윈도우 / MS 공공기관 도입 확대 예정 ‘개방형 OS’ 3종의 보안성 진단

리눅스 등 오픈소스 기반의 개방형 OS들...공공기관에서 시작한 구름과 하모니카, 민간기업이 만든 Tmax 등

[보안뉴스 원병철 기자] 윈도우7 지원 종료와 함께 불거진 공공기관의 OS(Operating System, 운영체제) 문제가 행정안전부의 ‘개방형 OS’ 교체 천명으로 새로운 국면에 접어들었다. 지난 2020년 1월 14일로 종료된 윈도우7을 대신할 새로운 OS 교체로 많은 공공기관은 물론 민간기업들이 비용 문제 등 어려움을 겪고 있는 상황에서 개방형 OS라는 새로운 대안이 제시됐기 때문이다.


[이미지=iclickart]

민간 클라우드 서비스를 이용해 제공될 개방형 OS는 연간 700억 원 이상의 비용절감과 함께 독점 형태의 현재 OS 시장에 국내 기업 등 새로운 기업의 진출이 예상되지만, OS 변화에 따른 ‘어플리케이션’의 부재와 오픈소스 OS 이용에 따른 보안위협 증가 등은 시급하게 해결해야할 문제로 떠오르고 있다.

그렇다면 현재 이슈가 되고 있는 개방형 OS에는 어떤 것들이 있을까? 그리고 대표적인 개방형 OS들의 보안성은 어떨까? 특정기업에 종속된 MS 윈도우와 달리 소스 프로그램이 공개돼 있어 누구나 자유롭게 사용할 수 있는 PC 운영 프로그램인 개방형 OS는 △구름 OS △하모니카 OS △Tmax OS 등이 대표적이다.

구름OS와 구름 브라우저로 이뤄진 구름 플랫폼
구름 OS는 클라우드 업무환경 전환에 대비하기 위해 오픈소스를 활용해 개발된 보안성을 강화한 단말 운용 소프트웨어로 구름 브라우저와 함께 ‘구름 플랫폼’을 이루고 있다. 2015년 국가보안기술연구소가 안전한 클라우드 업무환경 접속을 위한 단말 플랫폼 오픈소스 프로젝트로 시작해 현재 국가보안기술연구소, 한글과컴퓨터, 이액티브, 클라우드림 등 국내 기업들이 함께 하고 있다.


▲구름 보안 프레임워크를 통한 단말 보안 강화[자료=구름 플랫폼]

데비안 기반의 개방형 운영체제인 구름 OS는 안전한 업무환경을 위한 구름 플랫폼 운용 기반을 제공하며, 클라우드 업무환경에 필요한 SW를 선별할 수 있기 때문에 공격면 제거가 가능하다. 구름 브라우저는 크로미움 기반으로 브라우저 보호 기술을 탑재해 안전한 브라우징 환경을 제공하며, △HTML5 기반 웹표준 준수 △접속처에 따른 브라우저 프로세스 분리(신뢰/비신뢰 브라우저) △브라우저별 크로미움 보안 정책 적용(다운로드 차단/URL 차단 등) 등을 지원한다.

특히, 구름 플랫폼은 안전한 브라우저상에서 모든 업무를 수행하는 클라우드-웹 기반 업무환경을 고려해 개발됐다. 클라우드-웹 기반 업무환경은 모든 데이터를 클라우드 스토리지에 저장하고, 기존에 사용자 단말에서 설치·실행하던 응용프로그램 대신 클라우드가 제공하는 웹 기반 응용(Web Application) 서비스를 활용해 업무를 수행한다.

구름 플랫폼은 ‘구름 보안 프레임워크’가 제공하는 4단계 보안기술을 제공한다. 첫 번째는 △신뢰 부팅으로 부트로더 및 커널에 대한 무결점 검증 수행을 통해 해커에 의해 시스템이 변조됐을 경우 구름 플랫폼의 부팅을 차단한다. 두 번째는 동적 커널 보호 기술인 △운영체제 보호다. 악성코드가 실행 중인 커널을 변조할 때 커널보다 높은 수준인 ‘하이퍼바이저’에서 악성행위를 탐지한다. 세 번째는 실행파일에 대한 무결성 검증 수행인 ‘실행파일 보호’다. 이는 악성 프로그램이 단말에 유입됐을 경우에도 근본적인 실행을 차단한다. 마지막 네 번째는 ‘브라우저’의 보호로 접속처에 따라 신뢰 브라우저와 비신뢰 브라우저로 격리된 브라우징 환경을 제공하고 차등화된 보안정책을 적용할 수 있게 한다.

리눅스 민트 기반의 하모니카 OS
2014년 초 미래창조과학부(현 과기정통부)의 ‘공개 SW 활성화 계획’의 일환으로 시작된 개방형 OS 프로젝트였던 ‘하모니카 OS’는 ‘리눅스 민트’ 기반의 개방형 OS다. 미래창조과학부와 한국정보통신산업진흥원의 지원 하에 현재 오픈소스 전문기업 INVESUME이 하모니카 OS의 서비스를 맡고 있다.


▲하모니카 OS의 오픈소스 생태계 구축[자료=하모니카 OS]

하모니카 OS는 국제 및 국내 표준을 준수해 사용자 경험의 혼란을 방지하고, 개방형 OS 환경에서 운용되는 응용프로그램의 이식성을 확보해 지속적이고 신뢰성 있는 기술지원을 제공한다. 특히, 한국정보통신기술협회의 공개 SW 성숙도 및 적용성 평가 기준에서 91점의 높은 평가를 받았다. 아울러 국내 금융사이트 이용을 위해 공인인증서 인식과 호환성 패키지를 지원하며, 정부 민원업무 서비스와 백신, 보안SW 등 호환성 향상을 위해 지속적인 업데이트와 기술지원을 제공한다.

특히, 하모니카 OS는 커널 보안과 응용프로그램 보안, 그리고 사용자 보안 등 3단계에 걸쳐 보안을 제공한다. OS의 각 단계별, 영역별 보안을 적용함으로써 OS를 보호하고 사용자의 신뢰성을 향상시킨다.

커널 보안에서는 시스템 바이오스에서 시작해 커널 모듈까지 이어지는 과정에서 보안체인을 형성, 인가되지 않는 불법적인 SW 사용을 차단하는 ‘커널 시큐어 체이닝’ 기술을 적용했다. 응용프로그램 보안에서는 커널의 리눅스 보안 모듈(LSM: Linux Security Modules) 인터페이스를 이용해 관리자가 프로그램별 사용권한을 제한할 수 있게 했다. 마지막 사용자 보안에서는 암호화된 저장공간과 USB 보안 프로그램, 개인 방화벽과 바이러스 백신을 제공하고 있으며, 업데이터 서버는 공개키 기반의 암호화와 TLS를 이용해 데이터를 제공한다.

다양한 보안기업과 협업한 Tmax OS
구름 OS와 하모니카 OS와 달리 공공이 아닌 민간기업에서 연구를 시작한 Tmax OS는 2016년 10월 출시됐다. Tmax OS는 개방형 OS의 한계를 극복하고자 표준 기술 기반의 기기간 초연결과 자체 오피스 등 기본 앱 제공은 물론 호환 기술과 최신 그래픽 기술을 자체적으로 개발했다. 특히, Zone 분리와 OS Level 보안기능, 통합 보안관리 등 구조적으로 안전한 보안을 만들기 위해 노력했다.


▲보안을 강화한 TmaxOS[자료=TmaxOS]

Tmax OS는 표준 기술 기반의 기기간 자유로운 연결과 기기 특성별 최적화를 통해 PC, 임베디드(IoT 플랫폼 구축과 다양한 산업용 OS 지원), 서버(기존 서버 OS 대체, 어플라이언스 구현), 모바일(모바일 호환 레이어를 통한 스마트폰 연동) 등 모든 기기와 초연결을 가능하게 했다. 아울러 기존 오피스 문서와 호환이 가능한 ‘ToOffice’를 통해 워드와 엑셀, 파워포인트와 메일 등을 사용할 수 있도록 했다.

특히, Tmax OS는 생태계 확산 및 보안 강화를 위해 신뢰할 수 있는 개발자와 검증된 앱만 업로드할 수 있도록 했다. 아울러 안랩을 비롯해 지니언스 등 다양한 보안 솔루션 보유업체와 협업한 것은 물론, Tmax OS 전용 보안 솔루션 개발도 진행 중에 있다.

또한, 구조적으로 보안을 강화했다. 우선 ‘Zone 분리’를 통해 사용자에 따라 독립적인 사용 환경을 제공하며, 시스템 환경 분리를 통해 보안성을 극대화했다. 여기에 디바이스 드라이버 제공과 제어, 파일접근 차단 및 격리 보관, 오픈 포트 공격 차단 등 ‘OS Level 보안’도 갖췄다. 마지막으로 주요자원 모니터링과 시스템 원격 제어, Policy 관리 등 ‘SysMaster’ 보안을 구축했다.