지난 2009년 오라클의 썬마이크로시스템즈 인수가 발표됐을 때 IT업계에는 적지 않은 우려가 있었습니다. 썬이 보유한 기술들이 IT 산업의 공공재적인 성격을 띤 것들이 많았기 때문입니다. 자바가 대표적입니다.

당시 자바는 널리 사용되는 공개 표준 기반 개발 플랫폼이었습니다. 900만 이상의 개발자들이 자바 기반의 프로그램을 제작하고 있고, 기업용 PC의 97%와 약 30억대의 이동전화, 50억개의 자바 카드, 80억대의 TV 장치가 자바 기반으로 구동되고 있습니다.

썬은 자바라는 초히트 플랫폼을 개발했지만 이것을 수익으로 연결시키지는 못했습니다. 자바의 주인은 썬이었지만 IBM 등 경쟁사들이 자바 생태계를 키웠다고 평가받았습니다.

반면 썬과 달리 오라클은 IT산업계에서 기술을 수익으로 전환하는데 가장 뛰어난 능력을 발휘하는 회사입니다. 오라클이 자바를 수익창출 도구로 활용하거나, 수익이 크지 않을 경우 자바에 대한 투자를 줄일 것이는 업계의 우려가 적지 않았습니다. 이에 대해 오라클은 '오해'라며 자바에 대한 투자를 더욱 강화할 것이라고 주장해왔습니다.

그러나 최근 자바7에 보안 취약점 문제로 인해 IT 업계의 우려가 현실화 되는 것처럼 보입니다. 오라클이 자바의 보안 문제에 크게 신경쓰지 않는 인상을 주기 때문입니다.

지난 연말부터 자바7의 보안취약점이 업계의 큰 문제로 떠올라 있습니다. 자바7의 업데이트 10에서 심각한 취약점이 노출됐고 이로 인해 애플은 맥컴퓨터에서 자바를 차단하기도 했습니다. 파이어폭스도 기본 설정을 자바가 실행되지 않도록 했습니다. 꼭 필요한 사용자만 자바를 별도로 실행시켜 사용하라는 것입니다.

자바7 업데이트10의 보안 취약점을 해결하기 위해 오라클이 업데이터 11을 내 놓았지만 문제는 해결되지 않았습니다. 업데이트 이후에도 취약점이 계속 나타나고 있습니다.  미국 국토안보부조차 "웹 브라우저에서 반드시 자바를 써야 하는 경우가 아니라면 '사용하지 않음'으로 기본 설정을 바꾸라"고 경고했습니다.

러시아의 보안업체 카스퍼스키 랩의 IT 보안 보고서에 따르면 2012년 3분기의 공격 중56%가 자바 취약점을 이용한 것이었습니다. 자바는 공격자들의 놀이터였던 것입니다.

문제는 오라클이 자바 보안 취약점 문제 해결에 적극적인 인상을 주지 않고 있다는 점입니다. 이번에 문제가 발생한 이후에도 오라클은 어떤 공식 입장표명도 하지 않았습니다. 취약점이 해결되고 있는지, 해결이 어려운 것인지 아무런 설명도 없었습니다.

지금까지 보안에 취약하다고 많은 지적을 받았던 플랫폼은 마이크로소프트의 윈도와 인터넷익스플로러였습니다. 그러나 카스퍼스키 랩 보고서에 따르면, MS 플랫폼을 통한 공격이 벌어진 사례는 4%에 불과했습니다. MS가 지난 몇년 동안 보안 문제 해결에 엄청난 노력을 펼쳤기 때문에 MS는 보안에 취약한 플랫폼이라는 오명을 벗을 수 있게 됐습니다.

카스퍼스키 랩의 안티바이러스 수석 연구연인 로엘 슈웬버그(Roel Schouwenberg)는 오라클의 안이한 태도를 노골적으로 비판합니다. 그는 "IT 업체들이 지난 몇 년 동안 자사 제품의 보안 향상을 이뤘는데 오라클은 전혀 움직임이 없다"면서 "소프트웨어의 보안을 강화하기 위해, 적어도 업데이트 방식을 개선하기 위해 오라클은 아무런 노력도 하지 않는다"고 말했습니다.

그는 특히 "오라클은 쉽게 해결할 수 있는 취약점이 있음을 알면서도 몇 달동안이나 수정하지 않고 그대로 사용하고 있다"면서 "보안 취약점 해결을 위한 오라클의 대응이 개선되지 않는다면 자바를 사용하지 않는 것이 최선의 방법"이라고 일갈했습니다.

댓글 쓰기