예전부터 가끔씩 나오던 이야기이기도 하고 특히 요즘 스마트폰 열풍이 불면서 심심찮게 보이고 있는 개드립이 오픈 소스라서 보안에 취약하다... 뭐 이런 이야기입니다. 뭐 소스를 다 보여주고 있으니까 분석하기도 쉽고 뚫리기도 쉽지 않을까 ... 라는 생각에 기반을 두고 있는건데 아마 보안에 대한 중대한 오해가 있기 때문에 할만한 발상이겠죠. 사실 이런 드립치는 친구들이 윈도우 서버나 맥 서버가 리눅스 서버나 FreeBSD보다 보안에서 우월하다고 드립을 칠까 궁금하긴 합니다만.
pwn2own은 아마 07년부터 해마다 열리는 해킹 대회인데 상금도 주고 해킹한 보안 정보를 해당 업체에 팔 수 있게 주선하고, 뭣보담도 해킹한 디바이스를 해킹한 사람이 가질 수 있는 (!) 여러모로 재미있는 행사임니다. 대충 기억나는 건 08년 두번째 대회에서 윈도우랑 맥이랑 우분투 노트북을 가져다 놓고 첫째날은 아무것도 실행하지 않고 네트워크만 연결된 상태에서 둘째날은 브라우저를 띄워놓은 상태에서 셋째날은 더 완화된 조건이었는데 뭐였더라... 이야기의 결말은 첫째날 모두가 평안하였고 둘째날 10분만에 맥&사파리가 털리고 몇 시간 후에 윈도우+ie가 털리고 마지막날까지 우분투가 로얄럼블에서 살아남았다.. 뭐 이런 스토리입니다.
09년은 브라우저와 모바일 부문이 열렸는데 브라우저에서 살아남은 것은 크롬이었고 모바일에선 아무도 죽지 않았죠. 10년? 전에 썼다시피 브라우저에선 올해도 크롬이 살아남았고 모바일에선 아잉폰만 털린 상태입니다:)
뭐 사실 p2o를 언급하는건 맥이나 윈도우가 쓰레기라던가 리눅스나 크롬이 뚫리지 않는 강철의 코드를 가졌다 이딴 이야기가 아닙니다. 사실 리눅스나 크롬의 취약성은 지금 이순간도 발견되고 있을 거예요. 안드로이드도 뉴스에 종종 보안 관련한 구멍이 언급되곤 했고 말예요. 요는 이 쏟아져 나오는 보안 구멍을 찾아내고, 피드백 받고 대처하는 능력일 겁니다. 거기에 대해서 활성화된 오픈 소스 커뮤니티는 상당한 강점을 보여왔습니다. 소스를 살펴보다 혹은 사용하다 취약성을 발견하면 소스를 보고 그걸 막거나 커뮤니티에 올리면 그걸 할 일 없는 사람이나 그쪽 프로젝트 하는 사람이 보고 막아놓고 그걸 공유하고 패치하고 이런 식으로. 이렇게 활발한 피드백의 결과로 중대한 취약성을 찾기 힘들어진 결과가 오픈 소스 진영이 p2o에서 전통적으로 강한 면모를 보인거 아니냐는 거죠. (물론 메이저가 아니라서 뚫으려는 사람이 없어서도 그렇겠지만.) 요인즉 보안은 완결된 코드가 아니라 원활한 피드백을 통해 이루어지는 거란 말을 하고 싶은 거예요.
보안이란 측면에서 오픈 소스를 까는 건 지금까지는 적어도 무리수가 아닌 가 싶네요. 윈도우가 사실 어마어마한 전문가 집단을 보유하고 있고 이들을 토대로 신속하게 대처하는 피드백 인프라를 갖추고 있지만 오픈 소스 진영에서 그보다 훨씬 저렴한 비용으로 그에 비견할만한 인프라들을 구축하고 있는 것도 사실이거든요. 혹자들은 멀티태스킹이 안된다는니 샌드박스니 하며 아잉폰이 근본적으로 보안 문제 따위는 있을 수 없다고 주장했지만, 결국 드러난 건 이미 대회 전부터 다양한 경로에서 경고되었던 보안문제를 p2o까지 발견, 패치하지 못한 애플의 피드백 인프라 아닌가 이거죠.
덧. 뭐 모질라에서 이번 대회를 위해 파폭 최신 패치까지 했는데 신나게 털려버린 걸 보면, 오픈 소스건 뭐건 인류의 창의력과 호기심 혹은 탐욕 앞에선 미약한 존재가 아닌가 싶기는 해요.
이 글에 관한 여러분의 의견을 남겨 주세요
이런 것도 궁금해요. 그래서 보안이 약하면 뭐가 털리는 건지?? 그 브라우저로 신용이나 개인정보 관련된 것들이 털릴 수 있다는 건가?? 그 외에는 별로 상관 없고??
근데 무엇보다 해커 시퀴들이 나쁜 놈들 아닌가... 뻑하면 남의 싸이트 다운 시키는 미치괌이들이 참 많잖아요 미국방성이나 해킹하란 말이다 이 시퀴들아. 왜 약소한 사이트를.. ;ㅁ; 암튼 해커만 없으면 보안도 상관 없는 건가요?? 이런 궁금증이.. X
보안취약성이 나쁜놈(!)들한테 발견되면 그걸 응용해서 해킹을 하거나 바이러스를 뿌리거나 해서, 보통 탈취한 권한으로 할 수 있는 많은 것들을 하는 듯 합니다. 데이터 갈취나 삭제는 물론이고 ddos에 이용하기도 하고.
특히 요즘은 os가 자체로 뚫리는 일은 잘 없어서 브라우저 등을 경유해서 os 권한을 뚫는 일이 많아져서... 단순히 브라우저 문제로 끝나지는 않을거예요.
일반 사용자들이 아무 생각없이 건들어도 비번이 뚫릴 정도라면 안되겠지만 보통을 맘먹고 뚫으려는 놈들만 없다면 보안은 큰 문제가 아닐겁니다. 하지만 정보에 돈을 주려는 사람은 많고 뚫을려고 줄 선 사람도 많죠. 여담이지만 해킹을 막는 사람들도 자신들을 해커라고 부릅니다. X