오라클 데이터베이스(DB)의 패치관리 정책에 대한 강력한 비판이 이달 개최된 ‘유럽 컴퓨터 오딧’에서 제기됐다.

제기된 지적들은 오라클이 새로 발견된 취약성에 대한 패치 생성을 매우 소홀히 하고, 패치 설치가 아주 복잡하다는 것 등이었다.

또한 이런 것에 불만을 가진 고객들이 타사 DB로 이전하지 못하도록, 오라클이 고객들을 자사 DB에 매우 의존적으로 만들어 놓았다는 지적도 제기됐다.

IDG뉴스서비스는 이런 지적들을 제기한 컨설팅 회사인 DCIT AS의 데이터베이스 전문가 카렐 미코의 발표 내용을 최근 자세히 보도했다.

미코는 DB 세션 발표를 통해 “오라클은 패치관리를 향상시킬 필요가 있다”며 “특정 패치관리 영역에 있어선 마이크로소프트보다 5년은 뒤떨어져 있다”고 밝혔다.

“마이크로소프트가 ‘신뢰할 수 있는 컴퓨팅(TwC)’을 발표했을 때, 많은 사람들이 웃었다. 그러나 지금은 실질적인 차이를 볼 수 있다”고 미코는 밝혔다.

TwC는 2001년 마이크로소프트가 내놓은 보안정책으로, 다양한 보안이슈들을 해결하기 위해 제품 설계과정부터 통째로 바꾸겠다는 MS의 의지 표명이었다.

“마이크로소프트는 중앙집중식 패치관리 툴을 제공해, 고객들이 어떤 패치들이 잘못되어 있는지 직접 볼 수 있도록 한다. 하지만 오라클은 이런 기능을 제공하지 않고 있다.”고 미코는 밝혔다.

그는 또 “오라클은 또 DB를 안전하게 유지하길 원하는 기업들에게 적절한 대안을 제공하지 못하고 있다”며 “특히 오라클은 패치를 다운로드한 후 이를 설치하는 것을 아주 복잡하게 만들어 놨다”고 밝혔다.

게다가 오라클은 새로운 취약성(vulnerability)에 대한 아주 이상한 접근법을 갖고 있다고 미코는 지적했다.

“한 독립 컨설턴트가 오라클에게 취약성에 지적한 바 있다. 3달이 흘러도 오라클은 아무런 개선책을 내놓지 않았다. 6개월, 1년이 지난 후에도 여전히 아무런 일이 일어나지 않았다. 오라클은 아마도 제기된 취약성들을 늘어놓고, 필요에 따라 이들을 가끔씩 해결하는 모양이다.”

미코는 숨을 고르지 않고 오라클 DB에 대한 지적을 계속 이어갔다.

“고객들은 데이터베이스 1위 기업인 오라클에게 매우 의존적인 상황이다. 만약 기업들이 오라클 데이터베이스 기반의 애플리케이션을 갖고 있다면, 애플리케이션을 변경할 방법이 없을 것이다.”

미코는 또 오라클의 DB 보안이 매우 미흡하다고 지적했다. 그는 “비록 오라클이 새로운 보안 기능들을 추가해왔지만, 고객들은 그것들의 이점을 취하지 못하고 있다”고 밝혔다.

“솔직하게 말해, 많은 고객들이 오라클 DB 버전 8 이래 이 회사가 내어 놓은 기초 자료집(basic stuff)을 거의 이용하지 못하고 있다”

그는 이에 따라 “모든 오라클 사용자들이 오라클 DB의 보안을 걱정해야 할 시점이 다가올 것”이라고 지적했다.