OpenBSD 7.9 출시, '가장 안전한 OS'는 어떻게 진화하고 있을까

OpenBSD가 또 한 번 새 옷을 갈아입었어요

혹시 OpenBSD라는 이름을 들어보셨나요? 리눅스나 우분투, macOS는 익숙해도 OpenBSD는 좀 낯설 수 있는데요. 이게 뭐냐면, 유닉스 계열 운영체제 중에서도 "보안과 코드 정확성"을 최우선으로 두는 것으로 유명한 OS예요. 1996년에 시작해서 지금까지 6개월에 한 번씩 꼬박꼬박 새 버전을 내놓고 있는데, 이번에 7.9 버전이 정식 출시됐어요.

왜 개발자들이 OpenBSD에 관심을 가지냐면요, 우리가 매일 쓰는 OpenSSH(서버 원격 접속할 때 쓰는 그 SSH 맞아요), LibreSSL(HTTPS 통신할 때 쓰는 암호화 라이브러리), 그리고 pf(방화벽) 같은 핵심 도구들이 다 OpenBSD 프로젝트에서 탄생했거든요. 다시 말해, 우리가 매일 사용하는 인프라의 깊은 곳에 OpenBSD의 흔적이 있다는 뜻이에요. 그래서 6개월마다 나오는 릴리즈가 단순한 "마이너 OS의 업데이트" 그 이상의 의미를 가져요.

이번 7.9에서 뭐가 달라졌나요

이번 릴리즈의 큰 줄기는 하드웨어 지원 확대와 보안 강화예요. 우선 ARM64 플랫폼 지원이 한층 더 좋아졌어요. 애플이 M1, M2, M3 칩으로 자체 실리콘 시대를 열면서 ARM 아키텍처가 데스크톱에서도 중요해졌잖아요. OpenBSD도 그 흐름에 발맞춰서 Apple Silicon 맥에서 더 잘 돌아가도록 드라이버와 펌웨어 처리를 다듬었어요. 라즈베리파이 같은 보드는 물론이고, 최신 ARM 서버에서도 안정성이 좋아졌고요.

커널 쪽도 흥미로워요. OpenBSD는 예전부터 "권한 분리(privilege separation)"라는 개념을 적극적으로 써왔는데요, 이게 뭐냐면 한 프로그램을 작은 조각들로 쪼개서 각각 최소한의 권한만 주는 방식이에요. 한 부분이 뚫려도 전체가 무너지지 않게 만드는 거죠. 이번 버전에서는 이 사상을 더 깊게 적용해서, 시스템 콜(프로그램이 OS에게 "이거 해줘"라고 부탁하는 통로) 수준에서 더 정밀하게 통제하는 기능들이 보강됐어요. pledge()와 unveil() 같은 기존 메커니즘이 더 촘촘해진 셈이에요.

네트워크 스택에서도 변화가 있어요. WireGuard VPN의 커널 내장 지원이 더 안정화됐고, IPsec 처리 속도도 개선됐어요. 패키지 관리 도구인 pkg_add, pkg_info도 손질이 들어가서 의존성 해결이 더 빨라졌고요. 데스크톱으로 쓰는 분들에겐 X.Org, Mesa, LLVM, GCC 같은 핵심 컴포넌트들이 최신으로 올라온 것도 반가운 소식이에요.

다른 BSD, 그리고 리눅스와 비교하면

BSD 계열에는 FreeBSD, NetBSD, OpenBSD 이렇게 "빅3"가 있어요. 셋 다 뿌리는 같지만 성격이 좀 달라요. FreeBSD는 성능과 실용성에 집중해서 넷플릭스 같은 회사가 스트리밍 서버로 쓰고 있고, NetBSD는 "세상 모든 하드웨어에서 돌아간다"는 슬로건으로 토스터부터 우주선까지 별의별 곳에 포팅돼요. OpenBSD는 그중에서도 보안에 가장 까칠해요. "기본 설치 상태에서 원격 취약점이 거의 발견되지 않았다"는 게 자랑이거든요.

리눅스와 비교하면 철학이 또 달라요. 리눅스는 "커널"이고, 그 위에 우분투, 데비안, 페도라 같은 디스트리뷰션이 쌓이는 구조잖아요. 반면 OpenBSD는 커널부터 유저랜드(셸, 컴파일러, 시스템 도구 같은 것들)까지 한 팀이 통합해서 관리해요. 그래서 일관성이 높고, 문서화(man 페이지)가 진짜 깔끔하기로 유명해요. 리눅스 man 페이지 보다 답답했던 분이라면 OpenBSD 매뉴얼을 한 번 열어보세요. 차이가 확 느껴질 거예요.

한국 개발자에게 어떤 의미일까

실무에서 OpenBSD를 메인 서버 OS로 쓰는 한국 회사는 많지 않아요. 클라우드 환경이 대부분 리눅스 기반이고, AWS나 GCP에서 BSD를 굴리는 건 좀 번거롭거든요. 그럼에도 이걸 알아둘 가치가 있는 이유는 두 가지예요.

첫째, 보안을 공부하기에 정말 좋은 교재예요. pledge, unveil, W^X(메모리 권한 분리) 같은 개념들은 다른 OS에서도 점차 채택되고 있는 흐름이라서, 원조 격인 OpenBSD 소스 코드를 들여다보면 "왜 이렇게 설계했는지" 맥락이 잡혀요. 둘째, 방화벽이나 라우터, VPN 게이트웨이 같은 인프라 박스를 직접 구성하고 싶다면 OpenBSD가 여전히 최강의 후보예요. pf 방화벽 문법은 iptables보다 훨씬 사람 친화적이고, 작은 미니PC에 올려서 홈랩으로 운영하기에도 잘 어울려요.

최근 보안 사고가 끊이지 않는 상황에서, "보안을 최우선으로 설계한다는 게 어떤 의미인지" 직접 체험해 보고 싶다면 가상머신에 OpenBSD 7.9를 한 번 설치해 보는 것도 좋은 주말 프로젝트가 될 것 같아요.

마무리

6개월에 한 번씩, 26년째 흔들림 없이 새 버전을 찍어내는 프로젝트의 꾸준함은 그 자체로 배울 점이 많아요. 화려한 기능보다 "기본기와 정확성"을 중시하는 OpenBSD의 철학이, 빠르게 돌아가는 우리 업계에 던지는 메시지는 묵직하거든요.

여러분은 보안과 개발 생산성 사이에서 어떤 균형을 잡고 계신가요? OpenBSD처럼 "기본부터 안전하게"라는 접근이 한국 스타트업 환경에서도 현실적일까요, 아니면 너무 보수적인 접근일까요?