Readers Write: IDG’s False Report on Mac Security

casaubon · 2007-04-24, 07:59 PM

Readers Write: IDG’s False Report on Mac Security

Monday, April 23, 2007

먼저 CanSecWest의 맥 깨기, “PWN to Own” 콘테스트가 열렸다. 그리고 이를 보도한 IDG의 InfoWorld는 사실을 다루지 않았다. 또한 여러 사이트들이 이 기사를 인용하면서 미신을 부추겼다. 실제로 무슨 일이 일어났는지는 전혀 지적하지 않은 채로 말이다.

심지어 CanSecWest 측도 이 주제에 대해서는 조용하다.

실제로 어떤 조건을 양보했는지, 그로 인해 어떤 결과가 나왔는지? InfoWorld나 Computerworld 외 다른 IDG 잡지들의 독자들이 낸시 고링(Nancy Gohring)의 잘못된, 그리고 미완성된 기사도 모르는 사실을 지적하였다.

Speaking From The Ars.
Ars Technica의 찰스 제이드(Charles Jade)는 다른 새로운 사실 추가 없이 IDG의 보도문만을 인용하였다. 제이드는 심지어 이런 대회에 내걸린 만 달러의 상금이 맥 보안의 조류를 뒤바꾸리라고까지 주장하였다. 윈도 스타일의 보안 문제를 해결할 인센티브가 마련됐다는 뜻이었다.

침입에 성공한 공로로 상금을 내렸다. 그리고는 보안 문제에 더 신경쓰라고 애플에게 알린다? 그렇게 되면 침범할 가능성, 즉, 그 시장 자체가 축소되어버린다. 어떻게 그런 콘테스트가 존재할까? 당연히 정 반대다.

소프트웨어 버그를 찾기 위해 프리랜서를 고용하는 개발사가 있다고 해 보자. 버그를 발견하여 치료방법까지 알려야 상금을 내릴 만 하다. 그렇다면 그 소프트웨어에는 버그가 더 많을까?

Who’s Exploit Was It Anyway?
CanSecWest는 세부사항 대부분을 비밀에 부치고 있다. 콘라트 퀼티-하퍼(Conrad Quilty-Harper)의 Endgadget 기사에 따르면, 정보가 없는 추측이라는 사실을 소개하지 않은 채로 간결하게 나온 부분만을 다뤘다.

이 기사가 맥을 크랙시키는 데에 9시간이 걸렸다는 정보도 담고 있기는 하지만, 그 전에, 하루 내내, 24시간에 걸친 노력이 무위로 돌아갔다는 지적은 하지 않고 있다. 바로 그 점때문에 CanSectWest 측은 보안 기준을 스스로 낮추었다.

맥오에스텐을 원격으로 해킹해들어가는 대신, 콘테스트 참여자들은 각자 웹브라우저에 로컬 유저로 들어가서 URL로 링크를 보낼 수 있었다.

밀실을 여는 대회가 열린다고 해 보자. 여는 데에 계속 실패하자, 전화선이 주어진다. 이 전화는 내부에 있는 이와 연결되어 있으며, 전화로 문을 열 수 있는지 알아보고, 문을 열게 된다. 기준을 낮춘 정도가 아니다. 침입이 아니라 아예 협력이다.

What Did They Crack?
위 Engadget 기사에 댓글을 단 "YankInOz"라는 독자가 있다. 그는 이 '해킹'이 더 이상 쓰이지 않는, 오래된 자바 루틴이었다고 한다. 또한 이런 침입은 파이어폭스나 카미노, 사파리에서 쉽게 찾을 수 있다고도 덧붙였다.

Slashdot의 한 익명의 독자는 이 침입이 자바스크립트 루틴이라고도 하였다. 썬의 자바와 넷스케이프의 자바스크립트는 이름 말고는 공통된 부분이 거의 없다. 그러나 둘 다 써드파티 브라우저 플러그인으로 존재하며, 사파리에 특화된 기능은 아니다. 자바이건, 자바스크립트이건, "맥에 특화된 침입"은 아닌 셈이다.

Third Party Issues.
수많은 '보안 전문가'들이 이해하지 못해 보이는 사실도 한 가지 있다. 소프트웨어 설치가 보안 수준을 바꾼다는 것이다. 맥은 업데이트를 통해 보안을 지키는데, 소프트웨어 설치, 그리고 새로운 서비스의 개설이 이뤄지면 애플이 통제하지 않는 구멍이 생길 수는 있다.

그런데 바로 그 때문에 마이크로소프트 윈도에 보안 문제가 생겨난다. 몇 년 전에서야 보안 문제에 대처할 수 밖에 없는 상황이 된 것은 물론 마이크로소프트 책임이다. 게다가 마이크로소프트는 자신이 해결할 수 없는 문제까지 해결해야 할 지경에 처하였다.

윈도용 써드 파티 소프트웨어들이 문제다. 이들이 마이크로소프트의 노력을 무색하게 만들기 때문이다. 물론 맥에서도 똑같은 원칙이 적용된다. 파일 공유를 위해 마이크로소프트 윈도용 SMB 프로토콜을 켤 경우, 비보안 네트워크 상에서 윈도 PC와 똑같은 비보안 환경을 맥에도 들여놓게 된다.

부트캠프나 Parallels를 통해 윈도를 설치했다면, 당연히 애플의 범위를 벗어나게 된다. 바이러스에 걸릴 수 있다는 의미다.

심지어 맥 상에서 맥용 마이크로소프트 오피스를 사용하는 경우도, 짜증나는 오피스용 매크로바이러스가 맥으로 들어올 수 있다.

Updating Third Party Problems.
자바나 여러가지 다른 오픈소스 소프트웨어를 맥오에스텐의 일부로 제공하기 때문에, 이 소프트웨어 패치의 책임은 애플에게 있다. 이 때문에 애플은 맥오에스텐에 포함시키는 소프트웨어에 선별을 기한다. 책임을 지기 때문이다.

애플이 정기적으로 선보이는 소프트웨어 보안패치도 외부 프로젝트에서 나오는 경우가 많다. 가장 최근의 2007-004 패치도 GNU tar와 BSD의 lukemftpd FTP 서버, MIT의 Kerberos 수정을 포함하고 있다.

맥에 번들된 모든 소프트웨어의 보안 업데이트는 애플 책임이다. 이 사실 때문에 스스로 리눅스를 꾸리는 것보다 맥오에스텐이 한 층 더 매력적이다. 수 백여 여러가지 다른 프로젝트에서 나오는 코드를 포함해도, 끊임 없이 업데이트와 패치를 애플이 해 주기 때문이다.

스스로의 버전 패키지를 설치한 다음에, 매우 복잡해진 소프트웨어와 보안의 과학을 일일이 책임져야 할 상황을 생각해 보시라. 가정에서 제작한 타이어를 차에 갖다 붙이는 것에 비유할 수 있다. 함몰됐다고 해서 포드사에 대고 타이어를 요구할 수 없다. 스스로 사제 타이어로 위험에 노출시켰기 때문이다.

Lying about Security With “Vulnerability Counts.”
이와 동시에, 주요 언론사들 대부분은 특정 플랫폼에 보도된 취약성이나 침입의 횟수를 갖고 보안과 연결짓는다. 이는 솔직하지 못한 처사다. 칼럼니스트들이야 무식하달 수 있다. 그런데 전문가들도 다수가 거짓말을 하고 있다. 자기들도 그 사실을 알고 있음은 물론이다.

최근 마이크로소프트는 윈도에 스스로 조성한 보안 재앙을 넌지시 맥과 리눅스에게 넘기는 식으로, 최신 유행을 갈아탔다. 리눅스와 맥이 잠재적인 구멍이 너무나 많다. 오픈소스 유닉스 세계에서 보도된 구멍이 워낙 많고, 패치도 많아서이다. 그래서 보안 문제가 더 심각하다는 식이다.

그런데 그것이야말로 보안이 활성화되어있다는 소식이다! 군대가 눈에 보인다고 해서, 안보가 불안하다는 말과 다를 바 없다. 여러가지 전염인자를 두고 투병을 하니, 그 환자의 면역 시스템 자체가 별로이리라는 말과도 같다.

What Did CanSecWest Prove?
CanSecWest는 마이크로소프트가 후원하는 곳이다. 게다가 일부러 맥의 보안을 더럽히려 노력하였다. IDG의 헤드라인까지 올릴 정도이니, 일단은 성공한 셈이다. 그렇다면 이 CanSecWest가 실제로 증명한 것은 무엇인가?

정기적으로 한 사이트에 자동 방문하도록 '사용자'가 프로그래밍한 브라우저의 결함을 이용하였는데, 상당히 처절한 느낌이 든다. 더군다나 이런 인위적인 우회로도 제한적이었다.

이 주제에 대한 거의 모든 보도문은 실제로 어느 정도의 공격까지가 허용되었는지 언급하지 않고 있다. IDG의 기사는 이 공격이 "원격"이 아니었을뿐만 아니라, 공격자가 거의 모든 것을 할 수 있도록 허용되었음을 분명히 주장하고 있다. 물론 사실은 아니다.

Weren’t There Two Macs?
주최측 웹사이트에서 보면, 맥이 두 대 동원되었는데, 각각 규칙은 서로 달랐다. 첫 번째 맥에서 이기기 위해, 크래커는 "기본 사용자의 홈에서 설명에 따라"야 했다. 달리 말해서, 제한적인 로컬 사용자 권리를 가진 채 접근하였다는 의미다.

두 번째 맥을 이기기 위해, 참여자는 "파일시스템 루트의 설명을 따를" 필요가 있었다. (관리자 자격이 필요하다.) 맥 두 대 모두 포기해 버린 셈이다. 이래서야 실질적인 침입이 아니다.

하지만 사용자 권리를 갖고 하루 내내 시도하였지만, 직접 맥을 깨뜨릴 수가 없었다. 그래서 주최측은 조건을 낮춘다. 사용자에게 URL을 콘테스트 관리자에게 보낼 수 있도록 하고, 이 관리자는 그 URL을 서버에 올려 놓아, 맥북프로 두 대를 동원하여 자동적으로 웹 사이트를 방문하여, 등록한 URL을 "클릭"하도록 시켰다.

조디 포스터의 "패닉룸"을 재현한 것과 마찬가지다.

"안녕하세요, 패닉룸 안이죠?! 이제는 나와도 됩니다!"

문이 열린다.

"아 하! 문을 깼군요!"

Getting To The Root of Things.
Dino Dai Zovi의 공격은 자동화된 브라우저 액션을 통한 자바 루틴인 것으로 파악된다. 그래도 그는 사용자 수준의 파일만 접근 가능했다.

사실 이 정도도 패치시킬 필요가 있는 중대한 오류랄 수 있다. 그러나 시스템에 접근하고 싶다하여, 누구나 특정 사용자의 파일에 접근하기 위해 Rube Goldberg 이벤트를 설정할 것 같지는 않다.

진정한 공격자라면 차라리 랩톱 사용자를 습격하거나, 사무실을 직접 침입, 사용자를 납치한 다음, 총을 겨누고 암호를 대라 할 것이다. 물론 이 말 자체도 웃기기는 마찬가지다.

윈도 바이러스와 웜, 스파이웨어 사업에서 쓰이는 침입 방법은 악성 소프트웨어를 관리자로 설치시키는 방식이다. 즉, 보통은 윈도의 레지스트리에 명령문을 숨기고, 악성 코드를 재설치하게 되는데, 이 때에는 사용자와 시스템, 혹은 활성화된 보안 소프트웨어 뒤에서 재설치가 이뤄진다. 그렇게 장악한 컴퓨터를 스팸 발신지로 쓰게 되니, 공격에 시간을 들일 가치는 있다. 게다가 대량으로 설치하려면, 원격 설치를 쉽게 해야 할 필요가 있다. 즉, 루트를 재빠르게 장악해야 한다.

바로 위와 같은 일들이 윈도 PC에서는 늘상 일어난다. 그러나 CanSecWest의 맥은 33시간동안 그런 일이 일어나지 않았다. 맥에 침입하기 위해 대회 규정을 낮춰야 할 정도였다.

"규칙을 검토하기 위해, 첫 번째 박스는 오류를 필요로 하였다. 공격자가 사용자 수준의 권리를 갖고 셸을 얻을 수 있도록 하는 오류다. 두 번째 박스도 같은 권리와 함께, 공격자에게 루트를 제공하였다."

Nancy Gohring, You Are Coming to a Sad Realization. Cancel or Allow?
두 번째 단계는 일어나지도 않았다. 누구도 만 달러의 상금(그리고 노트북)에도 불구하고 맥의 루트 권한을 가질 수 없었다. 윈도 PC에서는 가능한 수 천 개의 알려진 구멍도 소용이 없었다.

윈도에서는 브라우저 링크, 혹은 사용자가 단순히 방문한 것만 갖고도 코드를 심어 소프트웨어를 설치한다. 그러나 맥오에스텐은 설치하려는 소프트웨어에 사용자의 인증을 요구하도록 되어 있다.

윈도는 그런 기능이 없다. 심지어 "새롭고 개선되었다"는 비스타도 인증을 물어보지 않는다. 계속 허용을 클릭하실 것이냐 묻다가, 결국 허용을 클릭하게만든다. 허용하겠냐는 대화상자가 떴을 때, 대부분의 사용자는 허용을 해 버린다. 레지스트리에 기술적인 뭔가를 허용시키는 것이다.

Oops, You Forgot to Include the Critical, Pertinent Facts.
고링은 이 점을 언급하지 않았고, IDG 또한 헤드라인을 수정하지 않았으며, IDG의 모든 웹은 맥도 더 이상 안전하지 않다느 식의 똑같은 기사를 올려댔다.

사실이 될 수 없다.

이들 모두, 루트 침입은 없었으며, 원격 침입도 없었고, 악성 소프트웨어 설치나, 바이러스 설치가 전혀 없었다는 사실을 빠뜨렸다. 그래놓고서 애플보고 플랫폼의 보안에 노력을 더 하라느니 설교를 늘여놓았다.

Open vs Proprietary.
해결책 중 하나는 오픈소스 개발자들의 여러 팀들과의 협동이다. 맥오에스텐 보안 소프트웨어에 필요한 상당부분은 GNU/리눅스, BSD, 그 외 다른 오픈소스 프로젝트들이 공유하고 있다. 아파치나 OpenSSH, GCC를 생각해 보시라.

그러나 마이크로소프트는 알려져 있는 윈도소프트웨어의 결함을 해결하는 패치에만 신경쓴다. 마이크로소프트 외부에서는 누구도 핵심 수준까지 코드를 열람할 수 없다.

XP와 비스타의 NT Kernel은 완전히 폐쇄적이며, 발견되지 않은 구멍으로 가득 차 있다. 또한 유닉스처럼 수 십년 동안 여러 다른 팀들의 검토를 거쳐 나온 것도 아니다.

더해서 윈도 사용자들은 아파치나 OpenSSH, GCC와 같은 프로젝트로부터 전혀 혜택을 누릴 수가 없다. 마이크로소프트가 스스로 폐쇄형 버전을 작성하고 있기 때문이다. 마이크로소프트 IIS 웹서버에서 나오는 모든 것에서부터, RPC와 컴파일러에 이르기까지, 마이크로소프트는 공유나 개방과는 전혀 거리가 멀게 작업해왔다.

Microsoft’s Massive Security Problem.
마이크로소프트의 보안 문제는 무능력한 게으름의 소산이다. 10년도 더 됐다. 하지만 그러한 결함은 지금까지도 영향을 끼치고 있으며, 마이크로소프트가 책임을 져야 한다. 이런 보안도 안 갖춰진 소프트웨어를 매년마다 수 백억 달러씩 판매해왔기 때문이다. 마이크로소프트는 위험이 불거질 때까지 윈도를 방치시키다시피 하였다.

공해 회사 변호사들이 일자리를 얻을 때가 되잖았나 싶을 정도다.

마이크로소프트가 돈을 주고 고용한 보안 전문가들은 마이크로소프트가 개선을 이뤘다고 지적하기에 바쁘다. 물론 개선은 있었다. 마이크로소프트에게 재빠르게 면죄를 해 주었기 때문이다. 하지만 오늘도 여전히 윈도 PC 스팸봇에서 나오는 스팸으로 우리의 메일함은 가득차있다.

게다가 마이크로소프트는 아직도 사용자의 편리함과 보안 간에 어떤 균형을 맞춰야 할지를 이해하지 못한 듯 하다. 모든 보안 문제를 해결했다 주장하는 비스타에서도 마찬가지다. 이는 더 큰 문제다.

Super Users and the Vistapocalypse.
비스타가 어째서 아직도 보안이 허술한지 Object Development Labs의 글렌 마샬(Glenn Marshall)이 설명을 보내왔다.

"맥은 기본적으로 수퍼유저로 돌아가지 않습니다. 즉, 소프트웨어를 루트 암호 없이 설치할 수 없다는 의미죠. 그러나 윈도는 기본적으로 수퍼유저 상태에서 돌아갑니다. 은행이 열려 있는 것이나 마찬가지에요. 오에스텐은 물론 인터넷이 사용하는 다른 오에스도 이렇지는 않아요."

"제가 볼 때, 무엇보다도 이 점때문에 맥은 안전합니다. 왜 이 점을 널리 밝히지 않는지 궁금할 정도더군요. 집단소송 전문 변호사들도 왜 이 점을 밝히려들지 않는지 궁금합니다만, 소송은 또 다른 얘기가 되겠습니다."

"공정하게 말씀드리자면, 악성 소프트웨어는 사용자 파일을 지울 수 있습니다. 당연히 악성이죠. 그런데 주안점은, 일반적으로 악성 소프트웨어는 파일을 지우기보다는 스스로를 설치하여서, 운영체제를 휘젓고 다니기 시작하죠."

"마이크로소프트는 비스타에 이르러서야, 이 점을 생각하기 시작했습니다. 하지만 제가 얘기해 본 비스타를 쓰는 사람들 모두 관리자(수퍼유저)로 비스타를 돌리더군요. '그 상태로 나옵니다' 하면서 말이죠."

"마이크로소프트가 "생각하기" 시작했다는 것 자체가 비스타로서는 '개선'인 셈입니다. 이 때문에 비스타의 히스테리에 가까운 경고 메세지는 악명 높죠. 오에스텐의 암호 요구 방식과는 대조를 이룹니다. (애플 광고에서 나온 대로이다. [Cancel or Allow.])

"소매용 비스타(할머니라도 살 수 있는 비스타를 말합니다)도 관리자 모드로 돌아갈지는 꼭 확신할 수 없습니다만, 암호를 넣어야 했다는 말은 들은 바가 없습니다. 아직도 여전하다는 얘기겠죠. 아직도요."

"은행문은 완전히 열려있는데, 누군가 은행 문 앞에 서서, 당신보도 '은행에 들어가려 하시는군요. 들어가겠습니까?'하고 묻는 것이나 마찬가지입니다. '예'라고 답하면, 당신이 스키-마스크를 썼는지, 혹은 커다란 빈 가방이 있는지 상관 안한 채로 들여보내게 됩니다."

"더 자세한 부분은 뉴욕타임즈의 데이비드 포그가 설명을 해 놓았더군요."

Recruiting Windows PCs for Botnets.
독자, Tristan의 글이다.

"앞서 언급한 모든 이유때문에 맥의 보안이 훨씬 더 뛰어나다는 점만은 완전히 동의합니다. 하지만 그렇다고 해서 맥의 적은 시장점유율이 아무런 관련이 없다고까지는 나아가지 못하겠습니다. 시장점유율이 낮으니 그 만큼 목표가 못 되는 것이죠. 인용하신 고링도 그렇게 말했습니다. 맥을 '목표'로 한 악성 소프트웨어가 적은 이유는, '아마 실제로 쓰는 맥이 더 적어서이리라'고요."

"주안점은 아마도라고 한 부분입니다. 확실하다는 얘기는 아니죠. 저 또한 20여년 가까운 맥의 '파워 유저'였습니다. 윈도와 솔라리스, 리눅스도 일 때문에 주로 사용하고 있죠. (현재는 일하는 도중에 맥북프로의 Paralles로 윈도를 돌리는 중입니다. :-) )"

"작업용 윈도 머신에서는 언제나 악성 소프트웨어나 웜, 바이러스가 넘쳐납니다. 하지만 그 어느 것도 사용자를 목표로 삼은 것은 없습니다. 제 경험상, 그런 코드의 절대 다수는 컴퓨터에 botnet을 설치하거나, 데이터 제거, 혹은 60초마다 재부팅 등을 시킬 뿐입니다."

"저도 최근, 비보호 VNC 서버를 통해 부주의하게 저 자신을 노출시킨 덕에, 제 맥에 대해 공격을 시도한 바 있는데요. 그렇다고 해서 맥오에스텐이 보안이 미진하다는 얘기가 아니죠. (제가 워낙에 노출이 되어 있었고, 그에 따라 일어난 결과이지, 맥과는 상관이 없습니다.) 하지만 공격의 성격 자체를 가지고 시끄럽게들 말하죠. 스크립트나 작성할 줄 아는 초딩들이 수 만 명은 됩니다. 이들이 자기네 컴퓨터를 개조하는 스크립트를 다운로드하거나 작성해서 스스로 botnet을 만들죠."

"그들은 신용카드 내역을 얻으려는 것도 아닙니다. 그저 열려 있는 포트를 찾아 IP 어드레스를 찾아 헤매는 스크립트일 뿐이죠. VNC 서버를 겨냥한 것에게 공격을 받은 적이 있어요. DOS 명령을 하나 내리더니, 한 FTP 서버로부터 웜을 다운로드받은 다음 실행시키더군요. 윈도 명령에 반응하지 않기 때문에 실행이 안 되던 것이 분명했습니다."

"무슨 일이 일어나고 있는지 깨닫기 전에는 몇 주일에 며칠씩 계속 재시도를 하더군요. 반복만 계속 해댑니다. 제 컴퓨터에 VNC 서버가 있어서 뭔가가 접속을 했다는 사실을 사람이 발견하기 전까지는 계속 그댈였어요."

"개별 공격을 하지는 않습니다. 특정 종류의 머신이나 운영체제, 사용자들을 찾아다니죠. 그저 여러 가지 게임을 즐길 뿐입니다. 인터넷 상의 컴퓨터 중 95% 가량이 윈도입니다. 윈도를 겨냥해야 botnet 스크립트를 돌릴 곳이 많아지죠."

"botnet을 대량 살포하려면, 물량이 중요합니다. 여러분이 작성한 스크립트의 목표를 살펴 보기만 해도, 물량이 중요해요. 줄이자면, 맥이 윈도보다 훨씬 보안이 갖춰졌다는 말에 동의합니다. 기사에 나온 이유 덕분이죠. 하지만 맥 시장점유율과 관련이 없다는 의견은 비현실적입니다."

Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast!

Did I miss any details?

Readers Write: IDG’s False Report on Mac Security

2007-04-24, 07:59 PM	#19
casaubon Moderator Registered: Sep 2001 My Mac: MacBook Air Posts: 2,138 온라인	InfoWorld의 헛발질, 독자들이 답하다 Readers Write: IDG’s False Report on Mac Security Monday, April 23, 2007 먼저 CanSecWest의 맥 깨기, “PWN to Own” 콘테스트가 열렸다. 그리고 이를 보도한 IDG의 InfoWorld는 사실을 다루지 않았다. 또한 여러 사이트들이 이 기사를 인용하면서 미신을 부추겼다. 실제로 무슨 일이 일어났는지는 전혀 지적하지 않은 채로 말이다. 심지어 CanSecWest 측도 이 주제에 대해서는 조용하다. 실제로 어떤 조건을 양보했는지, 그로 인해 어떤 결과가 나왔는지? InfoWorld나 Computerworld 외 다른 IDG 잡지들의 독자들이 낸시 고링(Nancy Gohring)의 잘못된, 그리고 미완성된 기사도 모르는 사실을 지적하였다. Speaking From The Ars. Ars Technica의 찰스 제이드(Charles Jade)는 다른 새로운 사실 추가 없이 IDG의 보도문만을 인용하였다. 제이드는 심지어 이런 대회에 내걸린 만 달러의 상금이 맥 보안의 조류를 뒤바꾸리라고까지 주장하였다. 윈도 스타일의 보안 문제를 해결할 인센티브가 마련됐다는 뜻이었다. 침입에 성공한 공로로 상금을 내렸다. 그리고는 보안 문제에 더 신경쓰라고 애플에게 알린다? 그렇게 되면 침범할 가능성, 즉, 그 시장 자체가 축소되어버린다. 어떻게 그런 콘테스트가 존재할까? 당연히 정 반대다. 소프트웨어 버그를 찾기 위해 프리랜서를 고용하는 개발사가 있다고 해 보자. 버그를 발견하여 치료방법까지 알려야 상금을 내릴 만 하다. 그렇다면 그 소프트웨어에는 버그가 더 많을까? Who’s Exploit Was It Anyway? CanSecWest는 세부사항 대부분을 비밀에 부치고 있다. 콘라트 퀼티-하퍼(Conrad Quilty-Harper)의 Endgadget 기사에 따르면, 정보가 없는 추측이라는 사실을 소개하지 않은 채로 간결하게 나온 부분만을 다뤘다. 이 기사가 맥을 크랙시키는 데에 9시간이 걸렸다는 정보도 담고 있기는 하지만, 그 전에, 하루 내내, 24시간에 걸친 노력이 무위로 돌아갔다는 지적은 하지 않고 있다. 바로 그 점때문에 CanSectWest 측은 보안 기준을 스스로 낮추었다. 맥오에스텐을 원격으로 해킹해들어가는 대신, 콘테스트 참여자들은 각자 웹브라우저에 로컬 유저로 들어가서 URL로 링크를 보낼 수 있었다. 밀실을 여는 대회가 열린다고 해 보자. 여는 데에 계속 실패하자, 전화선이 주어진다. 이 전화는 내부에 있는 이와 연결되어 있으며, 전화로 문을 열 수 있는지 알아보고, 문을 열게 된다. 기준을 낮춘 정도가 아니다. 침입이 아니라 아예 협력이다. What Did They Crack? 위 Engadget 기사에 댓글을 단 "YankInOz"라는 독자가 있다. 그는 이 '해킹'이 더 이상 쓰이지 않는, 오래된 자바 루틴이었다고 한다. 또한 이런 침입은 파이어폭스나 카미노, 사파리에서 쉽게 찾을 수 있다고도 덧붙였다. Slashdot의 한 익명의 독자는 이 침입이 자바스크립트 루틴이라고도 하였다. 썬의 자바와 넷스케이프의 자바스크립트는 이름 말고는 공통된 부분이 거의 없다. 그러나 둘 다 써드파티 브라우저 플러그인으로 존재하며, 사파리에 특화된 기능은 아니다. 자바이건, 자바스크립트이건, "맥에 특화된 침입"은 아닌 셈이다. Third Party Issues. 수많은 '보안 전문가'들이 이해하지 못해 보이는 사실도 한 가지 있다. 소프트웨어 설치가 보안 수준을 바꾼다는 것이다. 맥은 업데이트를 통해 보안을 지키는데, 소프트웨어 설치, 그리고 새로운 서비스의 개설이 이뤄지면 애플이 통제하지 않는 구멍이 생길 수는 있다. 그런데 바로 그 때문에 마이크로소프트 윈도에 보안 문제가 생겨난다. 몇 년 전에서야 보안 문제에 대처할 수 밖에 없는 상황이 된 것은 물론 마이크로소프트 책임이다. 게다가 마이크로소프트는 자신이 해결할 수 없는 문제까지 해결해야 할 지경에 처하였다. 윈도용 써드 파티 소프트웨어들이 문제다. 이들이 마이크로소프트의 노력을 무색하게 만들기 때문이다. 물론 맥에서도 똑같은 원칙이 적용된다. 파일 공유를 위해 마이크로소프트 윈도용 SMB 프로토콜을 켤 경우, 비보안 네트워크 상에서 윈도 PC와 똑같은 비보안 환경을 맥에도 들여놓게 된다. 부트캠프나 Parallels를 통해 윈도를 설치했다면, 당연히 애플의 범위를 벗어나게 된다. 바이러스에 걸릴 수 있다는 의미다. 심지어 맥 상에서 맥용 마이크로소프트 오피스를 사용하는 경우도, 짜증나는 오피스용 매크로바이러스가 맥으로 들어올 수 있다. Updating Third Party Problems. 자바나 여러가지 다른 오픈소스 소프트웨어를 맥오에스텐의 일부로 제공하기 때문에, 이 소프트웨어 패치의 책임은 애플에게 있다. 이 때문에 애플은 맥오에스텐에 포함시키는 소프트웨어에 선별을 기한다. 책임을 지기 때문이다. 애플이 정기적으로 선보이는 소프트웨어 보안패치도 외부 프로젝트에서 나오는 경우가 많다. 가장 최근의 2007-004 패치도 GNU tar와 BSD의 lukemftpd FTP 서버, MIT의 Kerberos 수정을 포함하고 있다. 맥에 번들된 모든 소프트웨어의 보안 업데이트는 애플 책임이다. 이 사실 때문에 스스로 리눅스를 꾸리는 것보다 맥오에스텐이 한 층 더 매력적이다. 수 백여 여러가지 다른 프로젝트에서 나오는 코드를 포함해도, 끊임 없이 업데이트와 패치를 애플이 해 주기 때문이다. 스스로의 버전 패키지를 설치한 다음에, 매우 복잡해진 소프트웨어와 보안의 과학을 일일이 책임져야 할 상황을 생각해 보시라. 가정에서 제작한 타이어를 차에 갖다 붙이는 것에 비유할 수 있다. 함몰됐다고 해서 포드사에 대고 타이어를 요구할 수 없다. 스스로 사제 타이어로 위험에 노출시켰기 때문이다. Lying about Security With “Vulnerability Counts.” 이와 동시에, 주요 언론사들 대부분은 특정 플랫폼에 보도된 취약성이나 침입의 횟수를 갖고 보안과 연결짓는다. 이는 솔직하지 못한 처사다. 칼럼니스트들이야 무식하달 수 있다. 그런데 전문가들도 다수가 거짓말을 하고 있다. 자기들도 그 사실을 알고 있음은 물론이다. 최근 마이크로소프트는 윈도에 스스로 조성한 보안 재앙을 넌지시 맥과 리눅스에게 넘기는 식으로, 최신 유행을 갈아탔다. 리눅스와 맥이 잠재적인 구멍이 너무나 많다. 오픈소스 유닉스 세계에서 보도된 구멍이 워낙 많고, 패치도 많아서이다. 그래서 보안 문제가 더 심각하다는 식이다. 그런데 그것이야말로 보안이 활성화되어있다는 소식이다! 군대가 눈에 보인다고 해서, 안보가 불안하다는 말과 다를 바 없다. 여러가지 전염인자를 두고 투병을 하니, 그 환자의 면역 시스템 자체가 별로이리라는 말과도 같다. What Did CanSecWest Prove? CanSecWest는 마이크로소프트가 후원하는 곳이다. 게다가 일부러 맥의 보안을 더럽히려 노력하였다. IDG의 헤드라인까지 올릴 정도이니, 일단은 성공한 셈이다. 그렇다면 이 CanSecWest가 실제로 증명한 것은 무엇인가? 정기적으로 한 사이트에 자동 방문하도록 '사용자'가 프로그래밍한 브라우저의 결함을 이용하였는데, 상당히 처절한 느낌이 든다. 더군다나 이런 인위적인 우회로도 제한적이었다. 이 주제에 대한 거의 모든 보도문은 실제로 어느 정도의 공격까지가 허용되었는지 언급하지 않고 있다. IDG의 기사는 이 공격이 "원격"이 아니었을뿐만 아니라, 공격자가 거의 모든 것을 할 수 있도록 허용되었음을 분명히 주장하고 있다. 물론 사실은 아니다. Weren’t There Two Macs? 주최측 웹사이트에서 보면, 맥이 두 대 동원되었는데, 각각 규칙은 서로 달랐다. 첫 번째 맥에서 이기기 위해, 크래커는 "기본 사용자의 홈에서 설명에 따라"야 했다. 달리 말해서, 제한적인 로컬 사용자 권리를 가진 채 접근하였다는 의미다. 두 번째 맥을 이기기 위해, 참여자는 "파일시스템 루트의 설명을 따를" 필요가 있었다. (관리자 자격이 필요하다.) 맥 두 대 모두 포기해 버린 셈이다. 이래서야 실질적인 침입이 아니다. 하지만 사용자 권리를 갖고 하루 내내 시도하였지만, 직접 맥을 깨뜨릴 수가 없었다. 그래서 주최측은 조건을 낮춘다. 사용자에게 URL을 콘테스트 관리자에게 보낼 수 있도록 하고, 이 관리자는 그 URL을 서버에 올려 놓아, 맥북프로 두 대를 동원하여 자동적으로 웹 사이트를 방문하여, 등록한 URL을 "클릭"하도록 시켰다. 조디 포스터의 "패닉룸"을 재현한 것과 마찬가지다. "안녕하세요, 패닉룸 안이죠?! 이제는 나와도 됩니다!" 문이 열린다. "아 하! 문을 깼군요!" Getting To The Root of Things. Dino Dai Zovi의 공격은 자동화된 브라우저 액션을 통한 자바 루틴인 것으로 파악된다. 그래도 그는 사용자 수준의 파일만 접근 가능했다. 사실 이 정도도 패치시킬 필요가 있는 중대한 오류랄 수 있다. 그러나 시스템에 접근하고 싶다하여, 누구나 특정 사용자의 파일에 접근하기 위해 Rube Goldberg 이벤트를 설정할 것 같지는 않다. 진정한 공격자라면 차라리 랩톱 사용자를 습격하거나, 사무실을 직접 침입, 사용자를 납치한 다음, 총을 겨누고 암호를 대라 할 것이다. 물론 이 말 자체도 웃기기는 마찬가지다. 윈도 바이러스와 웜, 스파이웨어 사업에서 쓰이는 침입 방법은 악성 소프트웨어를 관리자로 설치시키는 방식이다. 즉, 보통은 윈도의 레지스트리에 명령문을 숨기고, 악성 코드를 재설치하게 되는데, 이 때에는 사용자와 시스템, 혹은 활성화된 보안 소프트웨어 뒤에서 재설치가 이뤄진다. 그렇게 장악한 컴퓨터를 스팸 발신지로 쓰게 되니, 공격에 시간을 들일 가치는 있다. 게다가 대량으로 설치하려면, 원격 설치를 쉽게 해야 할 필요가 있다. 즉, 루트를 재빠르게 장악해야 한다. 바로 위와 같은 일들이 윈도 PC에서는 늘상 일어난다. 그러나 CanSecWest의 맥은 33시간동안 그런 일이 일어나지 않았다. 맥에 침입하기 위해 대회 규정을 낮춰야 할 정도였다. "규칙을 검토하기 위해, 첫 번째 박스는 오류를 필요로 하였다. 공격자가 사용자 수준의 권리를 갖고 셸을 얻을 수 있도록 하는 오류다. 두 번째 박스도 같은 권리와 함께, 공격자에게 루트를 제공하였다." Nancy Gohring, You Are Coming to a Sad Realization. Cancel or Allow? 두 번째 단계는 일어나지도 않았다. 누구도 만 달러의 상금(그리고 노트북)에도 불구하고 맥의 루트 권한을 가질 수 없었다. 윈도 PC에서는 가능한 수 천 개의 알려진 구멍도 소용이 없었다. 윈도에서는 브라우저 링크, 혹은 사용자가 단순히 방문한 것만 갖고도 코드를 심어 소프트웨어를 설치한다. 그러나 맥오에스텐은 설치하려는 소프트웨어에 사용자의 인증을 요구하도록 되어 있다. 윈도는 그런 기능이 없다. 심지어 "새롭고 개선되었다"는 비스타도 인증을 물어보지 않는다. 계속 허용을 클릭하실 것이냐 묻다가, 결국 허용을 클릭하게만든다. 허용하겠냐는 대화상자가 떴을 때, 대부분의 사용자는 허용을 해 버린다. 레지스트리에 기술적인 뭔가를 허용시키는 것이다. Oops, You Forgot to Include the Critical, Pertinent Facts. 고링은 이 점을 언급하지 않았고, IDG 또한 헤드라인을 수정하지 않았으며, IDG의 모든 웹은 맥도 더 이상 안전하지 않다느 식의 똑같은 기사를 올려댔다. 사실이 될 수 없다. 이들 모두, 루트 침입은 없었으며, 원격 침입도 없었고, 악성 소프트웨어 설치나, 바이러스 설치가 전혀 없었다는 사실을 빠뜨렸다. 그래놓고서 애플보고 플랫폼의 보안에 노력을 더 하라느니 설교를 늘여놓았다. Open vs Proprietary. 해결책 중 하나는 오픈소스 개발자들의 여러 팀들과의 협동이다. 맥오에스텐 보안 소프트웨어에 필요한 상당부분은 GNU/리눅스, BSD, 그 외 다른 오픈소스 프로젝트들이 공유하고 있다. 아파치나 OpenSSH, GCC를 생각해 보시라. 그러나 마이크로소프트는 알려져 있는 윈도소프트웨어의 결함을 해결하는 패치에만 신경쓴다. 마이크로소프트 외부에서는 누구도 핵심 수준까지 코드를 열람할 수 없다. XP와 비스타의 NT Kernel은 완전히 폐쇄적이며, 발견되지 않은 구멍으로 가득 차 있다. 또한 유닉스처럼 수 십년 동안 여러 다른 팀들의 검토를 거쳐 나온 것도 아니다. 더해서 윈도 사용자들은 아파치나 OpenSSH, GCC와 같은 프로젝트로부터 전혀 혜택을 누릴 수가 없다. 마이크로소프트가 스스로 폐쇄형 버전을 작성하고 있기 때문이다. 마이크로소프트 IIS 웹서버에서 나오는 모든 것에서부터, RPC와 컴파일러에 이르기까지, 마이크로소프트는 공유나 개방과는 전혀 거리가 멀게 작업해왔다. Microsoft’s Massive Security Problem. 마이크로소프트의 보안 문제는 무능력한 게으름의 소산이다. 10년도 더 됐다. 하지만 그러한 결함은 지금까지도 영향을 끼치고 있으며, 마이크로소프트가 책임을 져야 한다. 이런 보안도 안 갖춰진 소프트웨어를 매년마다 수 백억 달러씩 판매해왔기 때문이다. 마이크로소프트는 위험이 불거질 때까지 윈도를 방치시키다시피 하였다. 공해 회사 변호사들이 일자리를 얻을 때가 되잖았나 싶을 정도다. 마이크로소프트가 돈을 주고 고용한 보안 전문가들은 마이크로소프트가 개선을 이뤘다고 지적하기에 바쁘다. 물론 개선은 있었다. 마이크로소프트에게 재빠르게 면죄를 해 주었기 때문이다. 하지만 오늘도 여전히 윈도 PC 스팸봇에서 나오는 스팸으로 우리의 메일함은 가득차있다. 게다가 마이크로소프트는 아직도 사용자의 편리함과 보안 간에 어떤 균형을 맞춰야 할지를 이해하지 못한 듯 하다. 모든 보안 문제를 해결했다 주장하는 비스타에서도 마찬가지다. 이는 더 큰 문제다. Super Users and the Vistapocalypse. 비스타가 어째서 아직도 보안이 허술한지 Object Development Labs의 글렌 마샬(Glenn Marshall)이 설명을 보내왔다. "맥은 기본적으로 수퍼유저로 돌아가지 않습니다. 즉, 소프트웨어를 루트 암호 없이 설치할 수 없다는 의미죠. 그러나 윈도는 기본적으로 수퍼유저 상태에서 돌아갑니다. 은행이 열려 있는 것이나 마찬가지에요. 오에스텐은 물론 인터넷이 사용하는 다른 오에스도 이렇지는 않아요." "제가 볼 때, 무엇보다도 이 점때문에 맥은 안전합니다. 왜 이 점을 널리 밝히지 않는지 궁금할 정도더군요. 집단소송 전문 변호사들도 왜 이 점을 밝히려들지 않는지 궁금합니다만, 소송은 또 다른 얘기가 되겠습니다." "공정하게 말씀드리자면, 악성 소프트웨어는 사용자 파일을 지울 수 있습니다. 당연히 악성이죠. 그런데 주안점은, 일반적으로 악성 소프트웨어는 파일을 지우기보다는 스스로를 설치하여서, 운영체제를 휘젓고 다니기 시작하죠." "마이크로소프트는 비스타에 이르러서야, 이 점을 생각하기 시작했습니다. 하지만 제가 얘기해 본 비스타를 쓰는 사람들 모두 관리자(수퍼유저)로 비스타를 돌리더군요. '그 상태로 나옵니다' 하면서 말이죠." "마이크로소프트가 "생각하기" 시작했다는 것 자체가 비스타로서는 '개선'인 셈입니다. 이 때문에 비스타의 히스테리에 가까운 경고 메세지는 악명 높죠. 오에스텐의 암호 요구 방식과는 대조를 이룹니다. (애플 광고에서 나온 대로이다. [Cancel or Allow.]) "소매용 비스타(할머니라도 살 수 있는 비스타를 말합니다)도 관리자 모드로 돌아갈지는 꼭 확신할 수 없습니다만, 암호를 넣어야 했다는 말은 들은 바가 없습니다. 아직도 여전하다는 얘기겠죠. 아직도요." "은행문은 완전히 열려있는데, 누군가 은행 문 앞에 서서, 당신보도 '은행에 들어가려 하시는군요. 들어가겠습니까?'하고 묻는 것이나 마찬가지입니다. '예'라고 답하면, 당신이 스키-마스크를 썼는지, 혹은 커다란 빈 가방이 있는지 상관 안한 채로 들여보내게 됩니다." "더 자세한 부분은 뉴욕타임즈의 데이비드 포그가 설명을 해 놓았더군요." Recruiting Windows PCs for Botnets. 독자, Tristan의 글이다. "앞서 언급한 모든 이유때문에 맥의 보안이 훨씬 더 뛰어나다는 점만은 완전히 동의합니다. 하지만 그렇다고 해서 맥의 적은 시장점유율이 아무런 관련이 없다고까지는 나아가지 못하겠습니다. 시장점유율이 낮으니 그 만큼 목표가 못 되는 것이죠. 인용하신 고링도 그렇게 말했습니다. 맥을 '목표'로 한 악성 소프트웨어가 적은 이유는, '아마 실제로 쓰는 맥이 더 적어서이리라'고요." "주안점은 아마도라고 한 부분입니다. 확실하다는 얘기는 아니죠. 저 또한 20여년 가까운 맥의 '파워 유저'였습니다. 윈도와 솔라리스, 리눅스도 일 때문에 주로 사용하고 있죠. (현재는 일하는 도중에 맥북프로의 Paralles로 윈도를 돌리는 중입니다. :-) )" "작업용 윈도 머신에서는 언제나 악성 소프트웨어나 웜, 바이러스가 넘쳐납니다. 하지만 그 어느 것도 사용자를 목표로 삼은 것은 없습니다. 제 경험상, 그런 코드의 절대 다수는 컴퓨터에 botnet을 설치하거나, 데이터 제거, 혹은 60초마다 재부팅 등을 시킬 뿐입니다." "저도 최근, 비보호 VNC 서버를 통해 부주의하게 저 자신을 노출시킨 덕에, 제 맥에 대해 공격을 시도한 바 있는데요. 그렇다고 해서 맥오에스텐이 보안이 미진하다는 얘기가 아니죠. (제가 워낙에 노출이 되어 있었고, 그에 따라 일어난 결과이지, 맥과는 상관이 없습니다.) 하지만 공격의 성격 자체를 가지고 시끄럽게들 말하죠. 스크립트나 작성할 줄 아는 초딩들이 수 만 명은 됩니다. 이들이 자기네 컴퓨터를 개조하는 스크립트를 다운로드하거나 작성해서 스스로 botnet을 만들죠." "그들은 신용카드 내역을 얻으려는 것도 아닙니다. 그저 열려 있는 포트를 찾아 IP 어드레스를 찾아 헤매는 스크립트일 뿐이죠. VNC 서버를 겨냥한 것에게 공격을 받은 적이 있어요. DOS 명령을 하나 내리더니, 한 FTP 서버로부터 웜을 다운로드받은 다음 실행시키더군요. 윈도 명령에 반응하지 않기 때문에 실행이 안 되던 것이 분명했습니다." "무슨 일이 일어나고 있는지 깨닫기 전에는 몇 주일에 며칠씩 계속 재시도를 하더군요. 반복만 계속 해댑니다. 제 컴퓨터에 VNC 서버가 있어서 뭔가가 접속을 했다는 사실을 사람이 발견하기 전까지는 계속 그댈였어요." "개별 공격을 하지는 않습니다. 특정 종류의 머신이나 운영체제, 사용자들을 찾아다니죠. 그저 여러 가지 게임을 즐길 뿐입니다. 인터넷 상의 컴퓨터 중 95% 가량이 윈도입니다. 윈도를 겨냥해야 botnet 스크립트를 돌릴 곳이 많아지죠." "botnet을 대량 살포하려면, 물량이 중요합니다. 여러분이 작성한 스크립트의 목표를 살펴 보기만 해도, 물량이 중요해요. 줄이자면, 맥이 윈도보다 훨씬 보안이 갖춰졌다는 말에 동의합니다. 기사에 나온 이유 덕분이죠. 하지만 맥 시장점유율과 관련이 없다는 의견은 비현실적입니다." Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Did I miss any details? Readers Write: IDG’s False Report on Mac Security __________________ FAQ