리눅스 X11의 보안 구멍, 컨테이너(LXC)로 막아보기

옆 창이 내 키보드 입력을 훔쳐본다고요?

리눅스 데스크톱을 쓰는 분이라면 화면에 창을 띄워주는 시스템인 X11(X Window System)을 매일 쓰고 계실 거예요. 그런데 이 X11에는 좀 무서운 비밀이 있어요. 1980년대에 설계된 오래된 시스템이라, 보안이라는 개념이 거의 없던 시절에 만들어졌거든요.

무슨 문제냐면, 같은 X 서버에 연결된 모든 프로그램이 서로를 훤히 들여다볼 수 있어요. 예를 들어 여러분이 은행 사이트에서 비밀번호를 칠 때, 백그라운드에서 돌아가는 전혀 상관없는 다른 프로그램이 그 키보드 입력을 몰래 가로챌 수 있다는 거예요(키로깅). 화면을 통째로 캡처하거나, 다른 창에 가짜 입력을 집어넣는 것도 가능하고요. 앱끼리 격리(isolation)가 안 되어 있어서 그래요. 그래서 요즘 리눅스가 Wayland라는 새 시스템으로 갈아타는 거고요. 하지만 아직도 수많은 프로그램이 X11에서만 제대로 돌아가는 게 현실이죠.

이번에 소개할 글은, 이 X11을 계속 쓰면서도 보안 구멍을 막는 방법으로 LXC(Linux Containers, 리눅스 컨테이너)를 활용하는 아이디어예요.

컨테이너로 앱을 가두는 원리

여기서 "컨테이너가 뭐냐면", 도커(Docker)를 떠올리면 쉬워요. 프로그램을 마치 별도의 작은 상자 안에 넣어서, 바깥 시스템이나 다른 프로그램과 격리한 채 실행하는 기술이거든요. LXC는 그 컨테이너 기술의 한 종류고요.

핵심 아이디어는 이래요. 위험할 수 있는 X11 프로그램(예: 잘 모르는 출처의 앱)을 컨테이너 안에 가두고, 그 안에서 그 앱 전용의 별도 X 서버를 띄우는 거예요. 이때 Xephyr 같은 "중첩 X 서버(nested X server)"를 쓰면, 컨테이너 안의 앱은 자기만의 작은 X 화면 안에서만 놀게 돼요. 메인 화면의 다른 앱들과는 완전히 분리되니까, 설령 그 앱이 악성코드라 해도 바깥의 내 비밀번호 입력을 훔쳐볼 수가 없는 거죠. 키보드 입력도, 화면 캡처도 그 상자 안에서만 가능하니까요.

이 방식의 장점은 Wayland로 통째로 갈아타지 않고도, 또 앱을 고치지 않고도 격리를 만들어낼 수 있다는 거예요. 특히 출처가 불분명한 GUI 프로그램이나, 신뢰하기 애매한 도구를 잠깐 실행해봐야 할 때 유용해요.

다른 격리 방법들과 비교하면

X11의 보안 문제를 푸는 길은 여러 갈래예요. 가장 근본적인 해법은 앞서 말한 Wayland로 가는 거예요. Wayland는 설계 단계부터 앱끼리 서로 못 들여다보게 격리를 기본으로 깔았거든요. 하지만 호환성 문제로 아직 전환 중이죠.

좀 더 가벼운 방법으로는 Firejail이나 Flatpak의 샌드박스가 있어요. 앱의 파일·네트워크·X11 접근을 제한하는 도구들이고요. 보안을 극한으로 추구하는 Qubes OS는 아예 모든 앱을 가상머신 단위로 쪼개서 돌려요. 이번 LXC 방식은 이 중간 어디쯤에 있는, "이미 쓰고 있는 리눅스 환경에서 컨테이너 도구만으로 실용적인 격리를 만드는" 접근이라고 보면 돼요.

한국 개발자에게는?

리눅스를 개발 환경이나 서버로 쓰는 분이라면 이 이야기는 두 가지로 와닿을 거예요. 첫째, 보안의 관점이에요. "GUI 앱은 다 안전하겠지"라고 막연히 믿었다면, X11 환경에서는 그게 사실이 아니라는 걸 알아두는 게 좋아요. 신뢰할 수 없는 프로그램을 그냥 데스크톱에서 실행하는 건 생각보다 위험하거든요.

둘째, 컨테이너 활용의 관점이에요. 우리는 보통 컨테이너를 서버 배포용으로만 생각하는데, 이렇게 데스크톱 앱 격리나 보안 샌드박스 같은 곳에도 응용할 수 있다는 발상의 전환을 얻을 수 있어요. LXC, Xephyr 같은 도구를 직접 만져보면 리눅스 그래픽 스택과 격리 메커니즘을 이해하는 좋은 실습이 되고요.

한 줄로 정리하면, "오래된 X11의 보안 한계는, 컨테이너라는 익숙한 도구로도 상당 부분 막을 수 있다"는 거예요. 여러분은 신뢰하기 애매한 프로그램을 실행할 때 어떤 격리 방법을 쓰시나요?