CentOS 단종 – 보안 이슈 고려하여 무료 레드햇 리눅스 사용하기
CentOS Linux 7이 2024년 6월 30일 지원이 종료되어, 이로 인해 CentOS 는 더 이상 배포와 유지보수를 받을 수 없습니다.
문제는 기술지원 종료 후에는 사이버 공격의 위험에 노출되어 정보 유출, 랜섬웨어 등의 피해가 발생될 우려가 있습니다.
들어가며
CentOS Linux 7 이 2024년 6월 30일 지원이 종료될 예정입니다. CentOS는 그동안 레드햇 리눅스에 대한 무료 배포 역할을 해 왔지만, 지원이 종료되면 제품 사용이 어려워집니다.
✔️CentOS 시리즈 종료 관련 주요 내용
- CentOS 9 : 출시 예정 없음
- CentOS 8 : 소프트웨어 업데이트 제공 2021년 12월 31일 종료
- CentOS 7 : RHEL 7과 마찬가지로 2024년 6 월 30일에 종료
- CentOS 6 및 이전 메이저 릴리스 : 소프트웨어 업데이트 제공 이미 종료
CentOS 단종 대책은 다른 리눅스인 RockyOS 나 레드햇 리눅스, 오라클 리눅스 등으로 전환할 수 있으나 근본적인 해결책은 될 수 없습니다.
무료로 레드햇 리눅스를 사용할 수 있는 컨테이너로 전환이 클라우드 네이티브 시대에 맞는 해결책입니다.
국내에서 가장 많이 사용하는 CentOS 7, 단종에 따른 보안 위협 증가
2024년 6월 말 The CentOS Project를 통한 CentOS 7의 유지보수가 종료됩니다. 이로 인해 기존 Red Hat Enterprise Linux(RHEL) 클론 Linux인 CentOS에 대한 배포와 유지보수를 모두 종료합니다.
기술지원 종료 후에는 취약성의 수정이 되지 않기 때문에 사이버 공격의 위험에 노출되어 정보 유출, 랜섬웨어 등의 피해가 발생될 우려가 있습니다.
특히, CentOS 7의 경우 국내 뿐만이 아니라 전 세계적으로 많이 사용되는 제품이기 때문에 가장 적극적인 사이버 공격의 표적이 될 것으로 예상됩니다.
사이버 공격의 위협은 심각해지고 있으며 특히 22년 2월 이후 우크라이나의 지정학적 위협으로 인해 강한 감염력을 가지는 멀웨어 「Emotet(이모테트)」가 급속히 확대하는 상황입니다. 이러한 상황에서 유지보수가 종료된 OS를 운영하고 서버를 방치하는 것이 얼마나 위험한지 상상하기 어렵지 않을 것입니다.
CentOS 무료 비용만 생각하다가는 보안 사고에 큰코다쳐요
교육기관이나 지자체뿐만 아니라 서비스업이나 소매점 등 일반 기업에서도 CentOS는 폭넓게 사용되고 있습니다.
특히 온라인으로 다양한 서비스를 폭넓게 제공하는 상황에서 사이버 공격에 의한 보안 사고는 공급망뿐만 아니라 사회 전체에 손해를 줄 가능성조차 있습니다.
사회 전체의 지속 가능성을 담보하기 위해서라도 현재 사용하는 시스템을 다시 한번 살펴보고 보안 대책을 강구하는 것은 긴급한 책무입니다.
하지만 CentOS 종료에 대한 심각함을 문제로 보기보다는 그 대책을 마련할 기회로 삼아야 합니다. 리눅스 OS 관련 각종 진단 서비스를 통해 자사의 상황을 분석하여 올바른 대책을 마련해야 할 때입니다.
언론에서 보는 CentOS 지원 종료로 인한 보안 위협
데일리시큐 언론사에 실린 지재춘 보안전문가의 관련 기사에 따르면 다음과 같습니다.
- 서버용 공개 OS가 지원 종료될 경우, 공격자들은 개인 컴퓨터보다 서버에 침투하려고 더욱 활발하게 활동을 한다.
- 이로 인해 OS가 지원 종료된 서버를 사용하고 있는 중소기업, 망분리 등의 정부 시책을 따르는 공공기관 및 대학교 등은 이를 인지하고, CentOS를 사용하는 시스템들은 지금이라도 이에 대한 준비 및 대안방안을 빠른 시일안에 고려하여야 한다.
- 특히, 서버의 침해사고는 개인 컴퓨터의 침해사고보다 큰 사고로 번지기 때문에 기업 및 기관 차원에서 보안 위협에 대비하는 것이 필요하다.
SI의 비용 절감 유혹과 잘못된 오픈소스의 인식
CentOS는 미국 Red Hat에서 제공하는 Red Hat Enterprise Linux (RHEL)의 호환 OS입니다.
국내에서도 기업이나 공공기관에서 RHEL을 업무용 서버에 사전 설치하여 배포하는 경우가 많은데요.
SI 업체 입장에서는 RHEL은 서브스크립션(정액제) 모델이므로 수량이 늘어날수록 비용이 부담되기 때문에 “거의 동등한 기능을 무상으로 사용할 수 있는 CentOS를 이용하면 된다”라고 추천하기도 합니다.
하지만 이는 무료를 내세워 오픈소스 SW의 메커니즘이나 운영의 이슈를 숨긴 채 시스템 담당자에게 시한폭탄을 전달하는 것이나 다름이 없습니다. 즉, 무료라고 소개하고 고객사에 책임을 떠넘기는 것입니다.
CentOS는 RHEL 배포판의 소스를 가지고 브랜드를 변경하여 배포하는 리눅스였지만 이제 더 이상 추가적인 배포판이나 업그레이드는 기대할 수 없습니다.
CentOS 단종에 따른 가장 효과적인 대책은 컨테이너입니다
많은 분이 CentOS를 대체할 수 있는 레드햇 리눅스, Rocky Linux, Alma Linux, Suse Linux 등의 다른 리눅스 배포판으로 교체에 대해 고민하고 있습니다.
하지만 가장 유의해서 생각해야 할 것은 CentOS에서 다른 리눅스로 교체한다고 해서 근본적인 문제가 해결되지는 않습니다.
다른 무료 리눅스로 마이그레이션 하더라도, 그 또한 내일 당장 단종 되거나 보안 위협이 발생하면 누구도 책임져 주지 못하는 것입니다. 근본적인 문제는 그대로 둔 채로 불필요한 중복 작업으로 인해 비용, 시간, 노력만 공허하게 허비될 뿐입니다.
해결 방법은 하드웨어 및 OS로부터 완전히 자유로워질 수 있는 컨테이너 기술 기반으로 변화하는 것입니다.
컨테이너는 OS 없이 애플리케이션을 패키징, 공유 및 배포하기 위한 최신 기술입니다. OS를 가상화하는 기술이기 때문에 OS가 없는 것이 특징이며 특정 OS 및 환경에 종속되지 않고 자유롭게 사용할 수 있습니다.
즉, 애플리케이션 배포 환경에 OS는 필요가 없으며, Java, WAS, Application이 인지 하는 라이브러리만 필요합니다. 그래서 애플리케이션에 필요한 리눅스를 지정만 하면 바로 이미지로 생성되어 배포됩니다.
맺음말(마무리)
무료 리눅스인 CentOS 단종으로 인해 무료로 사용할 수 있는 리눅스나 상용 리눅스를 고민하신다면 앞으로 또다시 리눅스를 교체할 수도 있습니다.
OS의 문제로 다른 대체 OS를 찾는 것은 “호미로 막을 것을 가래로 막는 것”과 같은 중복 투자와 의미 없는 작업일 수 있습니다.
정답은 컨테이너입니다. 컨테이너는 호스트 OS의 커널을 사용하기 때문에 OS가 필요하지 않으며 컨테이너를 통해 OS 종속에서 벗어나면 라이센스, 보안 소프트웨어 비용, 인건비 등 더 많은 혜택이 있습니다.
References
- RedHat – CentOS Linux EOL에 관해 알아야 할 모든 것
- CentOS 단종 Rocky Linux 로 바꾸면 해결? 컨테이너는 OS를 고민할 필요가 없습니다!
- CentOS 지원 종료 – 새로운 OS선택이 아닌 컨테이너로의 전환
- Convert2RHEL: 오픈소스 CentOS 리눅스에서레드햇 엔터프라이즈 리눅스(RHEL)로 전환
- Good Bye CentOS
- RedHat – CentOS Linux에서 Red Hat Enterprise Linux로 마이그레이션
- OS 없이 시스템을 운영 할 수 있는 클라우드 네이티브 (컨테이너) 기술 소개
- 데일리시큐- [이재춘의 시큐리티 노트-1] ‘센트OS’ 지원 종료로 인한 보안 위협
Convert2RHEL: 오픈소스 CentOS 리눅스에서 레드햇 엔터프라이즈 리눅스(RHEL)로 전환 (1)
/in Linux, OPENMARU, Red Hat, Tech Talk, 오픈소스/by 오픈마루 마케팅0컨테이너 기술과 개발자
/in Kubernetes, 분류되지 않음/by 실장 님쿠버네티스 도입해야 하는 이유 – 기획자/운영자/개발자 측면
/in Container, Kubernetes, OpenShift, 분류되지 않음, 오픈소스/by 실장 님