InfoWorld Publishes False Report on Mac Security

casaubon · 2007-04-21, 10:30 AM

InfoWorld Publishes False Report on Mac Security

Saturday, April 21, 2007

인포월드에 기고하는 낸시 고링(Nancy Gohring)이 어제, 맥 보안에 대한 잘못된 보고서를 썼다. 이 보고서는 원래 캐나다 밴쿠버에서 열린 CanSecWest 컨퍼런스 기사였다.

그녀가 인포월드 헤드라인을 직접 쓴 것 같아보이지는 않는다. 헤드라인은 이렇게 되어 있다. "콘테스트의 일부로서 맥을 원격으로 깨뜨리는 것으로 오에스텐의 보안 오류를 밝혀내는 자"가 콘테스트 승리자라고 쓰여 있는데, 틀리다. 맞지 않다.

헤드라인을 누가 썼든지 간에, 이 헤드라인이 4월 20일 이벤트를 다룬 것이 맞다면, 고링의 기사가 원격이 아닌 로컬이었음을 분명히 지적하겠다. 윈도를 악명높게 만든 원격 침범과, 애플리케이션으로서 로컬 침범은 엄연히 다르다.

고링은 "무선 접속 포인트를 통해 두 대의 맥에 접근하기를 실시하였으며, 맥에는 돌아가는 프로그램이 없었다. 하지만 누구도 성공하지 못하여서, 주최측이 이메일을 통한 URL로서 브라우저를 통해 접속하는 행위를 허용시켰다."라고 썼다.

사파리 상에서 보안오류가 있는 이메일 URL을 열면 애플에게 문제를 자동보고하도록 되어 있다. 즉, 원격 침입은 없었다. 선정적 저널리즘이다. 더군다나 컴퓨팅에 권위가 나름 있다는 인포월드의 IDG가 이 정도다.

Gohring's Mac Security Myths.
원격 침범 문제는 논외로 치더라도, 사용자가 로컬 상에서 하는 행위와 외부에서 하는 행위는 잘 구분해 주어야 한다. 고링의 기사는 맥 보안에 대한 여러가지 미신에 대해 다루고 있다.

고링은 동 보안 컨퍼런스의 주최자인 드라고스 류이유(Dragos Ruiu)의 말을 인용한다. "너무나 보안이 좋다면서 오에스텐을 돌리는 이를 굉장히 많이들 보게 되죠. 하지만 솔직히 말씀드리건데, 보안에 훨씬 더 신경을 많이 쓰는 곳은 애플보다 마이크로소프트입니다."

물론 마이크로소프트가 응당 그래야 할 이유가 있다. 워낙에 윈도 플랫폼이 보안의 악명세를 떨치기 때문이다. 마이크로소프트는 윈도 보안 위기에 대해 완전히 눈막음을 취할 뿐이고, 심해지고 나서야 겨우 보안 문제에 대한 대처를 시작하였다.

Microsoft’s Security Embarrassment.
원래 윈도 디자인은 고립된 사무실 환경용 디자인이었다. 고립된 사무실이라면 보안 문제가 일어날 리 없다. 하지만 맥오에스텐은 유닉스 기반이며, 유닉스는 인터넷 개발과 함께 까다로운 보안 규격에 맞춰가며 자라났다. 유닉스의 보안은 수십년 동안 전문가들이 연구해온 성과라 볼 수 있다.

몇 년 전까지만 해도, 마이크로소프트는 로컬 네트워크 브로드캐스트 트래픽용으로 쓰기 위해 여러가지 포트를 열어둔 채로 윈도를 판매해왔다. 컴퓨터를 LAN 매니저 네트워크상에서 테스트용으로 쓸 요량이라면야 그것도 괜찮다. 마이크로소프트의 비보안, 폐쇄형 SMB 프로토콜을 통한 파일 교환도 괜찮다. 그러나 이를 인터넷에 노출시키면, 스팸이 밀어닥치는 데에 몇 분 안 걸린다.

IE 브라우저에서 아웃룩 메일에 이르기까지, 마이크로소프트 애플리케이션은 악성 소프트웨어를 받아들이고 뿌리는 데에 특화된 것인양 비쳐진다. 게다가 윈도 시스템 자체의 보안 역시 해를 거듭할수록 더 악화되어갔다.

세계에 퍼져있는 스팸의 절대다수는 보트로 작동하는 윈도 PC가 배포한다. Consumer Reports의 보도에 따르면, 윈도의 안타이바이러스/악성소프트웨어/스파이웨어 치료는 90억 달러 어치의 문제다.

Mac OS X and Security.
그에 반해, 맥오에스텐에는 실질적인 바이러스가 현재 전혀 없다. 전염이 불가능하다는 얘기는 아니다. 또한 애플은 마이크로소프트의 ActiveX처럼 네이티브로 프로그램을 돌리는 웹브라우저를 선보이지도 않았고, 자동적으로 첨부파일을 실행시키는 이메일 프로그램을 만들지도 않았다. 운영체제 자체도 여러가지 포트를 닫은 상태로 출하하였다.

2003년 전까지 마이크로소프트는 보안 문제에 대해 거의 무시로 일관해왔었다. 소위 보안 전문가라는 류이유가 주장하는 로컬 접속을 통한 사파리의 취약성과, 지난 10년 동안 마이크로소프트가 보여온 무능과 무시를 비교해 보시라.

보안 문제에 대해 마이크로소프트가 더 신경을 쓴다는 발언도 보면 참 괴상하다. 맥오에스텐이 보안 문제에 대해 무적이라며 짜증나게 주장할뿐만 아니라, 드보락에게 분노의 편지를 열심히 보내는 Artie McStrawman도 마찬가지다.

The Mac Minority Malware Myth
고링은 맥 보안의 미신을 이렇게 설명한다. "그동안 해커들과 악성 코드가 맥을 목표로 삼지 않은 이유는, 역사적으로 작성자들이 윈도 머신만을 목표로 삼았기 때문이다. 하지만 실제로 쓰이는 맥이 그만큼 더 적어서인 부분도 있다. 즉, 널리 쓰이는 PC에 비해 악성 코드의 잠재적인 충격도 그 만큼 약하다."

맥이 전세계에서 팔려 나가는 PC의 2%에 불과하다는 점만은 사실이다. 맥이 보통 널리 퍼지기보다는, 진하게 퍼진다는 점 또한 맞다. 더구나 맥은 전세계적으로 배포되는 컴퓨터도 아니다.

가령, 맥으로 가득찬 학교는 많다. 더군다나 학교는 보안 결함을 활용하기에 아주 좋은 장소다. 학교에서 먼저 맥의 결함을 발견해 볼 만하다. 그러나 그런 일은 없었다. 맥 바이러스도 나타나지 않았다. 실질적인 맥 바이러스는 존재하지 않는다.

가정과 교육시장, 전문 사용자 시장에 있어서의 애플 시장점유율은 기존 기반에서 상당부분을 차지한다. 역시 목표로 삼기에 훌륭한 가정용으로서도 많다. 그래도 악성 소프트웨어나 침범은 일반적으로 일어나지 않았고, 바이러스 역시 안 생겨났다.

애플의 온라인스토어를 보자. 특히 아이튠스 스토어를 볼 때, 이곳은 맥오에스텐 서버와 엑스서브, 웹오브젝트를 돌리는 곳이다. 이제까지 보안 결함 문제가 나온 적이 있는가? 물론 그런 적이 없다! 아이튠스 스토어를 공격목표로 삼은 적은 꽤 있다. 그 때문에 애플도 아이튠스 보수(補修)를 정기적으로 행한다.

어째서 맥은 해킹의 표적이 아닐까? 맥이 많이 없어서라는 이유는 비웃음을 받을 만하다.

수 천만 대의 PC가 스스로 악성 코드를 뿌리는 이유는 PC가 많이 퍼져서가 아니다. 윈도 보안이 그 만큼 안 좋아서이다. 그 때문에 PC는 손쉬운 목표가 되어왔다. 단순히 새로운 컴퓨터를 한 대 인터넷에 연결만 시켜 놓아도, 한 시간 이내에 감염이 재빠르게 일어난다.

BSD와 리눅스를 돌리는 가정용 라우터와 OS/2를 돌리는 PBX 수 천만 대 역시 전혀 바이러스가 없다. 즉, 컴퓨터의 물량이 문제가 아니다. 얼마나 침입이 쉬운가에 따르는 품질이 문제다.

이 주제에 대해 혼란스러워 하는 보안 전문가라면, 스스로 알아보는 편이 나을 것이다. IDG의 인포월드 자신이야말로 쓰레기 정보를 뿌리고 다니니, 인포월드는 아무래도 이름을 추측월드로 바꿔야 할 성 싶다.

예전의 범선이 해적에게 유명했던 이유는 범선이 많아서가 아니었다. 범선이 가치가 높아서였다. 마찬가지다. 원격으로 쉽사리 맥이 침범해 들어갈 수 있다면, 교육기관처럼 맥이 넘치는 환경에서도 쉽사리 해커들이 맥을 조절할 수 있을 것이다. 아이튠스 스토어 서버도 아주 좋은, 그리고 쉬운 목표감이 될 법 하다.

Why Macs Aren’t Sending You Spam
맥이 마술처럼 보안 문제에 결백하지는 않다. 바이러스가 없는, 악성 소프트웨어가 거의 없는 이유는 다음의 이유들이 한 데 어우러져서다.

애플은 제품 디자인에 있어서 보안 문제에 책임을 진다. 지난 10년간 마이크로소프트는 보안 문제에 심각하게 대처해오지 않았다.
문제점이 생기면, 애플은 즉각 문제 해결에 나선다. 그 다음에는 간단하고 자동화된 소프트웨어 업데이트 시스템을 통하여, 사용자들이 시스템을 항상 최신 상태로 유지하게 도와준다. 그러나 마이크로소프트의 업데이트 시스템은 문제도 많고, 짜증나게 하며, 오히려 Windows Genuine Advantage라는 DRM 시스템을 트로이의 목마식으로 집어 넣으려 한다.
맥오에스텐의 핵심 소프트웨어는 오픈소스 커뮤니티의 보안 검증을 거친다. 반면 윈도의 핵심 코드는 폐쇄적이고 닫혀 있으며, 보안 문제를 감추고 있다. 불행히도, 이런 방식은 보안 전문가들의 연구마저 가로막고 있다. 그러면서도 시스템을 공격하는 악성 소프트웨어를 멈추지 못하는 형편이다.
애플은 잠재적으로 침입 경로가 될 수 있는 것의 소스를 공개하였다. 그 예로 네트워크 발견 코드인 Bonjour가 있다. 이로써 보안 연구자들이 오류를 찾을 수 있게 되었다.
맥 사용자들 스스로가 좋은 소프트웨어를 권장하는 공동체를 구성한다. 윈도 세계에서 소프트웨어는, 사용자가 무엇을 설치하는지 잘 모르는 상태에서, 자기가 고르지도 않은 소프트웨어를 사용하도록 되어 있다.

루이유의 맥 침입 콘테스트가 드러낸 진짜 미신은 따로 있다. 엘리트 해커들이 명성을 좇아 시스템을 공격한다는 미신이다.

Security Focus가 지적하듯, 단순하게 명예를 얻을 수 있다거나, 노트북을 상품으로 받을 수 있어서라는 이유는 미신일 따름이다. 루이유는 상금을 만 달러로 올리고, 문턱을 낮춘 후에서야 원격도 아닌, 로컬로 URL을 보냈다. 그렇게 한 뒤에야 수상자가 나왔다.

보안 전문가들의 말을 듣기 바란다. 해커들은 명예를 좇지 않는다. 돈 때문에 보안 시스템을 침범할 뿐이다. 다른 사업세계와 마찬가지로, 우선은 과실이 어느 정도나 익었느냐가 먼저다. 컴퓨팅 세계에 있어서, 윈도 PC를 주로 침범하는 이유는 윈도 PC가 널리 퍼져서가 아니다. 침입이 쉽고, 그럴 만한 가치(스팸 발송 통로)가 있기 때문이다.

Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast!

Did I miss any details?

http://www.roughlydrafted.com/RD/RDM...19B6FF352.html

2007-04-21, 10:30 AM	#17
casaubon Moderator Registered: Sep 2001 My Mac: MacBook Air Posts: 2,138 온라인	InfoWorld의 맥 보안 헛발질 InfoWorld Publishes False Report on Mac Security Saturday, April 21, 2007 인포월드에 기고하는 낸시 고링(Nancy Gohring)이 어제, 맥 보안에 대한 잘못된 보고서를 썼다. 이 보고서는 원래 캐나다 밴쿠버에서 열린 CanSecWest 컨퍼런스 기사였다. 그녀가 인포월드 헤드라인을 직접 쓴 것 같아보이지는 않는다. 헤드라인은 이렇게 되어 있다. "콘테스트의 일부로서 맥을 원격으로 깨뜨리는 것으로 오에스텐의 보안 오류를 밝혀내는 자"가 콘테스트 승리자라고 쓰여 있는데, 틀리다. 맞지 않다. 헤드라인을 누가 썼든지 간에, 이 헤드라인이 4월 20일 이벤트를 다룬 것이 맞다면, 고링의 기사가 원격이 아닌 로컬이었음을 분명히 지적하겠다. 윈도를 악명높게 만든 원격 침범과, 애플리케이션으로서 로컬 침범은 엄연히 다르다. 고링은 "무선 접속 포인트를 통해 두 대의 맥에 접근하기를 실시하였으며, 맥에는 돌아가는 프로그램이 없었다. 하지만 누구도 성공하지 못하여서, 주최측이 이메일을 통한 URL로서 브라우저를 통해 접속하는 행위를 허용시켰다."라고 썼다. 사파리 상에서 보안오류가 있는 이메일 URL을 열면 애플에게 문제를 자동보고하도록 되어 있다. 즉, 원격 침입은 없었다. 선정적 저널리즘이다. 더군다나 컴퓨팅에 권위가 나름 있다는 인포월드의 IDG가 이 정도다. Gohring's Mac Security Myths. 원격 침범 문제는 논외로 치더라도, 사용자가 로컬 상에서 하는 행위와 외부에서 하는 행위는 잘 구분해 주어야 한다. 고링의 기사는 맥 보안에 대한 여러가지 미신에 대해 다루고 있다. 고링은 동 보안 컨퍼런스의 주최자인 드라고스 류이유(Dragos Ruiu)의 말을 인용한다. "너무나 보안이 좋다면서 오에스텐을 돌리는 이를 굉장히 많이들 보게 되죠. 하지만 솔직히 말씀드리건데, 보안에 훨씬 더 신경을 많이 쓰는 곳은 애플보다 마이크로소프트입니다." 물론 마이크로소프트가 응당 그래야 할 이유가 있다. 워낙에 윈도 플랫폼이 보안의 악명세를 떨치기 때문이다. 마이크로소프트는 윈도 보안 위기에 대해 완전히 눈막음을 취할 뿐이고, 심해지고 나서야 겨우 보안 문제에 대한 대처를 시작하였다. Microsoft’s Security Embarrassment. 원래 윈도 디자인은 고립된 사무실 환경용 디자인이었다. 고립된 사무실이라면 보안 문제가 일어날 리 없다. 하지만 맥오에스텐은 유닉스 기반이며, 유닉스는 인터넷 개발과 함께 까다로운 보안 규격에 맞춰가며 자라났다. 유닉스의 보안은 수십년 동안 전문가들이 연구해온 성과라 볼 수 있다. 몇 년 전까지만 해도, 마이크로소프트는 로컬 네트워크 브로드캐스트 트래픽용으로 쓰기 위해 여러가지 포트를 열어둔 채로 윈도를 판매해왔다. 컴퓨터를 LAN 매니저 네트워크상에서 테스트용으로 쓸 요량이라면야 그것도 괜찮다. 마이크로소프트의 비보안, 폐쇄형 SMB 프로토콜을 통한 파일 교환도 괜찮다. 그러나 이를 인터넷에 노출시키면, 스팸이 밀어닥치는 데에 몇 분 안 걸린다. IE 브라우저에서 아웃룩 메일에 이르기까지, 마이크로소프트 애플리케이션은 악성 소프트웨어를 받아들이고 뿌리는 데에 특화된 것인양 비쳐진다. 게다가 윈도 시스템 자체의 보안 역시 해를 거듭할수록 더 악화되어갔다. 세계에 퍼져있는 스팸의 절대다수는 보트로 작동하는 윈도 PC가 배포한다. Consumer Reports의 보도에 따르면, 윈도의 안타이바이러스/악성소프트웨어/스파이웨어 치료는 90억 달러 어치의 문제다. Mac OS X and Security. 그에 반해, 맥오에스텐에는 실질적인 바이러스가 현재 전혀 없다. 전염이 불가능하다는 얘기는 아니다. 또한 애플은 마이크로소프트의 ActiveX처럼 네이티브로 프로그램을 돌리는 웹브라우저를 선보이지도 않았고, 자동적으로 첨부파일을 실행시키는 이메일 프로그램을 만들지도 않았다. 운영체제 자체도 여러가지 포트를 닫은 상태로 출하하였다. 2003년 전까지 마이크로소프트는 보안 문제에 대해 거의 무시로 일관해왔었다. 소위 보안 전문가라는 류이유가 주장하는 로컬 접속을 통한 사파리의 취약성과, 지난 10년 동안 마이크로소프트가 보여온 무능과 무시를 비교해 보시라. 보안 문제에 대해 마이크로소프트가 더 신경을 쓴다는 발언도 보면 참 괴상하다. 맥오에스텐이 보안 문제에 대해 무적이라며 짜증나게 주장할뿐만 아니라, 드보락에게 분노의 편지를 열심히 보내는 Artie McStrawman도 마찬가지다. The Mac Minority Malware Myth 고링은 맥 보안의 미신을 이렇게 설명한다. "그동안 해커들과 악성 코드가 맥을 목표로 삼지 않은 이유는, 역사적으로 작성자들이 윈도 머신만을 목표로 삼았기 때문이다. 하지만 실제로 쓰이는 맥이 그만큼 더 적어서인 부분도 있다. 즉, 널리 쓰이는 PC에 비해 악성 코드의 잠재적인 충격도 그 만큼 약하다." 맥이 전세계에서 팔려 나가는 PC의 2%에 불과하다는 점만은 사실이다. 맥이 보통 널리 퍼지기보다는, 진하게 퍼진다는 점 또한 맞다. 더구나 맥은 전세계적으로 배포되는 컴퓨터도 아니다. 가령, 맥으로 가득찬 학교는 많다. 더군다나 학교는 보안 결함을 활용하기에 아주 좋은 장소다. 학교에서 먼저 맥의 결함을 발견해 볼 만하다. 그러나 그런 일은 없었다. 맥 바이러스도 나타나지 않았다. 실질적인 맥 바이러스는 존재하지 않는다. 가정과 교육시장, 전문 사용자 시장에 있어서의 애플 시장점유율은 기존 기반에서 상당부분을 차지한다. 역시 목표로 삼기에 훌륭한 가정용으로서도 많다. 그래도 악성 소프트웨어나 침범은 일반적으로 일어나지 않았고, 바이러스 역시 안 생겨났다. 애플의 온라인스토어를 보자. 특히 아이튠스 스토어를 볼 때, 이곳은 맥오에스텐 서버와 엑스서브, 웹오브젝트를 돌리는 곳이다. 이제까지 보안 결함 문제가 나온 적이 있는가? 물론 그런 적이 없다! 아이튠스 스토어를 공격목표로 삼은 적은 꽤 있다. 그 때문에 애플도 아이튠스 보수(補修)를 정기적으로 행한다. 어째서 맥은 해킹의 표적이 아닐까? 맥이 많이 없어서라는 이유는 비웃음을 받을 만하다. 수 천만 대의 PC가 스스로 악성 코드를 뿌리는 이유는 PC가 많이 퍼져서가 아니다. 윈도 보안이 그 만큼 안 좋아서이다. 그 때문에 PC는 손쉬운 목표가 되어왔다. 단순히 새로운 컴퓨터를 한 대 인터넷에 연결만 시켜 놓아도, 한 시간 이내에 감염이 재빠르게 일어난다. BSD와 리눅스를 돌리는 가정용 라우터와 OS/2를 돌리는 PBX 수 천만 대 역시 전혀 바이러스가 없다. 즉, 컴퓨터의 물량이 문제가 아니다. 얼마나 침입이 쉬운가에 따르는 품질이 문제다. 이 주제에 대해 혼란스러워 하는 보안 전문가라면, 스스로 알아보는 편이 나을 것이다. IDG의 인포월드 자신이야말로 쓰레기 정보를 뿌리고 다니니, 인포월드는 아무래도 이름을 추측월드로 바꿔야 할 성 싶다. 예전의 범선이 해적에게 유명했던 이유는 범선이 많아서가 아니었다. 범선이 가치가 높아서였다. 마찬가지다. 원격으로 쉽사리 맥이 침범해 들어갈 수 있다면, 교육기관처럼 맥이 넘치는 환경에서도 쉽사리 해커들이 맥을 조절할 수 있을 것이다. 아이튠스 스토어 서버도 아주 좋은, 그리고 쉬운 목표감이 될 법 하다. Why Macs Aren’t Sending You Spam 맥이 마술처럼 보안 문제에 결백하지는 않다. 바이러스가 없는, 악성 소프트웨어가 거의 없는 이유는 다음의 이유들이 한 데 어우러져서다. 애플은 제품 디자인에 있어서 보안 문제에 책임을 진다. 지난 10년간 마이크로소프트는 보안 문제에 심각하게 대처해오지 않았다. 문제점이 생기면, 애플은 즉각 문제 해결에 나선다. 그 다음에는 간단하고 자동화된 소프트웨어 업데이트 시스템을 통하여, 사용자들이 시스템을 항상 최신 상태로 유지하게 도와준다. 그러나 마이크로소프트의 업데이트 시스템은 문제도 많고, 짜증나게 하며, 오히려 Windows Genuine Advantage라는 DRM 시스템을 트로이의 목마식으로 집어 넣으려 한다. 맥오에스텐의 핵심 소프트웨어는 오픈소스 커뮤니티의 보안 검증을 거친다. 반면 윈도의 핵심 코드는 폐쇄적이고 닫혀 있으며, 보안 문제를 감추고 있다. 불행히도, 이런 방식은 보안 전문가들의 연구마저 가로막고 있다. 그러면서도 시스템을 공격하는 악성 소프트웨어를 멈추지 못하는 형편이다. 애플은 잠재적으로 침입 경로가 될 수 있는 것의 소스를 공개하였다. 그 예로 네트워크 발견 코드인 Bonjour가 있다. 이로써 보안 연구자들이 오류를 찾을 수 있게 되었다. 맥 사용자들 스스로가 좋은 소프트웨어를 권장하는 공동체를 구성한다. 윈도 세계에서 소프트웨어는, 사용자가 무엇을 설치하는지 잘 모르는 상태에서, 자기가 고르지도 않은 소프트웨어를 사용하도록 되어 있다. 루이유의 맥 침입 콘테스트가 드러낸 진짜 미신은 따로 있다. 엘리트 해커들이 명성을 좇아 시스템을 공격한다는 미신이다. Security Focus가 지적하듯, 단순하게 명예를 얻을 수 있다거나, 노트북을 상품으로 받을 수 있어서라는 이유는 미신일 따름이다. 루이유는 상금을 만 달러로 올리고, 문턱을 낮춘 후에서야 원격도 아닌, 로컬로 URL을 보냈다. 그렇게 한 뒤에야 수상자가 나왔다. 보안 전문가들의 말을 듣기 바란다. 해커들은 명예를 좇지 않는다. 돈 때문에 보안 시스템을 침범할 뿐이다. 다른 사업세계와 마찬가지로, 우선은 과실이 어느 정도나 익었느냐가 먼저다. 컴퓨팅 세계에 있어서, 윈도 PC를 주로 침범하는 이유는 윈도 PC가 널리 퍼져서가 아니다. 침입이 쉽고, 그럴 만한 가치(스팸 발송 통로)가 있기 때문이다. Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Did I miss any details? http://www.roughlydrafted.com/RD/RDM...19B6FF352.html __________________ FAQ