조력자로서 보안에 집중해 왔습니다. 오늘날 세상은 Marc Ewing이 Red Hat Linux라는 Linux 배포판을 처음 개발한 1993년과는 다릅니다. 향후 30년이 어떻게 될지는 아무도 명확히 알 수 없지만, 글로벌 보안 요구 사항에 지속적으로 고도로 집중할 것이라는 점은 확신할 수 있습니다. 

Red Hat은 다음과 같은 노력을 지속합니다. 

• Red Hat 제품이 전 세계 고객의 보안 요구 사항을 충족하는 데 필요한 로드맵 조사 및 제시
• 빌드 시 보안 적용을 더 용이하게 만들어 효율성을 높이고 리스크를 낮추는 방식으로 제품 설계
• Red Hat의 기반 커뮤니티와 글로벌 Linux 커뮤니티가 CVE 프로그램과 같은 보안 중심 이니셔티브에 적극적으로 참여하여 위협을 해결하도록 지원

Red Hat은 Linux와 커뮤니티 보호에 진심을 다합니다. 이 미션을 여러분과 함께 수행하기를 기대합니다. 

블로그 피드 서브스크립션을 통해 오픈소스 보안에 대한 최신 정보를 받아보세요.