읽는 시간
8분

안전이 필수적인 시스템에 Linux를 도입하려는 팀들은 인증 및 체크리스트를 활용하는 경우가 많습니다. “커널을 감사할 수 있는가?”, “정적 분석을 사용하는 것이 좋은가?”, “컨설턴트의 허가가 가능한가?”와 같은 질문은 특히 기능 안전이 법적 의무사항인 산업에서 충분히 가능한 질문들입니다. 그러나 이러한 질문에는 깊은 오해가 반영되어 있습니다.

기능 안전은 사후에 추가할 수 있는 것이 아닙니다. 철저한 서류 조사나 성공적인 감사의 결과도 아닙니다. 이는 단일 코드 라인에 대한 준수 여부를 평가하기 이전에 아키텍처 수준에서 내린 결정의 결과입니다. 이 블로그에서는 오픈 소스 소프트웨어를 사용한 안전 성공 사례가 문서화가 아닌 분리, 제어 및 설계에서 시작되는 이유를 살펴봅니다.

또한 EB corbos Linux for Safety Applications가 이러한 철학을 어떻게 실천에 옮기고 있는지 살펴봅니다.

 

사후 인증의 환상

많은 팀이 안전에 대해 논의할 때, 충분히 노력만 하면 무엇이든 인증을 받을 수 있다고 믿습니다. 이러한 믿음은 흔히들 선택하는 잘못된 전략으로 이어집니다. 즉, 표준 Linux로 시작한 다음, 이를 “안전화”하려고 시도하는 것입니다. 팀은 감사를 도입하고, 정식 도구를 실행하며, 긴 아티팩트 목록을 생성합니다. 그 결과, 서류 작업이 산더미처럼 쌓여만 가고 진전은 거의 없습니다.

핵심 문제는 Linux가 설계상 기능 안전을 위해 개발되지 않았다는 점입니다. Linux는 광범위하고 협업적인 커뮤니티 중심의 OS로, 범용 컴퓨팅에 최적화되어 있습니다. Linux는 요구사항을 추적하지도, 결정성을 우선시하지도 않습니다. 그리고 명확한 문서화나 하위 호환성이 없는 경우가 많으며, 빠르게 변화합니다.

이러한 시스템을 사후에 인증하려고 하면 막다른 골목으로 치닫는 경우가 많습니다. 이로 인해 업무는 기하급수적으로 증가하고, 논쟁은 점점 격렬해지며, 시간과 엔지니어링 비용이 급증합니다. 더 심각한 문제는 안전 평가자가 시스템이 안전하지 않다는 이유가 아니라 안전성을 설득력 있게 입증할 수 없다는 이유로 인증을 거부할 수 있다는 것입니다.

기능 안전은 단순히 동작에 관한 것만이 아니라 예측 가능성, 투명성, 신뢰에 관한 것입니다. 이러한 특성은 안전 감사만으로는 얻을 수 없고 반드시 설계 단계에서부터 고려되어야 합니다.

 

격리 및 워치독(watchdog) 기능이 서류 작업보다 더 중요한 이유

안전 관련 분야에서 Linux를 사용하는 것이 목표라면, 이에 대한 올바른 질문은 “Linux를 어떻게 인증할 것인가?”가 아니라 “Linux가 어떻게 실제로 안전해야 하는 부분을 간섭하지 않도록 할 것인가?”입니다.

이러한 통찰력은 과제의 초점을 인증에서 아키텍처로 전환합니다. 기능 안전은 안전 경계를 정의하고, 특히 Linux와 같은 크고 복잡한 OS에서 그 경계를 위반하는 요소가 없도록 보장하는 것입니다.

여기에는 격리, 감독, 페일오버(failover)와 같은 개념이 필수적입니다. Linux 자체의 안전성을 증명하려고 노력하는 대신, Linux가 해를 끼치지 못하도록 다음과 같은 방식으로 시스템을 설계할 수 있습니다.

• 안전 기능과 엄격하게 분리된 가상화 파티션에서 Linux를 실행합니다.
• 워치독을 사용하여 Linux 도메인을 모니터링하고 오작동이 발생하면 복구를 트리거합니다.
• 안전에 필수적인 I/O를 전용 하드웨어 또는 마이크로컨트롤러로 리디렉션합니다.
• Linux와 안전 기능 간에 공유되는 모든 리소스를 엄격하게 제어합니다.

이러한 기술은 새로운 것은 아니지만, 안전 감사 중심의 접근 방식에 밀려 종종 간과되곤 합니다. 하지만 이는 실수입니다. 격리하면 제어가 가능해지고 워치독을 사용하면 안심할 수 있습니다. 이 두 가지를 함께 사용하면 안전 목표를 저해하지 않고 Linux와 같은 강력하고 유연한 구성요소를 사용할 수 있습니다.

또한 입증에 대한 부담도 덜 수 있습니다. 더 이상 Linux 커널 코드의 모든 라인이 안전하다고 애써 주장할 필요가 없습니다. 안전 도메인이 Linux가 할 수 있는 모든 것으로부터 보호되고 있음을 설계 단계에서 입증하는 것이기 때문입니다.

 

기능 안전에 대한 판도를 바꾼 EB corbos Linux

EB corbos Linux for Safety Applications는 처음부터 이러한 아키텍처적 사고방식을 바탕으로 개발되었습니다. EB corbos Linux는 Linux를 안전하게 만드는 데 중점을 두지 않습니다. 오히려 설계 단계에서부터 Linux를 안전 시스템에서 사용할 수 있도록 합니다.

이를 가능하게 한 핵심적인 혁신은 아키텍처 분리입니다. EB corbos Linux는 안전 인증 구성요소와 함께 가상화 환경에서 실행되며, 안전 경계를 위반하지 않도록 세심하게 제한되어 있습니다. 그 결과, 안전 논증에 필요한 격리 및 예측 가능성을 유지하면서 풍부하고 현대적인 소프트웨어 스택을 지원하는 시스템으로 탄생했습니다.

아키텍처에는 다음이 포함됩니다.

• 실시간 및 임베디드 용도로 특별히 구성된 강화된 Linux 커널
• Linux 동작을 모니터링하는 최소한의 추적 가능한 안전 감독 기능
• 제어된 인터페이스를 갖춘 명확하게 정의된 프로세스 간 통신 메커니즘
• 안전 기능과 비안전 기능이 검증 가능한 독립성을 유지하면서 공존하기 위한 ASIL 분해 (Decomposition) 지원

이러한 모델에서는 Linux를 인증할 필요가 없습니다. 대신, 안전 사례는 격리 및 감독 메커니즘을 기반으로 합니다. 이렇게 하면 복잡성이 줄어들 뿐만 아니라 전체 시스템의 신뢰성과 감사 가능성이 크게 향상됩니다.

진짜 혁신적인 부분은 이것이 가능하게 하는 것입니다. EB corbos Linux를 통해 개발자는 안전 목표를 위험에 빠뜨리지 않고도 최신 툴, 미들웨어 및 애플리케이션을 자유롭게 사용할 수 있습니다. EB corbos Linux는 개방형 혁신과 인증된 보증이라는 두 가지 장점을 모두 제공합니다.

 

안전 프로젝트를 위해 OSS를 평가하는 팀을 위한 시사점

임베디드 시스템에서 오픈 소스 소프트웨어의 중요성이 커지고 있는 것은 명백한 사실입니다. 개발자는 자신이 잘 아는 것을 사용하고 싶어 하고, 기업은 벤더에 종속되는 것을 피하고 싶어합니다. 그리고 Linux와 같은 플랫폼이 제공하는 기능은 그냥 지나치기엔 너무 유용합니다.

하지만 안전에는 규율이 필요합니다. 안전이 필수적인 애플리케이션에 OSS를 고려하는 팀을 위한 몇 가지 중요한 시사점이 있습니다.

• 컴플라이언스가 아닌 아키텍처부터 시작하십시오. 안전 경계를 정의하고 격리를 염두에 두고 설계하며 그에 따라 구성요소를 선택하십시오.
• 격리할 수 있는 것만 인증하려고 하지 마십시오. 가상화, 프로세스 간 분리, 워치독을 통해 신뢰할 수 없는 코드가 안전성에 영향을 주지 않도록 하십시오.
• 실제 안전 분야 경험이 있는 파트너와 함께하십시오. 상용 OSS는 성능은 뛰어나지만 체계적이지 않습니다. EB corbos Linux와 같은 솔루션은 구조, 거버넌스, 보증을 통합적으로 제공합니다.
• 안전 표준을 이해하십시오. ISO 26262, IEC 61508 등의 표준은 모든 것의 인증을 구하지 않습니다. 대신, 설계를 통해 위험이 완화된다는 신뢰할 수 있는 근거를 요구합니다.
• 적절한 도구와 프로세스에 투자하십시오. 형식적인 방법, 추적성 및 테스트는 여전히 중요합니다. 하지만 이러한 방법 역시 처음부터 안전을 위해 설계된 시스템에서 사용될 때 훨씬 더 효과적입니다.

기능 안전과 오픈 소스는 양립할 수 없는 것이 아닙니다. 그러나 이들이 양립하려면 아키텍처가 중요합니다. 경계를 설정하고, 분리를 시행하며, OSS가 위험을 초래하지 않는 부분에서 OSS를 사용하는 것부터 시작해야 합니다.

체크리스트 기반의 안전은 간단하기 때문에 매력적입니다. 구체적이라고 느껴지고 인증에 도달할 수 있는 명확한 경로를 약속합니다. 그러나 Linux처럼 복잡하고 동적인 시스템의 경우, 이러한 약속은 오해의 소지가 있습니다.

안전은 서류 작업이 아니라 아키텍처입니다. 문제가 발생하더라도 시스템이 예상대로 작동하도록 하는 것이며, 실패를 고려하여 설계하는 것입니다.

EB corbos Linux for Safety Applications는 이러한 사고 방식을 실제로 어떻게 적용할 수 있는지 보여줍니다. Linux와 대립하는 대신 Linux를 수용하고 제어합니다. 그리고 적절한 아키텍처를 사용하면 오픈 소스 혁신과 기능 안전이 공존할 수 있음을 증명합니다.

팀에서 안전이 필수적인 시스템에 Linux를 도입하는 방법을 고민하고 있다면, 감사가 아닌 아키텍처부터 시작하세요. 아키텍처, 바로 여기서부터 안전이 시작됩니다.

EB corbos Linux for Safety Applications를 무료로 사용해 보세요! 여기에서 다운로드하실 수 있습니다.