[보안] 오픈소스와 비공개소스의 보안성

오픈소스 보안성 관련 이슈 : 클릭

보안성 비교
1. 오픈소스
1) 장점
 - Many eyeballs 이론: 많은 사람의 개선 노력으로 성능,안전성,보안성 높아짐
 - 알려진 취약점에 대한 지속적 관심
2) 단점
 - 취약점이 크래커들에 노출.
 - 패키지 신속 배포에 어려움 존재

3) 사례
 - 97년 ping of death 노출시 몇시간 만에 리눅스는 패치를 생산해 냄.
 - 최근 Java기반 오픈소스 11개 조사: 4만여개 고위험 취약성(cross site scripting 2만2천, sql injection 1.5만)


2. 비공개소스
1) 장점
비공개된 소스로 해킹 위협에 노출이 적음
전문가 집단의 지속적 소스 점검

2) 단점
해킹 발생시 대책에 많은 시간 소요

3) 사례

최근 보안 노출후 대책 마련까지의 공백기를 노린 제로데이공격(zero day attact)이 늘고 있는 추세


3. 고려/대응
오픈소스 도입시 설계단계에서 취약점 제거 노력시 유지단계보다 60배 비용절감(ibm연구소)
오픈소스 도입 비용은 없으나 유지보수 비용 고려해야 함
오픈소스 안전.신뢰성 위한 생명주기 관리 필요(기획,분석,설계,구현,시험,배포)
업체, 동호회,커뮤니티,수요자간 공유 체계 필요