최근 보도된 특정 기업의 랜섬웨어 피해 원인을 설명하는 기사에서, ‘닷넷 프레임워크’를 사용하는 시스템을 낙후된 기술로 묘사하고, 더 나아가 닷넷 기술 전반이 마치 산업계에서 외면받고 있는 것처럼 오해할 수 있는 표현이 포함되어 있었습니다.
기술적 사실을 바탕으로 사고 원인을 분석하는 시도는 바람직합니다. 그러나 닷넷 프레임워크(.NET Framework) 와 현재 활발히 개발되고 있는 닷넷(.NET 6/7/8/9/10) 을 구분하지 않고 기술을 논하는 방식은, 독자와 업계 모두에게 부정확한 인식을 남길 수 있다는 점에서 신중한 접근이 필요합니다.
기술적으로 닷넷을 살펴보면 다음과 같습니다
닷넷 프레임워크(.NET Framework) 는 윈도우 OS 전용으로, 4.8.1 버전이 최신 버전이며 현재도 지속적으로 보안 패치가 마이크로소프트에 의해 제공되어 여전히 많은 레거시 시스템에서 운용되고 있습니다.
반면, 닷넷(.NET Core 및 .NET) 은 오픈소스 기반의 크로스플랫폼 프레임워크로, 닷넷 8은 현재 LTS(장기 지원) 버전으로서 다양한 운영체제와 클라우드 환경에서 광범위하게 사용되고 있습니다.
닷넷은 현대적인 웹 애플리케이션, 분산 시스템, 모바일 앱, AI 및 클라우드 개발의 기반 기술로 계속해서 진화하고 있으며, 글로벌 개발 생태계에서 꾸준히 신뢰받고 있습니다.
2024년에 진행된 스택오버플로우 개발자 설문조사에 따르면, 닷넷은 백엔드·풀스택 개발 영역에서 여전히 상위권 점유율을 유지하고 있습니다.
닷넷 최신 버전은 성능, 생산성, 보안 등 모든 면에서 글로벌 경쟁력을 갖추고 있습니다.
닷넷은 오픈소스와 글로벌 커뮤니티 기반의 생태계입니다
닷넷은 마이크로소프트 단일 기업에 종속된 기술이 아닙니다.
2014년 이후 닷넷은 오픈소스(MIT 라이선스)로 전환되어 GitHub 등에서 공개적으로 개발되고 있습니다.
또한 닷넷 재단 (.NET Foundation) 이라는 마이크로소프트와 무관한 비영리 독립 조직이 있습니다. 닷넷 재단은 다양한 글로벌 기업·개인·커뮤니티의 참여를 바탕으로 수십 개의 대표적인 오픈소스 프로젝트를 관리·육성하며, 60여 개 이상의 대표적인 오픈 소스 소프트웨어 프로젝트를 육성하고 있습니다.
닷넷 재단의 활동 뿐 아니라 Avalonia, Uno, Hangfire, Umbraco, OpenSilver 등 널리 쓰이는 기술과 플랫폼이 다양한 개발자 커뮤니티에 의해 주도적으로 개발되고 있습니다.
닷넷 생태계는 현재도 업계에서 널리 사용되고 있습니다
닷넷은 지금 이 순간에도 수많은 서비스와 기업 내부 시스템의 기반으로 활용되고 있습니다.
AWS, Google Cloud, JetBrains 등 다양한 글로벌 IT 기업들이 닷넷 실행 환경 및 개발 환경을 공식 지원하며, 실제로 주요 클라우드 인프라 환경에서 닷넷은 주요 애플리케이션 개발 스택으로 널리 활용되고 있습니다.
국내외 많은 엔터프라이즈 환경에서도 닷넷은 신뢰성과 확장성을 바탕으로 중요한 역할을 수행하고 있습니다.
기술의 문제보다 중요한 것은 ‘운영과 관리’입니다
이번 사고에서 가장 본질적인 문제는 보안 패치가 종료된 운영체제를 수년간 방치한 운영 환경에 있습니다. 이는 특정 기술 스택의 문제가 아니라, 시스템에 대한 지속적인 관리와 갱신을 소홀히 한 조직 차원의 리스크 관리 실패입니다.
어떤 기술이든 적절히 관리되고 유지되지 않으면 위험 요소가 발생할 수 있습니다. 기술 선택의 문제가 아니라, 그 기술을 어떻게 운영하고 있는가가 핵심입니다.
맺음말
기술은 단순히 ‘오래되었는가’가 아니라, 어떻게 사용되고 관리되고 있는가가 중요합니다.
닷넷 기술 전반이 취약하다는 식의 과도한 일반화는 개발자와 기술 커뮤니티 모두에게 부정적인 영향을 줄 수 있습니다.
정확한 기술 구분과 지속적인 이해를 바탕으로, 건전한 기술 논의가 이어지기를 기대합니다.
독립적 입장 표명
본 입장문은 특정 기업 이해관계가 아닌, 공개 개발자 커뮤니티의 독립적 입장임을 밝힙니다.
그나저나 Y사가 관리를 소홀히 한 것은 맞죠. Y사 티켓 서비스는 아직까지 전면 TLS 지원을 안하고 있습니다. .aspx로 끝나서 현역이 아닌 웹폼을 사용할 가능성이 높았는데 이번에 관리를 소홀히 한 것이 드러났기에 웹폼을 사용할 가능성이 더더욱 높아졌고요. 물론 여러 사정으로 레거시를 붙들 수 밖에 없기야 하겠지만 그래도 제때 ASP.NET core MVC 등으로 바꾸는게 맞죠.
그나저나 전자정부프레임워크는 지원 종료된 스프링부트 버전을 쓰고 있는데 언론은 거기에 관해서 문제제기를 왜 안하는지 의문입니다. 이번에 발표된 것도 현역 버전인 3.5.x는 고사하고 3.3.x도 지원하지 않다라고요. 🚨2023년 11월 18일부터 Spring Boot 2.7에 대한 Opensource 지원이 종료될 예정입니다. | Woorim Lee 2.7 지원 종료될 당시에 한국인 브로드컴 마케팅 직원이 링크드인에 경고한 바 있는데 말이죠. 지금은 다른 회사로 이직했지만, 링크 글 쓸 당시에는 브로드컴의 스프링 개발 파트의 마케팅팀 직원이었습니다. 스프링과 부트는 VMware Tanzu에서 개발하고 있었고 VMware가 통째로 브로드컴에 먹혀서 지금은 브로드컴이 개발하고 있습니다.