미 정부,「지능형」무선장치용 오픈 소스에 이의 제기

모바일 장치 제조사들이 SDR(소프트웨어 기반 무선통신)을 활용하기 시작하고 있다. SDR은 하나의 장치로 텔레비전 방송이나 휴대폰 네트워크와 같은 다양한 소스에서 보내는 신호를 수신할 수 있는 신기술이다.

하지만 이번 13일(미국시간)부터 시행될 새 연방 규정은 ‘오픈 소스’를 사용하는 무선장치는 출시하기까지 오래 걸릴 수 있음을 의미하는 것일 수 있다.

최악의 경우에는 전혀 시작도 못할 수도 있다. 미국 규제 기관들은 오픈 소스 코드는 공개된다는 특성 때문에 해커들의 공격을 받기 쉬우므로 “충분히 안전하다는 것을 증명하는 부담이 너무 크다”고 생각하는 것으로 보인다.

이 결정이 그대로 시행된다면, 소비자들이 이런 올인원 장치를 손에 쥘 때까지 더 오래 걸릴 것이다.

이 새로운 분야의 기업들은 보안을 철저하게 검증받지 못한 제품을 서둘러 출시하는 것을 주저하고 있으며, 연방 통신 위원회(FCC)가 코드를 공개하지 않기를 원한다면 결함이 드러나지 않기 때문에 신뢰 받지 못하는 제품이 될 가능성이 있다고 걱정한다.

FCC의 입장의 바탕에는 암호 해독계에서 ‘은둔 보안 방식(security through obscurity)’라고 알려진 개념, 즉 보안 방식을 공개하지 않으면 침투하기 더 어렵다는 논란의 여지가 있는 개념이 깔려 있기 때문에 소프트웨어 기반 무선장치 관계자들은 이의를 제기하고 있으며 일부 보안 전문가들도 의구심을 가지게 됐다.

SDR 포럼이라는 글로벌 산업 단체의 보안 위원회 의장인 버나드 아이트는 최근 이메일 인터뷰에서 “궁극적으로는 더 안전하고 더 저렴하고 더 호환성이 좋고 표준화하거나 인증하기도 더 쉬운 방법이라고 할 수 있는 오픈 소스 방식을 규제 기관이 반대하는 이유는 이해되지 않는다”라고 말했다.

모토로라, AT&T 연구소, 노스럽 그루만(Northrup Grumman), 버지니아 공과 대학 등과 같은 연구 기관 및 기업들이 참여하고 있는 이 포럼은 이번 주에 제출한 공식적인 탄원서에서FCC가 입장을 철회할 것을 촉구했다.

소프트웨어 자유 법률 센터도 같은 점을 우려한다고 법률 센터 상근 변호사인 매트 노우드는 최근 인터뷰에서 말했다. 소프트웨어 자유 법률 센터는 무료 및 오픈 소스 소프트웨어 커뮤니티에 법률 서비스를 제공하는 단체이다.

하지만 지난 6일 발표된 백서에서 이 단체는 FCC의 규정에는 개발자들에게 유리한 점도 있다고 주장한다.

그 규정은 보안 관련 소프트웨어에만 초점을 맞추고 있어서 프로그래머들이 그 외의 많은 종류의 오픈 소스 무선 애플리케이션과 관련해 하드웨어 제조사들과 공동 작업을 하는 것을 제한하지는 않는 것으로 보이기 때문이다(FCC의 규제를 받는 많은 802.11 무선 라우터는 이미 네트워크 관리에서 오픈 소스 시스템을 사용하고 있다).

일부 사람들은 SDR(‘지능형’ 무선장치 또는 인지형 무선장치)을 차세대 모바일 기술의 기초로 본다. 기존의 무선장치는 특정한 유형의 무선 전파를 라디오 방송국의 음악 방송으로 변환하거나 간섭 현상을 차단하는 것과 같은 신호 처리에 전자식 하드웨어를 사용한다.

무선장치의 범위 확장
하지만 SDR은 그런 기능의 핵심 부분을 소프트웨어에 내장시켜 무선 하드웨어가 송수신하는 전파를 관리하게 한다. 이렇게 하면 많은 인력이 필요한 하드웨어 교체 방식이 아니라 새 소프트웨어를 다운로드 받는 방식으로 무선장치를 새로운 기능을 수행하게 할 수 있다.

예를 들면, 단일 장치에서 TV 쇼, 지상파 무선장치 방송, 휴대폰 통화, 광대역 등을 전달하도록 프로그래밍할 수도 있고, 휴대폰이 GSM, CDMA 또는 그 외의 네트워크 유형에 관계 없이 특정 영역에서 가장 강한 신호를 탐지해 해당 신호를 수신하도록 설정을 변경할 수도 있다.

SDR 관련 산업이 지금까지는 FCC 측에서 대체로 환영받고 있는 것으로 나타나기는 했지만, 일부 보안 전문가들은 FCC가 오픈 소스 소프트웨어에 대해 최근에 취한 조치는 적합하지 않다고 말했다.

컴퓨터 보안에 대한 폐쇄형 접근법과 개방형 접근법 사이의 대립에 대해 글을 쓴 바 있는 오하이오 주립 대학교 법과 대학 교수인 피터 스와이어는 “해커들이 공격을 테스트할 수 없는 경우에는 내용을 감추는 것이 확실한 효과가 있다. 하지만, 이처럼 분산형 장치에서 소프트웨어를 사용하는 경우 오픈 소스에 대해 가외의 부담을 주어서는 안된다”고 말했다.

컴퓨터 보안에 대해 교육하는 SANS 연구소의 연구 담당 이사인 앨런 폴러는 오픈 소스 소프트웨어의 취약점의 수가 전용 소프트웨어의 취약점 수와 엄청난 차이가 있다는 뚜렷한 증거는 전혀 없다고 말했다.

초기의 일부 연구에서는 오픈 소스 코드는 일반적으로 더 철저하게 조사하기 때문에 품질은 더 높이고 취약점은 더 줄이는데 도움이 될 수도 있는 것으로 나타났다.

폴러는 전화 인터뷰에서 “그들은 그것을 신뢰할 수 있는 관리가 수반되는 소프트웨어나 그렇지 않은 소프트웨어로 정의하고 있을 것이다. 그것이 보안에서 근본적으로 문제가 되기 때문이다. 사용하는 소프트웨어에 취약점이 나타났는데 도움을 요청할 수 있는 곳이 없다면, 정말 큰일이다”라고 말했다.

군용으로는 이미 사용 중
SDR이라는 용어는 아직 대중의 주목을 받을 정도가 아니지만, 이 기술은 군용 및 공공 안전 분야에서는 이미 인기를 끌고 있다. 아마 가장 대표적인 예는 미 국방성의 공동 전략 무선 시스템(Joint Tactical Radio System) 프로젝트일 것이다.

이 프로젝트는 전투 지역에 있는 군인들이 다양한 네트워크를 통해 음성, 데이터, 동영상 등을 전달할 수 있게 하려는 것이다.

하지만 상업적인 상품은 아직 걸음마 단계를 못 벗어나고 있다. 약 3년 전에, FCC는 바누(Vanu)라고 하는 조그마한 기업에 최초의 전용 SDR 라이선스를 부여했다.

바누는 단일 하드웨어 장치로 다수의 무선 표준(GSM, CDMA, iDEN 및 기타)을 지원할 수 있는 상업적으로 판매되는 최초의 기지국을 생산했고, 그 하드웨어를 더 경제적이고 시간을 절약할 수 있는 수단으로 판매하고 있다. FCC에 의하면 일부 CDMA 휴대폰 네트워크 및 무선 LAN 장치도 이 기술을 다른 형태로 사용하고 있다.

부분적으로는 시스코 시스템즈가 지난 6월에 제출한 탄원서가 계기가 돼 제정된 새 FCC 규정은 2001년과 2005년에 제정된 SDR 기본 원칙에 근거하고 있다.

FCC가 그 동안 줄곧 염려하고 있는 것은 이 기술의 유연한 특성으로 인해 해커들이 공공 안전을 위해 사용되는 주파수 대역과 같은 부적절한 주파수 대역에 접근할 수 있다는 점이다.

따라서 FCC는 외부에서 정부 규정과 상반되는 방식으로 제품을 개조할 수 없음을 보여주는 비밀 유지 설명서를 제출할 것을 제조업체들에게 요구했다. 시스코의 탄원서에서는 성격상 코드를 공개할 수밖에 없는 오픈 소스 보안 소프트웨어를 사용하는 것이 그 비밀 유지 요건에 일치하는지 명확하게 해 달라고 규제 기관에 요청했다.

이에 대해 FCC는 오픈 소스 보안 소프트웨어도 공개할 경우 FCC 규정을 어기게 될 위험이 증가한다면 공개할 수 없다고 규정했다. 그 다음에 위원회는 이렇게 덧붙였다. “전적으로 오픈 소스 요소에 의존하는 시스템은 SDR로 인가를 받을 수 있을 만큼 충분히 안전함을 증명해야 하는 가외의 부담을 안게 될 것이다”.

이번 주에 서류를 제출하면서 SDR 포럼은 FCC에게 무선장치 제조사들이 규정 위반을 장려하려는 목적이 아닌 한 코드를 공개해 토의할 수 있도록 허용해 달라고 요청했다.

이 그룹은 또한 오픈 소스 소프트웨어 보안 문제에서 중립을 지켜달라고 촉구하면서 규제 기관이 아니라 ‘학계를 대상으로 한 조사와 업계 내의 협의 그리고 시장에서의 테스트’를 통해 이 문제를 결정해야 한다고 주장했다.

FCC에 규정 변경을 요청한 시스코의 대변인은 CNET News.com에서 인터뷰를 할 수 없었다. 이 회사의 선임 기술 정책 담당 이사인 로버트 페퍼는 시스코가 새 규정을 불편하게 느끼지 않는다고 생각한다고 말했다. FCC 대변인은 위원회가 SDR 포럼의 서류를 접수했으며 검토할 것이지만 언제 응답하게 될지는 명확하지 않다고 말했다.

FCC의 이런 최근의 움직임은 소프트웨어 무선장치의 오픈 소스 측면에 존재하는 잠재적인 한계가 드러난 최초의 일이 아니다.

몇 년 전에 FCC는 논쟁이 많은 ‘브로드캐스트 플랙’을 지원하지 않는 TV 튜너나 PC를 제조하는 것은 불법이라는 규정을 발표했다. 브로드캐스트 플랙은 연예 산업계에서 지지하는 복사 방지 수단이다.

연방 항소 법원은 그 규정을 폐지했다. 하지만 그 법이 그대로 남아 있거나 의회에서 다시 제정하게 된다면, 소비자가 GNU 라디오라고 알려진 무료 소프트웨어 라디오 툴킷과 같은 것을 사용해 아무 제한이 없는 무선 신호 수신 장치를 직접 만들기는 어려울 것이다.

무료 및 오픈 소스 소프트웨어 개발자들에게 법률 서비스를 제공하는 소프트웨어 자유 법률 센터의 한 변호사는 규제 기관들이 최근에 발표한 규정은 그보다 훨씬 더 잘못한 것일 수 있다고 말했다. FCC는 오픈 소스 플랫폼에 원가 절감이나 개발 시간 단축과 같은 ‘장점’이 있음을 인정하면서 FCC가 오픈 소스 애플리케이션을 전면 금지한 것은 아니라고 말했다.

소프트웨어 자유 법률 센터의 노우드는 “최소한 그들이 GPL이 바이러스이며 무료 소프트웨어는 미국적인 사고가 아니라는 몇 년 전의 그 많은 표현들에서 벗어난 것은 고마운 일”이라고 말했다.

제조업체 측에서 오래 동안 고민하고 있는 것은 FCC가 보안 전략을 공개적으로 토의하는 것을 막는 한, 소비자들은 새로운 제품을 더 오래 기다리거나 선택의 폭을 좁힐 수밖에 없다는 것 또는 함께 노력했으면 잡을 수도 있었을 버그가 득실대는 제품을 사용할 수밖에 없을 것이라는 점이다.

SDR 포럼은 개방적인 프로세스에서 가장 성공적인 보안 기법이 나오는 경우가 많다는 증거로 전자 상거래를 안전하게 보호하는 데 널리 사용되는 기술인 SSL(Secure Socket Layer)과 국립 표준 기술 연구소(NIST)의 공개 해시 알고리즘을 들었다.

소프트웨어 무선장치 제조사들에게 그와 비슷한 자유가 없다면 “부담해야 할 가외의 짐으로 인해 겁을 먹고 움츠러들거나 일부 (소프트웨어 무선장치) 제품을 내놓는 것을 지연시킬 사람들이 있을 것”이라고 SDR 포럼의 규제 위원회 의장인 브루스 오벌리즈는 말했다. @