CVE-2024-XXXXX. 리눅스 커널에서 새로운 취약점이 발견되었다. 그런데 이 CVE가 할당되기까지의 과정이 논란이다.
오픈소스 보안의 민낯이 드러나고 있다.
CVE 할당의 정치학
CVE(Common Vulnerabilities and Exposures)는 보안 취약점의 주민등록번호 같은 것이다. 이 번호가 있어야 패치 우선순위가 정해지고, 보안 도구가 인식하고, 기업들이 대응한다.
문제는 이 할당 과정이 투명하지 않다는 것. 누가, 어떤 기준으로 CVE를 부여하는가? 정치적 판단이 개입되지는 않는가?
커널 메인테이너의 고충
리눅스 커널 개발자들은 하루에도 수십 개의 버그 리포트를 받는다. 그중 진짜 보안 이슈는 일부다. 모든 버그에 CVE를 할당할 수도 없고, 그렇다고 놓치면 비난받는다.
자원봉사로 세계 인프라를 지탱하는 사람들. 그들에게 너무 많은 것을 기대하고 있는 건 아닐까.
시스템의 문제
개인의 노력으로 해결될 문제가 아니다. CVE 시스템 자체가 현대 소프트웨어 생태계의 규모를 감당하지 못하고 있다. 자동화, 투명성, 자원 확충이 필요하다.
오픈소스를 공짜로 쓰면서 완벽한 보안을 요구하는 것. 그것이 진짜 민낯일지도 모른다.
이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.
Categories:
