제2 하트블리드 없다, 오픈SSL 새 로드맵 공개

일반입력 :2014/07/03 11:54

손경호 기자

오픈소스 형태로 공개되는 암호화 통신 라이브러리인 '오픈SSL'에서 하트블리드 취약점 등과 같은 문제가 재발하는 것을 막기 위한 방안을 담은 오픈SSL 프로젝트 로드맵이 새롭게 공개됐다.

2일(현지시간) 미국 지디넷에 따르면 로드맵은 그동안 오픈SSL 관련해 제기됐던 여러가지 문제를 해결하는 것을 목표로 삼고 있다.

그동안 개발자들 사이에 가장 문제로 지적돼 왔던 것 중 하나는 'RT'라고 불리는 버그 추적 시스템이 제대로 작동되지 않았다는 점이다. 오픈SSL에서 발견된 여러 버그에 대한 기록을 제대로 남겨두지 않았기 때문이다.

오픈SSL 내 소규모 프로젝트에 대한 문서화 작업(documentation)이 제대로 이뤄지지 않았다는 점도 버그를 수정하기 어렵게 만드는 이유 중 하나다.

오픈SSL 라이브러리, 애플리케이션의 복잡성도 문제를 빠르게 확인하고 해결하지 못하도록 막는다. 관련 공개 API를 활용해 내부에 오픈SSL을 도입할 수 있도록 한다. 이를 통해 많은 플랫폼에 오픈SSL 관련 소스코드가 포팅되지만 이중 많은 부분이 필요없는 경우들이 생긴다.

이로 인한 복잡성은 유지보수를 어렵게 만들어 결국 보안 취약점을 수정하기 힘들게 만든다.

더구나 오픈SSL에 참여하고 있는 수많은 개발자들이 저마다 개발을 수행해 왔기 때문에 여러가지 코딩 스타일이 혼재해 있는 것도 유지보수에 어려움을 겪게 만드는 이유 중 하나다.

관련기사

이 같은 문제들을 해결하기 위한 대책으로 내놓은 것은 먼저 새로운 버그 리포트가 공개되면 이에 대해 최소 4일 이내로 초기 대응법을 받을 수 있도록 하는 것이다. 이를 통해 개발을 보류한 '백로그'를 줄일 수 있게 한다. 공개 API 역시 1년 이내에는 문서화 작업을 거쳐 재검토하고, 수정해 복잡성을 줄이도록 한다는 방침이다. 개발자들 마다 다른 코딩 스타일에 대응하기 위해 오픈SSL 프로젝트에서 코딩 관련 표준을 마련한다는 계획이다. 또한 6개월마다 정기적으로 분석툴을 활용해 코드에 문제가 없는지 감사가 이뤄질 수 있도록 했다.

오픈SSL은 이밖에도 IPv6 지원, ARM 아키텍처에 대한 지원 등을 포함할 예정이다.