리눅스를 많이 사용하는 IT 대기업은 리눅스 커널을 자체적으로 수정하여 신기능을 추가하는 경우가 있습니다. 이렇게 고친 리눅스 커널을 해당 대기업이 자사 제품에 적용하는 것은 (라이센스만 지킨다면) 자유지만, 그 변경사항을 리누스 토르발즈가 관리하는 공식 리눅스 커널인 메인라인(mainline) 소스 코드에 반영하는 것은 결코 쉬운 일은 아닙니다. 보안성 검토를 비롯하여 커뮤니티 차원의 검증을 거쳐야 하기 때문이지요. 그래도 구글이나 MS, 아마존 같은 대기업은 리눅스 커널 개발에 상당히 기여하고 있습니다.
얼마 전, 중국의 통신기술 분야 대기업인 화웨이가 HKSP(Huawei Kernel Self Protection)라는 이름으로 보안 기능을 추가하는 패치를 리눅스 커뮤니티에 제출했습니다. 그러자 리눅스 커널에 추가적인 유료 보안강화 패치를 제공하는 grsecurity에서 이 패치를 조사하였고, 그 결과 사소하지만 악용 가능한 보안 취약점이 있기 때문에 메인라인 소스 코드에 병합할 수 없다는 결론이 나왔습니다. grsecurity는 이 내용을 블로그에 올렸습니다.
그러자 ‘화웨이가 리눅스 커널에 백도어를 심으려 했다!’는 루머가 온라인 상에서 퍼져나가기 시작했습니다. 심지어 어떤 언론에서는 이것이 화웨이가 처음으로 리눅스 커널에 손을 대려 한 것이라는 잘못된 정보를 퍼트리기도 했다고 합니다. 이에 grsecurity 측에서는 블로그 글을 업데이트하여 [우리는 이것이 백도어라고 한 적이 없으며, 문제의 패치가 메인라인에 병합될 가능성도 없고, 화웨이는 예전에도 이미 여러 차례 리눅스 커널에 기여했었다]는 점을 서두에 밝혔습니다.
한편, 화웨이는 이 패치로 인해 구설에 오르게 되자 [해당 패치는 우리 회사에서 공식적으로 관여한 것이 아니며, 일개 직원의 개인 프로젝트일 뿐이다]라고 주장하였습니다. 그러나 문제의 프로젝트에는 화웨이라는 이름이 맨 처음부터 나오고 있으며, 또한 ‘일개 직원’이라던 사람은 화웨이 내부에서 가장 높은 등급을 가진 보안 담당자라는 것이 드러났습니다. 따라서 이러한 주장은 설득력이 없어 보입니다.
사실 ‘보안 기능’이랍시고 추가한 기능이 제3자의 검증 결과 오히려 보안을 취약하게 만드는 것으로 드러나는 경우가 드문 것은 아닙니다. 당장 삼성전자가 스마트폰용 커널을 자체적으로 손댄 것에 대해 구글의 프로젝트 제로 팀이 보안상 허점을 지적한 일이 얼마 전에 있었죠. 하지만 화웨이가 추가한 보안 기능의 보안 허점에 대해 유독 백도어 수작질이 아니냐며 격한 반응이 나오는 것은 그동안 있었던 각종 일들 때문에 화웨이에 대해 쌓여 있던 반감이 일부 드러나는 것이라고 볼 수 있겠습니다.