CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security

casaubon · 2008-04-11, 09:59 AM

CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security
March 28th, 2008 | Markets, Mobiles, Software, Tech, the Media

Daniel Eran Dilger

선정적인 오보를 일삼는 언론에 맞춰주기 위해, 별로 상관 없어 보이는 두 그룹이 실제 보안이 마이크로소프트 윈도보다 더 낫다는 맥오에스텐의 명성을 공격하기 시작했다. 이 콘테스트는 부분적으로 마이크로소프트의 후원을 받는 CanSecWest Applied Security Conference에서 열렸으며, 소니나 후지쯔 노트북보다 맥북에어가 더 빠르게 해킹당했다고 주장한다. 그런데 수 만 마일 떨어진 Swiss Federal Institute of Technology에서도 Vulnerability Numerology를 통해, 애플 운영체제가 윈도에 비해 즉각적으로 하는 취약성 패치가 더 적다고 천명했다. 하지만 금세 유명해진 이 두 기사의 전제가 틀렸다. 왜일지 알아보자.

Charlie Miller Cracks a Mac in Two Minutes at CanSecWest.
지난 해, CanSecWest 이벤트에서 보안 견구자, 조바이(Dino Dai Zovi)는 자동으로 오염된 웹사이트에 접속하도록 만든 사용자를 설정받고 나서야, 맥의 파일을 접근할 수 있었다. 올해 콘테스트의 승자는 그의 사업 파트너인 찰리 밀러(Charlie Miller)로서, 2분만에 노트북을 뚫었다고 전해진다. 그런데 조바이와 밀러 둘 다 첫 번째 날은 시스템에 접근하지 못 하였다. 첫 번째 날은 네트워크를 통산 직접적인 공격만이 허용됐었다.

하지만 두 번째 날은 이 원칙이 누그러졌고, 그 때문에 승자가 재빠르게 가려졌다. 이메일을 보내서, 사용자가 자동적으로 이 이메일을 통해 미리 설정시켜 놓은 웹서버로 링크해 들어가도록 하였던 것이다. 덕분에 빠르게 접속이 가능해졌지만, 이것만으로 헐리우드가 갖고 있는 "해커"라는 이미지에 딱 들어맞았다. 헐리우드의 해커는 키보드만 좀 두들기다보면 즉각적으로 "메인프레임"에 접속한다. 그것도 정해진 시간 안에 말이다. 자, 보다 영리한 질문을 던져 보자. 어째서 맥이 먼저 해킹당했고, 이 공격은 어째서 그렇게 빨리 이루어졌는가?

마이크로소프트가 후원하는 이벤트에서 윈도를 먼저 공격할리 없잖은가라는 정치적인 이유가 제일 쉽겠다. 게다가 실제로 그렇게 해 봤자 뉴스거리도 못된다. 공격 속도는 밀러같은 보안 연구자들의 장사와 관련이 있다. 그는 윈도-기반 시스템만큼이나 맥(그리고 아이폰)도 침입해 들어가기가 쉽다는 점을 지속적으로 분명히 밝혀왔다. 그 점에 대해서는 잠시 후에 설명하겠다.

현실에서 윈도가 수 많은 바이러스로 시달린다는 말은, 전혀 새로울 것이 없는 사실이다. 바이러스만이 아니다. 스팸이나 광고용 보트넷에서 나오는 악성 소프트웨어에 따른 전염도 상당하다. 반면 맥 시스템에는 바이러스가 없으며, 실제적으로 악성 소프트웨어나 스파이웨어, 보트넷 문제가 없다. 그러나 전문가와 연구자들, 보안 제품 영업사원들은 끊임 없이, 맥이 심각한 보안 문제를 안고있을뿐만 아니라, 윈도 PC보다 훨씬 취약성이 많기때문에 시달릴 수 있다 주장해왔다. 어떻게 이런 모순적인 개념을 조화시킬 수 있을까?

Gone in 2 minutes: Mac gets hacked first in contest - Yahoo! News
InfoWorld Publishes False Report on Mac Security

Attacking the iPhone.
밀러는 자신의 보안전문가라는 명성을 위해 열심히 노력해왔다. 보안전문가의 의미는, 눈에 띌 만한 목표를 정해서, 고도의 공격을 발견해낼 만한 능력을 보여준다는 것이다. 지난 해, 밀러는 오픈소스 Perl Compatible Regular Expression Library 소프트웨어와 관련 있는, 아이폰 취약성에 대해 묘사한 적이 있다. 이 취약성이 바로 jailbreak와 관련이 있다. 애플의 보안 장벽을 우회하여, 아이폰에 원하는 소프트웨어를 설치할 수 있게 해 주는 것이 바로 jailbreak다. 하지만 이 의미는, 전염된 사이트에 스스로 접속하게끔 하는 악성 소프트웨어를 사용자가 스스로 패치가 안 된 아이폰에 설치할 수도 있다는 잠재성을 갖는다.

그러나 아이폰 보안에 대한 그의 공격은 밀러의 악명만 높여줬을 뿐이다. 그렇게 기사가 나왔음에도 불구하고, 악성 소프트웨어 업계는 수 백만 대의 아이폰을 향해 공격하지 않았다. 어째서일까? 일단 위의 PCREL은 결국 패치가 됐다는 점을 알려드린다. 취약점이 공개된 지 불과 수 주일만에 일어난 패치였다. 악성 소프트웨어 저작자들은 아이폰 공격을 하려다가도, 금세 다시 머리를 짜야 한다는 의미다. 그것도 계속 말이다. jailbreak 커뮤니티도 계속 재작업을 해왔다. 악성도 아닌, 다만 지원을 못받는 애플리케이션 설치를 위해서 말이다.

지원받지 못하는 애플리케이션 설치를 유지하기 위한 작업만 하더라도 몇 달이 걸렸다. 아이폰의 보안 장벽을 공격하는 식으로, 아이폰에 이런 애플리케이션을 설치하는 방법을 유지해왔다. 스파이웨어와 스팸 업계가 똑같은 툴로 아이폰을 어째서 공격하지 않을까? 필자가 앞서 지적했듯, 아이폰은 악성 소프트웨어 업자들의 좋은 목표감이 되지 못한다. 그 이유는 이러하다.

보트넷 스패밍까지 돌릴 정도로 사용 기반이 아직은 그리 크지 못하다.
네트워크 업링크 속도가 너무 느려서(혹은 간헐적이어서) 스팸에 적당하지 않다.
널리 개방된 윈도와는 달리, 아이폰은 폐쇄형이기 때문에, 공개적인 침입도 재빠르게 막을 수 있다.
아이폰 소프트웨어 업데이트는 PC 업데이트에 비해 훨씬 전달하기가 쉽다.
PC와는 달리, 아이폰을 아이튠스에 연결시켜 놓고, 복구만 클릭하면, 아이폰은 즉각적으로 청소가 된다.

따라서, 아이폰 보안 문제를 찰리 밀러가 그렇게 많이 제기했음에도 불구하고, 아이폰을 실제로 노리고 한 보안 공격은 없었다. 심지어 아이폰용 바이러스가 실제로 출현한다 하더라도, 복구가 쉽고 빠르기 때문에, 피해는 제한적일 수밖에 없다. 밀러는 그동안 아이폰의 심각한 오류에 대해 꾸준히 지적해왔지만, 그런 이류와 실제 사용자들에게 중요한 위험은 별반 관계가 없다. 이론상 아이폰은 계속 침입을 당해왔지만, 실질적으로 아이폰은 침입당한 적이 없다.

Kim Zetter and the iPhone Root Security Myth
UnWired! Rick Farrow, Metasploit, and My iPhone Security Interview
About Security Update 2007-007: CVE-ID: CVE-2007-3944

The Theory of Vulnerability.
이 때문에, 아이폰 사용자들에 대한 지속적인 밀러의 경고도 별 소용이 없었다. 맥 사용자들에 대해서도 마찬가지다. 이론상의 취약점에 대해 실제로 고생하는 맥 사용자는 없다. 그러나 윈도 열광론자들은 맥 시장에서 악성 소프트웨어가 없는 이유는, 단지 맥 시장이 윈도에 비해 점유율이 낮아서일 뿐이라 계속 주장하기를 즐겨한다. 이 아이디어는 틀리기도 하고, 너무나 단순하기도 하다.

우선, 맥 시장점유율은 특정 시장에서 지속적으로 증가해왔다. 실제로 취약성을 활용할 만한 세력이 있다면, 활용해 볼 만한 정도에까지 말이다. 그랬다면 정말 문제가 심각했을 것이다. 전 PC 데스크톱과 웍스테이션, 서버에 비한 세계시장점유율은 분명 낮지만, 미국 내 애플은 판매되는 컴퓨터의 8%를 넘겼다.

더구나 애플은 기업 시장 점유율이 낮다. 즉, 미국 시장점유율 8%를 고려할 때, 가정과 소규모 사무실, 교육시장의 애플 점유율은 10~20% 정도 될 것이다. 그러나 맥용 악성 소프트웨어는 여전히 보이지 않는다. 맥은 걱정해야 할 악성 소프트웨어가 실질적으로 없으며, 안티-바이러스 프로그램을 돌리는 이들도 극소수다. 스파이웨어 클린이 있어야 할 이유가 없으며, 복구 유틸리티도 마찬가지다. 맥은 윈도 문제의 1/10만큼을 갖고 있지 않다. 실질적으로 걱정해야 할 보안 문제가 전혀 없다.

게다가 전문가들의 논리에 한 가지 더 결함이 있다. 애플이 제일 강세를 보이는 시장이야말로 악성 소프트웨어가 제일 판치는 시장이다. 누가 전문 방화벽을 깨려 시도하는가? 누가 스파이웨어를 만드는가? 맥 사용자들로부터 돈을 빼앗기가 더 쉬웠다면, 분명 맥도 스파이웨어나 명의도용의 표적이 되었을 것이다. 애플의 기존 시장기반 또한 악성 소프트웨어 업자들에 대해, 대단히 매력적이다. 그러나 바이러스는 없고, 악성 소프트웨어가 실제로 피해를 일으키는 바도 없다. 이 사실이야말로 시장점유율 문제를 갖고 주장하는 이들의 수치 맹신에 대한 진실을 더 잘 알려준다.

10 FAS: 10 - Apple’s Mac and iPhone Security Crisis

Swiss Swing and a Miss.
Swiss Federal Institute of Technology의 보고서를 살펴보자. 애플 증오자인 CNET의 조지 우(George Ou)와 같은 이들도 여기에 장단을 맞추고 있다. 스위스의 저 그룹은, 결함이 공개됐을 때의 바로 그 날, 지난 6년간 애플과 마이크로소프트가 얼마나 자주 패치를 해왔냐를 따졌다. IDG의 기사에 따르면, 그들은 이것을 0-day patch rate라 부른다.

그들의 결론은 다음과 같다. "취약성에 대해 패치를 안한 횟수는 애플이 더 높다." 덕분에 IDG 기사의 저자는 기괴한 부정으로 글을 선정적으로 만들었다. "그동안 마이크로소프트는 보안에 대해 더 많은 관심을 기울여왔다. 동 결과는 그 점을 확인시켜준다 하겠다. [마이크로소프트 보안연구부 부장인] 앤드류 커쉬만(Andrew Cushman)이 [연구 보고서 저자인] 프라이(Frei)에게 물었다. "마이크로소프트가 이 연구를 후원했나요?" 프라이의 답변이다. "본 연구는 독립 학술 연구입니다."

IDG는 마이크로소프트가 후원을 안했다는 점을 드러내고 싶었던 모양이다. 왜일까? 마이크로소프트 직원이 어째서 자기 회사가 그런 연구 보고서를 후원했으리라 생각했을까? 마이크로소프트의 마케팅 목표에 따른 "연구"를 후원하는 회사로서, 마이크로소프트가 매우 잘 알려졌기 때문이다. 그러나 이 보고서가 후원이 누구냐를 따질 정도는 아니다 보고서 자체가 무책임한 쓰레기이기 때문이다.

Vista vs Mac OS X Security: Why George Ou’s ZDNet Vulnerability Numerology is Absurd
security.itworld.com - Microsoft vs. Apple: Who patches 0-days faster?
PdfMeNot.com - 0-Day Patch Study

Why the Swiss Study was Fatally Flawed.
이 보고서가 완전히 쓸모 없는 주된 이유는, 별로 관계 없는 플랫폼끼리 "제로-데이" 패치 횟수를 비교했기 때문이다. 이것이 왜 오류인지 세 가지 이유가 있다. 다시 말하건데 "제로-데이" 패치란, 오류가 공개화되었을 때, 그 날 바로 단행하는 패치를 일컫는다.

사실 공개화되기 이전에 이미 수정이 일어나는 이론상의 침입이 많다. 물론 패치가 되기 전에 수 주일, 심지어 수 년이 걸리는 오류도 있다. "무지에 따른 보안"이라는 커튼 뒤에 숨는 것보다, 패치가 안 된 오류가 더 심각하게 들리긴 하다. 그러나 패치는 고사하고, 공개되기도 전에, 악성 소프트웨어 저작자가 발견하여 팔아치우는 오류도 많다. 즉, 제로-데이 패치란, 당사자 기업이 알고 있는 오류일 때에만 이상적이랄 수 있다. 이 보고서는, 드러나지 않았지만 발견은 된 오류를 무시하였다. 사실 그런 오류를 조사해서 규명해내기란 더 어렵다. 그렇다고 해서 덜 위험하지도 않다.

윈도는 그런 오류들로 가득하다. 발견은 됐지만, 공개가 안되고 패치도 안 된 오류들이다. 그러나 맥오에스텐은 그렇지 않다. 바이러스가 없으며, 악성 소프트웨어 문제도 없다. 하지만 이런 사실을 고려하지 않더라도, 제로-데이 패치 보고서를 주의깊게 보면, 세 가지 측면에서 매우 엉터리라는 점을 알 수 있다.

1. 특정 취약성때문에 야기된 상대적인 위협과 그 위협의 범위는 취약성을 수치로 판단하는 이들이 좋아하는 통계에서 사라져 있다. 윈도에 악명 높은 "shatter attack"이라고 있다. 윈도 아키텍쳐의 근본적인 결함을 활용하는 공격으로서, 비스타가 나와서야 드러났다. 이 오류는 단순한 버퍼 오버플로 에러가 아니다. 마이크로소프트는 윈도 NT/2000/XP를 출시할 때, 모든 서비스를 인터랙티브 데스크톱 안에 집어 넣었다. 그리고 이 서비스에게 모두 동일한 높은 권한도 주었다. 이런 허술한 디자인이 2002년 널리 보도되었으나, 여러 가지 이유로 많은 사용자가 쓰지 않는 비스타가 나올 때까지 완전히 드러난 적은 결코 없었다.

윈도 XP와 2008년 이전이 서버 버전은 여전히 이 "shatter attack"에 노출되어 있지만, "연구자"들은 이런 심각한 결함을 단순히 목록상 하나로 셌을 뿐이다. 별로 관계 없는 시스템 간에 취약성이 몇 개, 몇 개인지 세는 것이 얼마나 무책임하고 무식한 방법인지 드러내는 사례이다. 맥오에스텐은 윈도의 서비스 아키텍쳐나 shatter attack 같은 문제를 갖고 있지 않다. 잘 알려지고, 존중받는 유닉스의 이점을 누리기 때문이다.

유닉스는 수 십년 동안 학술단체가 검토, 조사하고 구축해 왔으며, 개별 유틸리티와 소프트웨어 패키지 또한 보통 공개되어 있다. 애플의 코어 OS, 다윈(Darwin)처럼 말이다. 다윈은 맥오에스텐의 기반으로서, Mach/BSD 하이브리드이다. 마이크로소프트의 윈도 커널과 코어 OS 기반은 그런 독립적인 검토와 조사를 비슷하게 하지 못한다. 제로-데이 패치의 수를 세고, 오류가 공개된 때에 나오는 패치가 나온 날짜나 추적한다고 해서, 실제 보안과는 별다른 관련이 없다. 엉뚱한 통계를 분석하는 수고를 하는 셈이다.

Mac OS X에서는 풀렸지만 윈도우즈에는 여전한 구조적 오류 다섯 가지

2. 마이크로소프트 운영체제는 완전히 폐쇄형이다. 속이 어떻게 돌아가는지 들여다볼 써드파티 연구자들은 거의 없기에, 패치되기 전에 결함을 쉽사리 발견할 수 없다. 애플 맥오에스텐의 절반도 폐새형 소스이다. 애플 또한 애플 외 누구도 알지 못하는 결함용 패치를 유사하게 출시한다. 차이점은 이렇다. 마이크로소프트가 미지의 오류용 패치를 출시할 때, 언론은 이를 치하한다. 하지만 애플이 패치를 내놓으면, 컴퓨터 전문가들은 얼마나 많으면 패치를 내놓겠냐며 혀를 찬다. 존재하는지 아무도 몰랐던 오류를 수정하는 패치인데도 말이다. 그리고 애플 소프트웨어가 문제가 많아서 패치가 나온다는 식으로 선정적인 기사를 올린다. 상당히 위선적이다. 하지만 애플이 보안 패치를 출시할 때마다 이런 일이 정확히 되풀이된다.

그러나 부정직한 Vulnerability Numerologists처럼, 스스로 작동하는 기괴한 무언가가 있다. 윈도의 오류는 언제나 윈도 커널과 셸, 그리고 핵심 번들 유틸리티 안에서만 발견되는 버그로 치장된다. 인터넷 익스플로러와 Exchange email과 같은 서버 제품군, IIS 웹서비스, 그 외 다른 소프트웨어에서 발견되는 오류는 언제나 제외다. 각 제품군은 고유의 중대한 오류를 갖고 있기에, 충분히 알려야 할 가치가 있다. 하지만 맥오에스텐과 리눅스에 대해서만은 Vulnerability Numerologists는 배포본과 관련 있는 모든 오픈소스 패키지에 보고된 오류를 모조리 다 센다. 여기에는 웹브라우저와 이메일, 웹서버, 그리고 관련있는 모든 라이브러리와 패키지를 포함한다.

물론 마이크로소프트 IIS 오류가 데스크톱 사용자에게 영향을 끼치지는 않잖겠냐는 합리적인 주장을 펼 수도 있겠다. 이 서비스를 사용하는 이들이 극히 드물기 때문이다. 그러나 PHP와 아파치, 삼바, 그 외 맥오에스텐이나 리눅스에 번들되어있는 모든 오픈소스 제품에서 발견된 모든 취약점을 탐욕스레 오류로 구성하는 "연구자"들이다. 이들은 그런 툴을 실제로 어떻게 쓰는지, 실제로 침입에 어떻게 쓰이는지는 관심을 갖지 않는다. 위선과 부정직한 이들이 모든 취약성을 몰아세우는 셈이다.

다른 측면도 있다. CanSecWest 콘테스트 승자인 밀러와 같은 보안 연구자들은 오픈소스 소프트웨어의 오류를 쉽사리 발견하고는, 아무런 보고도 않은 채, CanSecWest와 같은 이벤트 때 맥오에스텐을 수 분 내에 해킹하는 식으로 써먹을 수 있다. 밀러는 콘테스트가 열리고 밀러에게 충분한 접근권을 주기 이전부터, 자기가 무엇을 사용해 침입할지 훤히 알고 있었다.

맥오에스텐이 사용하는 오픈소스 패키지에 있는 오류를 밀러는 훤하게 알고 있었다. 문제는 이것이 실제로 맥에게 보안 문제를 일으키는 것이 아니라, 신중하게 계획된 보안 콘테스트에서만 쓸 만하다는 점이다. 밀러는 오픈소스의 약점에 집중하였지만, 실제로 그러한 개방성은 강점이다. 애플도 맥오에스텐의 모든 패키지 보안 픽스에 커뮤니티의 성과를 반영할 수 있거나 반영한다. 밀러의 공격이 오픈소스가 아닌, 애플을 겨냥한 점을 확신하지만, 그의 방법은 커뮤니티의 개방성을 활용하여 자기 주가만 높인 식이었다. 오픈소스를 욕보인 행위다.

마이크로소프트의 윈도 오류는 숨겨져 있으며, 오픈소프트웨어에서의 오류처럼 잘 알려져있지 않다. 맥오에스텐과 다른 유닉스, 리눅스 배포본을 계속 강력하게 만들어주는 커뮤니티 메커니즘이 아니다. 애플이 맥오에스텐에 있는 오픈소스 패키지를 즉각적으로 업데이트해야 한다는 연구자들의 주장이 많고, 애플의 느린 반응이 위험도를 어느 정도 노출시키는 것도 사실이다. 하지만 강력한 보안이 필요한 전문 사용자들 대다수는 스스로 더 높은 버전의 오픈소스 라이브러리와 패키지를 따로 설치할 수 있는 이들이다. 윈도 사용자들은 그렇지 않다.

오픈소스는 강력하다. 별개의 두 플랫폼 취약성 수를 세며 비교하여 0-데이 통계수치를 내는 방식은 숲 안의 나무를 숲 자체로 볼 수 없다는 점을 증명해준다.

애플의 오픈소스 공격
마이크로소프트의 이길 수 없는 전쟁

3. 스위스 보고서의 세 번째 문제는 "0-데이" 자체에 있다. 지구상에 있는 모든 오픈소스 패키지는 투명성(보안 전문가들에게 널리 개방되어있다)과 함께, 리비전 과정이 문서화되어있다. 애플도 이런 패키지를 맥오에스텐 안에 번들시켜 놓는다. "보안 연구자"들이 널리 알려진 문제 수를 계산해서 애플이 출하중인 것과 비교하는 것은 정말 쉬운 일이다. 마이크로소프트는 윈도 배포판 일부로, 오픈소스 프로젝트를 포함시키지 않기 때문에, 윈도에서 문제를 발견하고 보고하려면, 상당한 작업이 필요하다.

코드 보안과 "불분명에 따른 보안"에도 불구하고, 윈도에서 발견되는 버그는 맥오에스텐이 담고 있는 모든 오픈소스 라이브러리에서 발견되는 버그 수와 유사하다. 문제의 보고서는 이렇게 적고 있다. "마이크로소프트의 취약성은 658가지, 맥오에스텐[그리고 애플이 맥오에스텐에 출하시켜 놓은 오픈소스 프로젝트]은 738가지이다."

애플이 사용하는 오픈 소프트웨어는 애플이 패치를 내놓기 전에 이미 널리 문제를 알린다. 그러니 놀라울 것도 없다. 반면 윈도의 폐쇄형 코드의 오류는 패치되기 이전에 잘 알려지지 않는다. 발견과 보고, 패치의 타이밍을 확실히 하기 위해, 동 보고서는 취약성의 주기에 대해 네 가지 정의를 내린다.

발견시기: 오류를 처음으로 발견한 시기(폐쇄형 소스코드의 경우 내부적으로 발견한 시기)
침입시기: 바이러스나 해커 툴 등이 동 오류를 사용하여 개발될 때
공표시기: 발견된 오류를 대외적으로 발표할 때
패치시기: 해당 업체가 패치로 오류를 해결할 때

0-데이 패치는 오류가 공개된 바로 그 날 패치가 이뤄진 때이다. 벤더가 오류 발견을 스스로 하면 정말 쉬운 일이다. 따라서 0-데이 패치로 따질 때, 마이크로소프트는 엄청나게 유리해진다. 오픈소스로 노출되지 않는 오류이기 때문이다. 하지만 애프은 오픈소스를 사용하기 때문에, 써드파티가 오류를 발견하고, 애플이 공식적인 패치를 내놓기 전에, 이 오류를 발표할 기회가 많다.

스위스 보고서에서 또 한 가지 주목할 점이 있다. 써드파티가 공급한 패치를 인정하기 거부한다는 점이다. 즉, 0-데이 패치 횟수는 오류를 처음으로 발견한 회사가 누구냐를 왜곡하고 있으며, 오픈소스 프로젝트에 들어간 써드파티 패치 자체를 고려하지 않아서, 오픈소스를 다시금 왜곡시킨다. 애플이 공식적으로 패치할 때만 센 셈이다. 달리 보면, 이 보고서는 패치 정보를 사용자들이 효과적으로 활용하는지 여부는 따져보지 않은 채, 오류를 피하는 방법 등에 의한 것으로만 패치를 정의내렸다.

따라서 마이크로소프트가 취약성을 막기 위해, 특정 행위를 사용자보고 하지 말라면서, 자사 웹사이트의 Knowledge Base 글타래에 적어 놓았으면, 이 또한 "패치"로 친다는 의미다. 반대로, 애플이 뭔가 오픈소스 라이브러리를 번들시켰는데, 여기서 발견된 오류를 써드파티가 패치시킬 수 있는 경우, 이것은 패치가 아닌 셈이다. (대표적인 사례가 있다. 아이폰 libtiff 오류이다. 애플이 발표하기 전에, 커뮨티가 먼저 패치해냈다.) 그런데 이것이 다가 아니다.

The Colors of Risk.
스위스 보고서는 패치나 취약성 발견 이전 시기에, 위험을 표시하는 방법으로 세 가지 색상을 정의내렸다.

검은색 위험: 발견되고나서, 발표를 하여 일반인들이 해당 문제점을 알게 될 때까지의 시기
회색 위험: 발견되고나서, 패치되기 전, 즉, 문제점을 일반인들이 알긴 하지만, 해결책이 아직 안나온 시기
백색 위험: 패치가 나온 후부터 설치 전, 즉, 일반인들이 패치를 하지만 아직 설치하기 전 시기

이 보고서는 마이크로소프트를 폐쇄형 소스 업체로 추켜세운 뒤, 마이크로소프트의 문제를 모두 다 회색위험에다 놓았다. 하지만 PC 사용자들에게 영향을 끼치는 진짜 문제는 검은색 위험이다. 전혀 모르는 방식으로 공격을 받기 때문이다. 패치가 존재하되, 사용자들이 설치할줄 모르거나, 잘 되지도 못한 패치툴을 애써 설치하지 않으려 하는 백색 위험도 마찬가지로 위험하다. 두 문제 모두 윈도 사용자들에게 상당한 위험을 끼친다. 그러나 스위스 보고서는 오류가 일반에게 알려지고(즉, 발견될 때가 아니고, 공개화된 때를 의미한다), 패치가 언제 이루어지는지만 집중한다. 웃기는 일이다.

News Flash: Apple Better At Delivering Software Than Microsoft.
보고서가 분명히 지적하였지만, 수사아게도 IDG가 다루지 않은 내용 또한 존재한다. 애플이 보안 패치 면에서 지난 6년동안 마이크로소프트를 능가해왔다는 사실이다. 애플은 815번의 패치를, 마이크로소프트는 678번의 패치를 하였다. 마이크로소프트가 훨씬 더 거대한 보안 문제를 겪고 있으며, 더 침입할 경로도 많고, 보안 문제 때문에 실제로 겪는 손해도 많다는 점을 간안해도 이러하다. 더군다나 마이크로소프트가 자사의 "기업 고객"들에게 제공한 패치도 여기에 포함되어있다. 마이크로소프트는 패치의 수를 개선시켰지만, 애플은 훨씬 더 빠르게 대응해왔다. 지난 해만 세면, 거의 두 배를 더 많이 하였다.

IDG 기업 보고서에는 왜 이 내용이 생략되어 있을까? 마이크로소프트 듣기 좋은 소리가 아니기 때문이다. 스위스 보고서는 양사가 제공하는 운영체제의 메이저 버전 수도 지적한다. 그런데 이 보고서는 애플의 경우, 소매판매되는 버전만을 쳤고, 마이크로소프트의 경우는 서비스팩까지 메이저 리비전으로 쳤다. 메이저 리비전 횟수는 개발비가 많이 들고, 시간에 쫓기는 보안 패치를 더 내놓기 힘들게 한다는 점을 반영한다.

애플은 마이크로소프트보다 엔지니어링 팀도 훨씬 적다. 그럼에도 불구하고, 주요한 업데이트를 더 많이 내놓았다. 이를 폄하하는 것은 어처구니 없는 짓이다. 2002년 이래 양사가 내놓은 주요 업데이트 수를 센다면 애플은 아이폰용 오에스텐 업데이트를 제외시켜도 33번에 이른다. 그러나 마이크로소프트는 7회이다. 또한 윈도 서버 서비스팩도 메이저 업데이트라고 치면서, 맥오에스텐 서버의 출하는 세지도 않았다. 이런 수치까지 모두 감안한다면, 애플은 지난 6년간 66번의 메이저 업데이트를, 마이크로소프트는 7번을 하였다. 이런 것도 0-데이 패치 보고서에 올라가야하지만, 불행히도 그렇지 못하였다.

그렇다면 어째서 스위스 팀은, 맥 사용자들에게 바이러스나 악성 소프트웨어 문제가 전혀 없다는 현실을 어째서 도외시하는 선정적 보고서를 만들었을까? 애플 운영체제가 그리도 침입이 쉽다면, 당연히 문제가 많아야 할 것 아닌가? 윈도 보안은 공격해봤자 별 주목을 못받는다. 맥에 바이러스가 없으며, 윈도 플랫폼에는 현실적인 악성 소프트웨어 문제도 없다고 광고할 때, 애플이 거짓말을 한다는 주장 또한 팔리는 "뉴스"는 못된다. 그러나 진실을 믿고 싶어하지 않는 우중의 편견 조성엔 한 몫 톡톡히 한다.

IDG는 애플을 근거 없이 깎아내려서 윈도 팬들의 독자층을 확보하기 원하며, 스위스 팀은 그런 기사를 지원하기 위한 보고서를 꾸며낸다. 두 당사자 모두 완전히 대중을 홀리고 속이는 악명을 얻게 되었다.

Ten Myths of Leopard: 10 Leopard is a Vista Knockoff!: 64-bitness

How to Prove the Truth Is Wrong.
진실을 반박하는 것 자체야 너무나 쉽다. 하지만 인류는 거짓말쟁이들에게 완전히 취약한 정보 취합 메커니즘을 구축해 놓았다. 선전이나 일삼는 자들은 예전부터 오류를 지집고 들어왔다. 하지만 거짓말을 지속적으로 퍼뜨리면, 결국 양떼는 이 거짓말을 비판 없이 받아들이게 된다.

사례가 있다. 미국 대통령들이 그동안 주장한 연방정부 지출액의 현실을 비교해 보라. 공화당 우파에 따르면, 민주당의 "세금과 지출" 정책이 적자를 키웠으며, 이것이 경제 성장의 발목을 잡고, 생산성을 줄였다고 주장한다. 이 메시지를 수 십년 동안 공화당 위주의 씽크탱크들이 주입시켜왔다. 하지만 실제로 지난 수 십년동안 어느 대통령 시기에 지출액이 실제로 어떠했는지를 보면, 이들의 주장이 완전히 틀렸음을 알 수 있다.

Why Windows Enthusiasts Refute the Truth.
보안 문제를 애플이 느리게 대처해서, 맥 또한 "윈도 만큼이나 나쁘다"는 주장은 적어도 2003년 이후로 계속 여러 당사자들이 주장해왔다. 그럴듯한 이유도 아주 많다. 다음과 같다.

밀러와 같은 보안 연구자들은, 취약성 발견에 대해 선정적으로 일을 해야 직업을 유지할 수 있다.
스위스 그룹과 같은 씽크탱크는 선정적인 보고서를 올려야 관심을 끌어모을 수 있다.
명성갖고 먹고 사는 칼럼니스트와 전문가들 또한 통계적으로 오류를 스스로 만들어내서 지실을 외면하고, 마이크로소프트로부터 직접 후원을 받는 단체들은 윈도가 그리 심하게 보안문제를 겪지는 않는다는 보고서를 올린다.

아무튼 윈도는 심각한 보안 오류를 안고 있으며, 앞으로도 겪게 되리라는 사실만은 남아있다. 마이크로소프트가 윈도 비스타에서 개선시킨 보안성은 상당하지만, 여러 사용자 입장에서는 이론상 개선일 뿐이다. 하드웨어 사양때문에 비스타를 사용할 수도 없는 이들이 많으며, "일단 두고보자"는 식의 기업 고객들도 비스타로 업그레이드하고 있지 않다. 이들 역시 지출이나 라이센스를 늘리고 있지 않다. 문제많은 SP1 출시 이후로 더 상황은 안좋아졌다.

What Needs To Happen Around Here.
90년대동안 마이크로소프트는 단기적인 이윤만을 좇았다. 그리고 실제상의 보안 문제를 도외시한 채, 운영체제를 허술하게 구축시켜 놓았다. 또한 일찌기 전례가 없는 최악의 보안 문제를 퍼뜨리고서도, 딱히 고쳐야 할 필요성도 느끼지 않았다. 마이크로소프트는 대단히 많은 문제를 일으키고도, 마치 문제가 존재하지 않는 양 행세하고싶어한다. 이 점을 보안 연구자들도 인정해야 한다.

마이크로소프트는 윈도 사용자들을 위해, 스스로 자기 돈을 들여서 보안 문제를 해결해야지, 비스타를 비싼 값에 팔아서 문제를 해결하려한다. 지난 10년동안 커지기만 한 문제점들을 대거 고쳤다고 하는 비스타이다. 하지만 비스타도 그리 잘 돌아가지는 않는다.

거대 언론은 마이크로소프트로부터 받는 막대한 광고수입보다는, 사실을 말해야 하고, 독자들에게 정보를 주어야 한다. 모든 뉴스 기사마다 마이크로소프트에게 충성을 선언하여 광고비를 받는 것이어서는 안된다. 하지만 거대 언론은 필자같은, 좋은 기술과 공정경쟁에 왜곡된 사람의 말을 들어야 할 이유가 없다. 당연하다. 필자는 소비자와 협력업체, 기술 그 자체로 봐서도 전혀 좋지 않은 마이크로소프트의 범죄적인 행위에 반대한다.

What do you think? I really like to hear from readers. Comment in the Forum or email me with your ideas.

Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Submit to Reddit or Slashdot, or consider making a small donation supporting this site. Thanks!

CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security

2008-04-11, 09:59 AM	#1
casaubon Moderator Registered: Sep 2001 My Mac: MacBook Air Posts: 2,106 오프라인	맥 보안에 대한 공격. 어디까지 진실일까 CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security March 28th, 2008 \| Markets, Mobiles, Software, Tech, the Media Daniel Eran Dilger 선정적인 오보를 일삼는 언론에 맞춰주기 위해, 별로 상관 없어 보이는 두 그룹이 실제 보안이 마이크로소프트 윈도보다 더 낫다는 맥오에스텐의 명성을 공격하기 시작했다. 이 콘테스트는 부분적으로 마이크로소프트의 후원을 받는 CanSecWest Applied Security Conference에서 열렸으며, 소니나 후지쯔 노트북보다 맥북에어가 더 빠르게 해킹당했다고 주장한다. 그런데 수 만 마일 떨어진 Swiss Federal Institute of Technology에서도 Vulnerability Numerology를 통해, 애플 운영체제가 윈도에 비해 즉각적으로 하는 취약성 패치가 더 적다고 천명했다. 하지만 금세 유명해진 이 두 기사의 전제가 틀렸다. 왜일지 알아보자. Charlie Miller Cracks a Mac in Two Minutes at CanSecWest. 지난 해, CanSecWest 이벤트에서 보안 견구자, 조바이(Dino Dai Zovi)는 자동으로 오염된 웹사이트에 접속하도록 만든 사용자를 설정받고 나서야, 맥의 파일을 접근할 수 있었다. 올해 콘테스트의 승자는 그의 사업 파트너인 찰리 밀러(Charlie Miller)로서, 2분만에 노트북을 뚫었다고 전해진다. 그런데 조바이와 밀러 둘 다 첫 번째 날은 시스템에 접근하지 못 하였다. 첫 번째 날은 네트워크를 통산 직접적인 공격만이 허용됐었다. 하지만 두 번째 날은 이 원칙이 누그러졌고, 그 때문에 승자가 재빠르게 가려졌다. 이메일을 보내서, 사용자가 자동적으로 이 이메일을 통해 미리 설정시켜 놓은 웹서버로 링크해 들어가도록 하였던 것이다. 덕분에 빠르게 접속이 가능해졌지만, 이것만으로 헐리우드가 갖고 있는 "해커"라는 이미지에 딱 들어맞았다. 헐리우드의 해커는 키보드만 좀 두들기다보면 즉각적으로 "메인프레임"에 접속한다. 그것도 정해진 시간 안에 말이다. 자, 보다 영리한 질문을 던져 보자. 어째서 맥이 먼저 해킹당했고, 이 공격은 어째서 그렇게 빨리 이루어졌는가? 마이크로소프트가 후원하는 이벤트에서 윈도를 먼저 공격할리 없잖은가라는 정치적인 이유가 제일 쉽겠다. 게다가 실제로 그렇게 해 봤자 뉴스거리도 못된다. 공격 속도는 밀러같은 보안 연구자들의 장사와 관련이 있다. 그는 윈도-기반 시스템만큼이나 맥(그리고 아이폰)도 침입해 들어가기가 쉽다는 점을 지속적으로 분명히 밝혀왔다. 그 점에 대해서는 잠시 후에 설명하겠다. 현실에서 윈도가 수 많은 바이러스로 시달린다는 말은, 전혀 새로울 것이 없는 사실이다. 바이러스만이 아니다. 스팸이나 광고용 보트넷에서 나오는 악성 소프트웨어에 따른 전염도 상당하다. 반면 맥 시스템에는 바이러스가 없으며, 실제적으로 악성 소프트웨어나 스파이웨어, 보트넷 문제가 없다. 그러나 전문가와 연구자들, 보안 제품 영업사원들은 끊임 없이, 맥이 심각한 보안 문제를 안고있을뿐만 아니라, 윈도 PC보다 훨씬 취약성이 많기때문에 시달릴 수 있다 주장해왔다. 어떻게 이런 모순적인 개념을 조화시킬 수 있을까? Gone in 2 minutes: Mac gets hacked first in contest - Yahoo! News InfoWorld Publishes False Report on Mac Security Attacking the iPhone. 밀러는 자신의 보안전문가라는 명성을 위해 열심히 노력해왔다. 보안전문가의 의미는, 눈에 띌 만한 목표를 정해서, 고도의 공격을 발견해낼 만한 능력을 보여준다는 것이다. 지난 해, 밀러는 오픈소스 Perl Compatible Regular Expression Library 소프트웨어와 관련 있는, 아이폰 취약성에 대해 묘사한 적이 있다. 이 취약성이 바로 jailbreak와 관련이 있다. 애플의 보안 장벽을 우회하여, 아이폰에 원하는 소프트웨어를 설치할 수 있게 해 주는 것이 바로 jailbreak다. 하지만 이 의미는, 전염된 사이트에 스스로 접속하게끔 하는 악성 소프트웨어를 사용자가 스스로 패치가 안 된 아이폰에 설치할 수도 있다는 잠재성을 갖는다. 그러나 아이폰 보안에 대한 그의 공격은 밀러의 악명만 높여줬을 뿐이다. 그렇게 기사가 나왔음에도 불구하고, 악성 소프트웨어 업계는 수 백만 대의 아이폰을 향해 공격하지 않았다. 어째서일까? 일단 위의 PCREL은 결국 패치가 됐다는 점을 알려드린다. 취약점이 공개된 지 불과 수 주일만에 일어난 패치였다. 악성 소프트웨어 저작자들은 아이폰 공격을 하려다가도, 금세 다시 머리를 짜야 한다는 의미다. 그것도 계속 말이다. jailbreak 커뮤니티도 계속 재작업을 해왔다. 악성도 아닌, 다만 지원을 못받는 애플리케이션 설치를 위해서 말이다. 지원받지 못하는 애플리케이션 설치를 유지하기 위한 작업만 하더라도 몇 달이 걸렸다. 아이폰의 보안 장벽을 공격하는 식으로, 아이폰에 이런 애플리케이션을 설치하는 방법을 유지해왔다. 스파이웨어와 스팸 업계가 똑같은 툴로 아이폰을 어째서 공격하지 않을까? 필자가 앞서 지적했듯, 아이폰은 악성 소프트웨어 업자들의 좋은 목표감이 되지 못한다. 그 이유는 이러하다. 보트넷 스패밍까지 돌릴 정도로 사용 기반이 아직은 그리 크지 못하다. 네트워크 업링크 속도가 너무 느려서(혹은 간헐적이어서) 스팸에 적당하지 않다. 널리 개방된 윈도와는 달리, 아이폰은 폐쇄형이기 때문에, 공개적인 침입도 재빠르게 막을 수 있다. 아이폰 소프트웨어 업데이트는 PC 업데이트에 비해 훨씬 전달하기가 쉽다. PC와는 달리, 아이폰을 아이튠스에 연결시켜 놓고, 복구만 클릭하면, 아이폰은 즉각적으로 청소가 된다. 따라서, 아이폰 보안 문제를 찰리 밀러가 그렇게 많이 제기했음에도 불구하고, 아이폰을 실제로 노리고 한 보안 공격은 없었다. 심지어 아이폰용 바이러스가 실제로 출현한다 하더라도, 복구가 쉽고 빠르기 때문에, 피해는 제한적일 수밖에 없다. 밀러는 그동안 아이폰의 심각한 오류에 대해 꾸준히 지적해왔지만, 그런 이류와 실제 사용자들에게 중요한 위험은 별반 관계가 없다. 이론상 아이폰은 계속 침입을 당해왔지만, 실질적으로 아이폰은 침입당한 적이 없다. Kim Zetter and the iPhone Root Security Myth UnWired! Rick Farrow, Metasploit, and My iPhone Security Interview About Security Update 2007-007: CVE-ID: CVE-2007-3944 The Theory of Vulnerability. 이 때문에, 아이폰 사용자들에 대한 지속적인 밀러의 경고도 별 소용이 없었다. 맥 사용자들에 대해서도 마찬가지다. 이론상의 취약점에 대해 실제로 고생하는 맥 사용자는 없다. 그러나 윈도 열광론자들은 맥 시장에서 악성 소프트웨어가 없는 이유는, 단지 맥 시장이 윈도에 비해 점유율이 낮아서일 뿐이라 계속 주장하기를 즐겨한다. 이 아이디어는 틀리기도 하고, 너무나 단순하기도 하다. 우선, 맥 시장점유율은 특정 시장에서 지속적으로 증가해왔다. 실제로 취약성을 활용할 만한 세력이 있다면, 활용해 볼 만한 정도에까지 말이다. 그랬다면 정말 문제가 심각했을 것이다. 전 PC 데스크톱과 웍스테이션, 서버에 비한 세계시장점유율은 분명 낮지만, 미국 내 애플은 판매되는 컴퓨터의 8%를 넘겼다. 더구나 애플은 기업 시장 점유율이 낮다. 즉, 미국 시장점유율 8%를 고려할 때, 가정과 소규모 사무실, 교육시장의 애플 점유율은 10~20% 정도 될 것이다. 그러나 맥용 악성 소프트웨어는 여전히 보이지 않는다. 맥은 걱정해야 할 악성 소프트웨어가 실질적으로 없으며, 안티-바이러스 프로그램을 돌리는 이들도 극소수다. 스파이웨어 클린이 있어야 할 이유가 없으며, 복구 유틸리티도 마찬가지다. 맥은 윈도 문제의 1/10만큼을 갖고 있지 않다. 실질적으로 걱정해야 할 보안 문제가 전혀 없다. 게다가 전문가들의 논리에 한 가지 더 결함이 있다. 애플이 제일 강세를 보이는 시장이야말로 악성 소프트웨어가 제일 판치는 시장이다. 누가 전문 방화벽을 깨려 시도하는가? 누가 스파이웨어를 만드는가? 맥 사용자들로부터 돈을 빼앗기가 더 쉬웠다면, 분명 맥도 스파이웨어나 명의도용의 표적이 되었을 것이다. 애플의 기존 시장기반 또한 악성 소프트웨어 업자들에 대해, 대단히 매력적이다. 그러나 바이러스는 없고, 악성 소프트웨어가 실제로 피해를 일으키는 바도 없다. 이 사실이야말로 시장점유율 문제를 갖고 주장하는 이들의 수치 맹신에 대한 진실을 더 잘 알려준다. 10 FAS: 10 - Apple’s Mac and iPhone Security Crisis Swiss Swing and a Miss. Swiss Federal Institute of Technology의 보고서를 살펴보자. 애플 증오자인 CNET의 조지 우(George Ou)와 같은 이들도 여기에 장단을 맞추고 있다. 스위스의 저 그룹은, 결함이 공개됐을 때의 바로 그 날, 지난 6년간 애플과 마이크로소프트가 얼마나 자주 패치를 해왔냐를 따졌다. IDG의 기사에 따르면, 그들은 이것을 0-day patch rate라 부른다. 그들의 결론은 다음과 같다. "취약성에 대해 패치를 안한 횟수는 애플이 더 높다." 덕분에 IDG 기사의 저자는 기괴한 부정으로 글을 선정적으로 만들었다. "그동안 마이크로소프트는 보안에 대해 더 많은 관심을 기울여왔다. 동 결과는 그 점을 확인시켜준다 하겠다. [마이크로소프트 보안연구부 부장인] 앤드류 커쉬만(Andrew Cushman)이 [연구 보고서 저자인] 프라이(Frei)에게 물었다. "마이크로소프트가 이 연구를 후원했나요?" 프라이의 답변이다. "본 연구는 독립 학술 연구입니다." IDG는 마이크로소프트가 후원을 안했다는 점을 드러내고 싶었던 모양이다. 왜일까? 마이크로소프트 직원이 어째서 자기 회사가 그런 연구 보고서를 후원했으리라 생각했을까? 마이크로소프트의 마케팅 목표에 따른 "연구"를 후원하는 회사로서, 마이크로소프트가 매우 잘 알려졌기 때문이다. 그러나 이 보고서가 후원이 누구냐를 따질 정도는 아니다 보고서 자체가 무책임한 쓰레기이기 때문이다. Vista vs Mac OS X Security: Why George Ou’s ZDNet Vulnerability Numerology is Absurd security.itworld.com - Microsoft vs. Apple: Who patches 0-days faster? PdfMeNot.com - 0-Day Patch Study Why the Swiss Study was Fatally Flawed. 이 보고서가 완전히 쓸모 없는 주된 이유는, 별로 관계 없는 플랫폼끼리 "제로-데이" 패치 횟수를 비교했기 때문이다. 이것이 왜 오류인지 세 가지 이유가 있다. 다시 말하건데 "제로-데이" 패치란, 오류가 공개화되었을 때, 그 날 바로 단행하는 패치를 일컫는다. 사실 공개화되기 이전에 이미 수정이 일어나는 이론상의 침입이 많다. 물론 패치가 되기 전에 수 주일, 심지어 수 년이 걸리는 오류도 있다. "무지에 따른 보안"이라는 커튼 뒤에 숨는 것보다, 패치가 안 된 오류가 더 심각하게 들리긴 하다. 그러나 패치는 고사하고, 공개되기도 전에, 악성 소프트웨어 저작자가 발견하여 팔아치우는 오류도 많다. 즉, 제로-데이 패치란, 당사자 기업이 알고 있는 오류일 때에만 이상적이랄 수 있다. 이 보고서는, 드러나지 않았지만 발견은 된 오류를 무시하였다. 사실 그런 오류를 조사해서 규명해내기란 더 어렵다. 그렇다고 해서 덜 위험하지도 않다. 윈도는 그런 오류들로 가득하다. 발견은 됐지만, 공개가 안되고 패치도 안 된 오류들이다. 그러나 맥오에스텐은 그렇지 않다. 바이러스가 없으며, 악성 소프트웨어 문제도 없다. 하지만 이런 사실을 고려하지 않더라도, 제로-데이 패치 보고서를 주의깊게 보면, 세 가지 측면에서 매우 엉터리라는 점을 알 수 있다. 1. 특정 취약성때문에 야기된 상대적인 위협과 그 위협의 범위는 취약성을 수치로 판단하는 이들이 좋아하는 통계에서 사라져 있다. 윈도에 악명 높은 "shatter attack"이라고 있다. 윈도 아키텍쳐의 근본적인 결함을 활용하는 공격으로서, 비스타가 나와서야 드러났다. 이 오류는 단순한 버퍼 오버플로 에러가 아니다. 마이크로소프트는 윈도 NT/2000/XP를 출시할 때, 모든 서비스를 인터랙티브 데스크톱 안에 집어 넣었다. 그리고 이 서비스에게 모두 동일한 높은 권한도 주었다. 이런 허술한 디자인이 2002년 널리 보도되었으나, 여러 가지 이유로 많은 사용자가 쓰지 않는 비스타가 나올 때까지 완전히 드러난 적은 결코 없었다. 윈도 XP와 2008년 이전이 서버 버전은 여전히 이 "shatter attack"에 노출되어 있지만, "연구자"들은 이런 심각한 결함을 단순히 목록상 하나로 셌을 뿐이다. 별로 관계 없는 시스템 간에 취약성이 몇 개, 몇 개인지 세는 것이 얼마나 무책임하고 무식한 방법인지 드러내는 사례이다. 맥오에스텐은 윈도의 서비스 아키텍쳐나 shatter attack 같은 문제를 갖고 있지 않다. 잘 알려지고, 존중받는 유닉스의 이점을 누리기 때문이다. 유닉스는 수 십년 동안 학술단체가 검토, 조사하고 구축해 왔으며, 개별 유틸리티와 소프트웨어 패키지 또한 보통 공개되어 있다. 애플의 코어 OS, 다윈(Darwin)처럼 말이다. 다윈은 맥오에스텐의 기반으로서, Mach/BSD 하이브리드이다. 마이크로소프트의 윈도 커널과 코어 OS 기반은 그런 독립적인 검토와 조사를 비슷하게 하지 못한다. 제로-데이 패치의 수를 세고, 오류가 공개된 때에 나오는 패치가 나온 날짜나 추적한다고 해서, 실제 보안과는 별다른 관련이 없다. 엉뚱한 통계를 분석하는 수고를 하는 셈이다. Mac OS X에서는 풀렸지만 윈도우즈에는 여전한 구조적 오류 다섯 가지 2. 마이크로소프트 운영체제는 완전히 폐쇄형이다. 속이 어떻게 돌아가는지 들여다볼 써드파티 연구자들은 거의 없기에, 패치되기 전에 결함을 쉽사리 발견할 수 없다. 애플 맥오에스텐의 절반도 폐새형 소스이다. 애플 또한 애플 외 누구도 알지 못하는 결함용 패치를 유사하게 출시한다. 차이점은 이렇다. 마이크로소프트가 미지의 오류용 패치를 출시할 때, 언론은 이를 치하한다. 하지만 애플이 패치를 내놓으면, 컴퓨터 전문가들은 얼마나 많으면 패치를 내놓겠냐며 혀를 찬다. 존재하는지 아무도 몰랐던 오류를 수정하는 패치인데도 말이다. 그리고 애플 소프트웨어가 문제가 많아서 패치가 나온다는 식으로 선정적인 기사를 올린다. 상당히 위선적이다. 하지만 애플이 보안 패치를 출시할 때마다 이런 일이 정확히 되풀이된다. 그러나 부정직한 Vulnerability Numerologists처럼, 스스로 작동하는 기괴한 무언가가 있다. 윈도의 오류는 언제나 윈도 커널과 셸, 그리고 핵심 번들 유틸리티 안에서만 발견되는 버그로 치장된다. 인터넷 익스플로러와 Exchange email과 같은 서버 제품군, IIS 웹서비스, 그 외 다른 소프트웨어에서 발견되는 오류는 언제나 제외다. 각 제품군은 고유의 중대한 오류를 갖고 있기에, 충분히 알려야 할 가치가 있다. 하지만 맥오에스텐과 리눅스에 대해서만은 Vulnerability Numerologists는 배포본과 관련 있는 모든 오픈소스 패키지에 보고된 오류를 모조리 다 센다. 여기에는 웹브라우저와 이메일, 웹서버, 그리고 관련있는 모든 라이브러리와 패키지를 포함한다. 물론 마이크로소프트 IIS 오류가 데스크톱 사용자에게 영향을 끼치지는 않잖겠냐는 합리적인 주장을 펼 수도 있겠다. 이 서비스를 사용하는 이들이 극히 드물기 때문이다. 그러나 PHP와 아파치, 삼바, 그 외 맥오에스텐이나 리눅스에 번들되어있는 모든 오픈소스 제품에서 발견된 모든 취약점을 탐욕스레 오류로 구성하는 "연구자"들이다. 이들은 그런 툴을 실제로 어떻게 쓰는지, 실제로 침입에 어떻게 쓰이는지는 관심을 갖지 않는다. 위선과 부정직한 이들이 모든 취약성을 몰아세우는 셈이다. 다른 측면도 있다. CanSecWest 콘테스트 승자인 밀러와 같은 보안 연구자들은 오픈소스 소프트웨어의 오류를 쉽사리 발견하고는, 아무런 보고도 않은 채, CanSecWest와 같은 이벤트 때 맥오에스텐을 수 분 내에 해킹하는 식으로 써먹을 수 있다. 밀러는 콘테스트가 열리고 밀러에게 충분한 접근권을 주기 이전부터, 자기가 무엇을 사용해 침입할지 훤히 알고 있었다. 맥오에스텐이 사용하는 오픈소스 패키지에 있는 오류를 밀러는 훤하게 알고 있었다. 문제는 이것이 실제로 맥에게 보안 문제를 일으키는 것이 아니라, 신중하게 계획된 보안 콘테스트에서만 쓸 만하다는 점이다. 밀러는 오픈소스의 약점에 집중하였지만, 실제로 그러한 개방성은 강점이다. 애플도 맥오에스텐의 모든 패키지 보안 픽스에 커뮤니티의 성과를 반영할 수 있거나 반영한다. 밀러의 공격이 오픈소스가 아닌, 애플을 겨냥한 점을 확신하지만, 그의 방법은 커뮤니티의 개방성을 활용하여 자기 주가만 높인 식이었다. 오픈소스를 욕보인 행위다. 마이크로소프트의 윈도 오류는 숨겨져 있으며, 오픈소프트웨어에서의 오류처럼 잘 알려져있지 않다. 맥오에스텐과 다른 유닉스, 리눅스 배포본을 계속 강력하게 만들어주는 커뮤니티 메커니즘이 아니다. 애플이 맥오에스텐에 있는 오픈소스 패키지를 즉각적으로 업데이트해야 한다는 연구자들의 주장이 많고, 애플의 느린 반응이 위험도를 어느 정도 노출시키는 것도 사실이다. 하지만 강력한 보안이 필요한 전문 사용자들 대다수는 스스로 더 높은 버전의 오픈소스 라이브러리와 패키지를 따로 설치할 수 있는 이들이다. 윈도 사용자들은 그렇지 않다. 오픈소스는 강력하다. 별개의 두 플랫폼 취약성 수를 세며 비교하여 0-데이 통계수치를 내는 방식은 숲 안의 나무를 숲 자체로 볼 수 없다는 점을 증명해준다. 애플의 오픈소스 공격 마이크로소프트의 이길 수 없는 전쟁 3. 스위스 보고서의 세 번째 문제는 "0-데이" 자체에 있다. 지구상에 있는 모든 오픈소스 패키지는 투명성(보안 전문가들에게 널리 개방되어있다)과 함께, 리비전 과정이 문서화되어있다. 애플도 이런 패키지를 맥오에스텐 안에 번들시켜 놓는다. "보안 연구자"들이 널리 알려진 문제 수를 계산해서 애플이 출하중인 것과 비교하는 것은 정말 쉬운 일이다. 마이크로소프트는 윈도 배포판 일부로, 오픈소스 프로젝트를 포함시키지 않기 때문에, 윈도에서 문제를 발견하고 보고하려면, 상당한 작업이 필요하다. 코드 보안과 "불분명에 따른 보안"에도 불구하고, 윈도에서 발견되는 버그는 맥오에스텐이 담고 있는 모든 오픈소스 라이브러리에서 발견되는 버그 수와 유사하다. 문제의 보고서는 이렇게 적고 있다. "마이크로소프트의 취약성은 658가지, 맥오에스텐[그리고 애플이 맥오에스텐에 출하시켜 놓은 오픈소스 프로젝트]은 738가지이다." 애플이 사용하는 오픈 소프트웨어는 애플이 패치를 내놓기 전에 이미 널리 문제를 알린다. 그러니 놀라울 것도 없다. 반면 윈도의 폐쇄형 코드의 오류는 패치되기 이전에 잘 알려지지 않는다. 발견과 보고, 패치의 타이밍을 확실히 하기 위해, 동 보고서는 취약성의 주기에 대해 네 가지 정의를 내린다. 발견시기: 오류를 처음으로 발견한 시기(폐쇄형 소스코드의 경우 내부적으로 발견한 시기) 침입시기: 바이러스나 해커 툴 등이 동 오류를 사용하여 개발될 때 공표시기: 발견된 오류를 대외적으로 발표할 때 패치시기: 해당 업체가 패치로 오류를 해결할 때 0-데이 패치는 오류가 공개된 바로 그 날 패치가 이뤄진 때이다. 벤더가 오류 발견을 스스로 하면 정말 쉬운 일이다. 따라서 0-데이 패치로 따질 때, 마이크로소프트는 엄청나게 유리해진다. 오픈소스로 노출되지 않는 오류이기 때문이다. 하지만 애프은 오픈소스를 사용하기 때문에, 써드파티가 오류를 발견하고, 애플이 공식적인 패치를 내놓기 전에, 이 오류를 발표할 기회가 많다. 스위스 보고서에서 또 한 가지 주목할 점이 있다. 써드파티가 공급한 패치를 인정하기 거부한다는 점이다. 즉, 0-데이 패치 횟수는 오류를 처음으로 발견한 회사가 누구냐를 왜곡하고 있으며, 오픈소스 프로젝트에 들어간 써드파티 패치 자체를 고려하지 않아서, 오픈소스를 다시금 왜곡시킨다. 애플이 공식적으로 패치할 때만 센 셈이다. 달리 보면, 이 보고서는 패치 정보를 사용자들이 효과적으로 활용하는지 여부는 따져보지 않은 채, 오류를 피하는 방법 등에 의한 것으로만 패치를 정의내렸다. 따라서 마이크로소프트가 취약성을 막기 위해, 특정 행위를 사용자보고 하지 말라면서, 자사 웹사이트의 Knowledge Base 글타래에 적어 놓았으면, 이 또한 "패치"로 친다는 의미다. 반대로, 애플이 뭔가 오픈소스 라이브러리를 번들시켰는데, 여기서 발견된 오류를 써드파티가 패치시킬 수 있는 경우, 이것은 패치가 아닌 셈이다. (대표적인 사례가 있다. 아이폰 libtiff 오류이다. 애플이 발표하기 전에, 커뮨티가 먼저 패치해냈다.) 그런데 이것이 다가 아니다. The Colors of Risk. 스위스 보고서는 패치나 취약성 발견 이전 시기에, 위험을 표시하는 방법으로 세 가지 색상을 정의내렸다. 검은색 위험: 발견되고나서, 발표를 하여 일반인들이 해당 문제점을 알게 될 때까지의 시기 회색 위험: 발견되고나서, 패치되기 전, 즉, 문제점을 일반인들이 알긴 하지만, 해결책이 아직 안나온 시기 백색 위험: 패치가 나온 후부터 설치 전, 즉, 일반인들이 패치를 하지만 아직 설치하기 전 시기 이 보고서는 마이크로소프트를 폐쇄형 소스 업체로 추켜세운 뒤, 마이크로소프트의 문제를 모두 다 회색위험에다 놓았다. 하지만 PC 사용자들에게 영향을 끼치는 진짜 문제는 검은색 위험이다. 전혀 모르는 방식으로 공격을 받기 때문이다. 패치가 존재하되, 사용자들이 설치할줄 모르거나, 잘 되지도 못한 패치툴을 애써 설치하지 않으려 하는 백색 위험도 마찬가지로 위험하다. 두 문제 모두 윈도 사용자들에게 상당한 위험을 끼친다. 그러나 스위스 보고서는 오류가 일반에게 알려지고(즉, 발견될 때가 아니고, 공개화된 때를 의미한다), 패치가 언제 이루어지는지만 집중한다. 웃기는 일이다. News Flash: Apple Better At Delivering Software Than Microsoft. 보고서가 분명히 지적하였지만, 수사아게도 IDG가 다루지 않은 내용 또한 존재한다. 애플이 보안 패치 면에서 지난 6년동안 마이크로소프트를 능가해왔다는 사실이다. 애플은 815번의 패치를, 마이크로소프트는 678번의 패치를 하였다. 마이크로소프트가 훨씬 더 거대한 보안 문제를 겪고 있으며, 더 침입할 경로도 많고, 보안 문제 때문에 실제로 겪는 손해도 많다는 점을 간안해도 이러하다. 더군다나 마이크로소프트가 자사의 "기업 고객"들에게 제공한 패치도 여기에 포함되어있다. 마이크로소프트는 패치의 수를 개선시켰지만, 애플은 훨씬 더 빠르게 대응해왔다. 지난 해만 세면, 거의 두 배를 더 많이 하였다. IDG 기업 보고서에는 왜 이 내용이 생략되어 있을까? 마이크로소프트 듣기 좋은 소리가 아니기 때문이다. 스위스 보고서는 양사가 제공하는 운영체제의 메이저 버전 수도 지적한다. 그런데 이 보고서는 애플의 경우, 소매판매되는 버전만을 쳤고, 마이크로소프트의 경우는 서비스팩까지 메이저 리비전으로 쳤다. 메이저 리비전 횟수는 개발비가 많이 들고, 시간에 쫓기는 보안 패치를 더 내놓기 힘들게 한다는 점을 반영한다. 애플은 마이크로소프트보다 엔지니어링 팀도 훨씬 적다. 그럼에도 불구하고, 주요한 업데이트를 더 많이 내놓았다. 이를 폄하하는 것은 어처구니 없는 짓이다. 2002년 이래 양사가 내놓은 주요 업데이트 수를 센다면 애플은 아이폰용 오에스텐 업데이트를 제외시켜도 33번에 이른다. 그러나 마이크로소프트는 7회이다. 또한 윈도 서버 서비스팩도 메이저 업데이트라고 치면서, 맥오에스텐 서버의 출하는 세지도 않았다. 이런 수치까지 모두 감안한다면, 애플은 지난 6년간 66번의 메이저 업데이트를, 마이크로소프트는 7번을 하였다. 이런 것도 0-데이 패치 보고서에 올라가야하지만, 불행히도 그렇지 못하였다. 그렇다면 어째서 스위스 팀은, 맥 사용자들에게 바이러스나 악성 소프트웨어 문제가 전혀 없다는 현실을 어째서 도외시하는 선정적 보고서를 만들었을까? 애플 운영체제가 그리도 침입이 쉽다면, 당연히 문제가 많아야 할 것 아닌가? 윈도 보안은 공격해봤자 별 주목을 못받는다. 맥에 바이러스가 없으며, 윈도 플랫폼에는 현실적인 악성 소프트웨어 문제도 없다고 광고할 때, 애플이 거짓말을 한다는 주장 또한 팔리는 "뉴스"는 못된다. 그러나 진실을 믿고 싶어하지 않는 우중의 편견 조성엔 한 몫 톡톡히 한다. IDG는 애플을 근거 없이 깎아내려서 윈도 팬들의 독자층을 확보하기 원하며, 스위스 팀은 그런 기사를 지원하기 위한 보고서를 꾸며낸다. 두 당사자 모두 완전히 대중을 홀리고 속이는 악명을 얻게 되었다. Ten Myths of Leopard: 10 Leopard is a Vista Knockoff!: 64-bitness How to Prove the Truth Is Wrong. 진실을 반박하는 것 자체야 너무나 쉽다. 하지만 인류는 거짓말쟁이들에게 완전히 취약한 정보 취합 메커니즘을 구축해 놓았다. 선전이나 일삼는 자들은 예전부터 오류를 지집고 들어왔다. 하지만 거짓말을 지속적으로 퍼뜨리면, 결국 양떼는 이 거짓말을 비판 없이 받아들이게 된다. 사례가 있다. 미국 대통령들이 그동안 주장한 연방정부 지출액의 현실을 비교해 보라. 공화당 우파에 따르면, 민주당의 "세금과 지출" 정책이 적자를 키웠으며, 이것이 경제 성장의 발목을 잡고, 생산성을 줄였다고 주장한다. 이 메시지를 수 십년 동안 공화당 위주의 씽크탱크들이 주입시켜왔다. 하지만 실제로 지난 수 십년동안 어느 대통령 시기에 지출액이 실제로 어떠했는지를 보면, 이들의 주장이 완전히 틀렸음을 알 수 있다. Why Windows Enthusiasts Refute the Truth. 보안 문제를 애플이 느리게 대처해서, 맥 또한 "윈도 만큼이나 나쁘다"는 주장은 적어도 2003년 이후로 계속 여러 당사자들이 주장해왔다. 그럴듯한 이유도 아주 많다. 다음과 같다. 밀러와 같은 보안 연구자들은, 취약성 발견에 대해 선정적으로 일을 해야 직업을 유지할 수 있다. 스위스 그룹과 같은 씽크탱크는 선정적인 보고서를 올려야 관심을 끌어모을 수 있다. 명성갖고 먹고 사는 칼럼니스트와 전문가들 또한 통계적으로 오류를 스스로 만들어내서 지실을 외면하고, 마이크로소프트로부터 직접 후원을 받는 단체들은 윈도가 그리 심하게 보안문제를 겪지는 않는다는 보고서를 올린다. 아무튼 윈도는 심각한 보안 오류를 안고 있으며, 앞으로도 겪게 되리라는 사실만은 남아있다. 마이크로소프트가 윈도 비스타에서 개선시킨 보안성은 상당하지만, 여러 사용자 입장에서는 이론상 개선일 뿐이다. 하드웨어 사양때문에 비스타를 사용할 수도 없는 이들이 많으며, "일단 두고보자"는 식의 기업 고객들도 비스타로 업그레이드하고 있지 않다. 이들 역시 지출이나 라이센스를 늘리고 있지 않다. 문제많은 SP1 출시 이후로 더 상황은 안좋아졌다. What Needs To Happen Around Here. 90년대동안 마이크로소프트는 단기적인 이윤만을 좇았다. 그리고 실제상의 보안 문제를 도외시한 채, 운영체제를 허술하게 구축시켜 놓았다. 또한 일찌기 전례가 없는 최악의 보안 문제를 퍼뜨리고서도, 딱히 고쳐야 할 필요성도 느끼지 않았다. 마이크로소프트는 대단히 많은 문제를 일으키고도, 마치 문제가 존재하지 않는 양 행세하고싶어한다. 이 점을 보안 연구자들도 인정해야 한다. 마이크로소프트는 윈도 사용자들을 위해, 스스로 자기 돈을 들여서 보안 문제를 해결해야지, 비스타를 비싼 값에 팔아서 문제를 해결하려한다. 지난 10년동안 커지기만 한 문제점들을 대거 고쳤다고 하는 비스타이다. 하지만 비스타도 그리 잘 돌아가지는 않는다. 거대 언론은 마이크로소프트로부터 받는 막대한 광고수입보다는, 사실을 말해야 하고, 독자들에게 정보를 주어야 한다. 모든 뉴스 기사마다 마이크로소프트에게 충성을 선언하여 광고비를 받는 것이어서는 안된다. 하지만 거대 언론은 필자같은, 좋은 기술과 공정경쟁에 왜곡된 사람의 말을 들어야 할 이유가 없다. 당연하다. 필자는 소비자와 협력업체, 기술 그 자체로 봐서도 전혀 좋지 않은 마이크로소프트의 범죄적인 행위에 반대한다. What do you think? I really like to hear from readers. Comment in the Forum or email me with your ideas. Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Submit to Reddit or Slashdot, or consider making a small donation supporting this site. Thanks! CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security __________________ FAQ casaubon 님께서 2008-04-13 07:24 PM 에 수정하셨습니다..