글타래: 맥 보안에 대한 공격. 어디까지 진실일까
View Single Post
2008-04-11, 10:02 AM   #2
casaubon
Moderator
 
casaubon's Avatar
 
Registered: Sep 2001
My Mac: MacBook Air
Posts: 2,108
오프라인
맥을 먼저 공격한 10가지 이유

Mac Shot First: 10 Reasons Why CanSecWest Targets Apple

March 29th, 2008 | Journal, Markets, Mobiles, Software, Tech, the Media


Daniel Eran Dilger

CanSecWest 보안 콘테스트에서 흘러나오는 소식들이 단순한 "맥이 먼저 뚫렸다" 류의 헤드라인 이상으로 기사를 채우고 있다. 이 콘테스트는 세 시스템을 같은 선상에 놓고 경쟁시킨 콘테스트가 아니다. 왜인지 알아보자.

CanSecWest 콘테스트는 보안 전문가들로 구성되어 있으며, 이들은 각기 다른 배경과 다른 동기를 갖고 있고, 맥오에스텐과 윈도 비스타, 유분투 리눅스의 결함을 찾는 제각기의 식견을 갖고 있다. 그런데 CanSecWest 콘테스트는 세 시스템의 결함을 드러내기 위한 레벨 콘테스트가 아니라, 각자 선택한 플랫폼을 목표로, 연구자들의 지식과 능력에 보다 초점을 맞춘 콘테스트였을 따름이다.

CanSecWest와 소프트웨어의 취약성에 대해 알아둬야 할 10가지 사실

1. 맥에서 발견된 침투경로는 CanSecWest와 같은 콘테스트 외에는 거의 가치가 없다. 시장이 형성되어있지를 않으니 찰리 밀러(Charlie Miller)의 침입을 사 줄 사람이 없다. 윈도 영역에서는 이런 침투로를 판매하는 시장이 존재한다. (발견되고, 비공개됐다가 "0-day"로 공개되지만, 패치가 안된다.) 스패머와 보트넷 저작자들, 명의도용자들이 먹고 살아야 하기 때문이다. 그러나 맥에서 돌아가는 어두운 세계의 악성 소프트웨어는 없다. 게다가 그런 소프트웨어에 대한 수요도 없다. 또한 한 번 발견된 침투로도, 몇 주일 지나면 패치가 되기에, 언론에서야 많이들 떠들지만, 실제상으로는 윈도에서처럼 그 어떠한 재앙적인 결과가 나올 수 없다.

CanSecWest는 이론상으로나 존재하는 맥에 대한 공격이 어떨지를 디자인한, 통제된 결과물에 불과하다. 물론 그것도 인위적인 콘테스트가 아니라 실제로 그런 이벤트를 받쳐줄 만한 시장이 존재한다는 가정 하에서이다. IT 언론은이 이벤트가 늘상 일어나는 윈도 PC에 대한 공격과 동일선상에 서 있는 양 보도해왔다. 윈도 영역에서는 실제로 피해를 입히고, 시간과 수고를 들여야 하며, 퍼포먼스나 떨어뜨리는 안티-바이러스 소프트웨어를 항상 돌려야 한다. 이 점이 잘못 퍼졌다. 위선적이기도 하다.

2. CanSecWest 콘테스트는 윈도보다, 다른 플랫폼의 보안 문제에 초점을 두려는 의도가 역력하다. 기업 사용자들은 리눅스 상에서 훨씬 더 거대한 이론상의 보안 위험을 겪을 수 있다는 주제의 연구를 마이크로소프트가 지속적으로 지원해 왔다. 또한 마이크로소프트는 보안이 형편없다는 명성과, 윈도 보안 위기가 야기한 분명한 현실을 가리기 위해 엄청난 노력을 기울여 왔다. 그러기 위해서는 일단 헤드라인부터 자극적으로 올리는 편이 최고다.

임무는 완료는 되었다. 윈도 영역에서 실제로 활동하는 바이러스와 악성 소프트웨어때문에 일어나는 수 십억 달러 어치의 손실에도 붉하고, CanSecWest는 맥이 윈도보다 보안이 덜하다고 발표하였으며, 유치한 언론과 우매한 대중은 엄연한 현실을 일개 선정적인 콘테스트가 공식적으로 부인했다고 믿어버렸다.

[업데이트: CanSecWest 콘테스트를 만든 관계자들의 동기를 두 가지 방식으로 설명할 수는 있다. 언론이 할 수 없는 단순한 마케팅 메시지를 마이크로소프트가 최대화시켰다는 것이다. 마이크로소프트 보안 그룹부장인 제프 존스(Jeff Jones)는 맥오에스텐 크랙에 대해 이런 블로그를 올렸다.

"'저 컴퓨터를 해킹하라'식의 콘테스트는 별로 신경쓰지 않는다. 해킹을 당하지 않는다고 해서, 깰 수 없는 것도 아니다. 또한 해킹을 당했다고 해도, 그 또한 이미 알고있는 사실이 드러난 것 뿐이다. 어떠한 머신도, 조건만 잘 갖춰진다면 깰 수 있다. 그러니 PWN 2 OWN 결과를 너무 깊게 들여다보시지 발기를. 나도 안 그런다."

이 블로그 제목은 "보안은 단순하지 않다. 그러니 쓸데 없는 점을 맞추려고 단순화시키면 안된다"로 되어 있다. 그런데 그는 이런 말도 덧붙였다. "일단 말했으니 말인데, 맥오에스텐 광고는 좀 너무하지 않나. 수 백만 달러를 들여서 윈도 비스타의 보안 개선을 공개적으로 비웃는 광고라서이다. 그런 맥오에스텐이 이런 시기에 CanSecWest 콘테스트에서 첫 번째로 뚫렸다니, 좀 아이러닉하다."

그런데 언론은 그의 블로그 마지막 줄만을 보도하였다. 게다가 존스의 애플 광고 '겟 어 맥'이 '너무하지 않나'라는 코멘트는 별 근거도 없는 말이었다. 윈도 팬들이야 이런 말을 들으면 열 받을 만하다. 하지만 그들은 반박을 안한다. 애플이 "수 백만 달러를 들여서 공개적으로 윈도 비스타의 보안 개선을 비웃는다"고 말하는 것도, 실제로는 정확하지 않고, 공정하지도 않다.

Jeff Jones Security Blog : Mac OS X Security - Reality Check #2]

3. 콘테스트는 일단 맥북 에어라는 브랜드 이름에 관심을 집중시켰다. 하지만 다른 플랫폼용으로 쓴 다른 두 대의 노트북은 업체만 밝혔을 뿐이다. 정말 제일 선정적인 헤드라인이 아닐 수 없다. 윈도와 맥오에스텐의 보안 문제를 다루면서, 애플의 최신예 노트북이 뭔가 특별한 보안문제가 있는 양 말했기 때문이다. 일단 애플은 급히 '겟 어 맥' 광고를 하나 더 만들어서, "나는 맥, 비스타는 저속해(dreadful)"이라 말이라도 해 줘서 균형을 맞춰야겠다.

4. 맥 침입은 찰리 밀러가 들어올 때 이미 해 두었던 무언가였다. 그가 가진 이 기술은 콘테스트 이기기 외에는 도무지 쓸모가 없다. 그것도 첫 번째 날, 원격으로 했더라면, 1만 달러가 아닌, 2만 달러를 벌었을 것이다. 그의 침입이 어느 정도의 가치를 가진지는 그 자신이 잘 알고 있을 것이다. 그는 보안 전문가이다.

[업데이트: 필자가 모순적인 개념을 만들었다고 생각하는 분들이 계신데, 그렇지 않다. 독자, Don Bach가 한 링크를 보내왔다. 이 링크는 밀러의 인터뷰 기사였다. 그 기사에서 밀러는 콘테스트에서 자신이 사용한 맥오에스텐 침입로에 대해 이렇게 말했다. "3주일 전에 앉아서, 링 안으로 모자 던지기를 하고 싶어했습니다. 며칠 지나고나자 뭔가 보이더군요. 나무지는 그 침입로를 찾아내서 테스트했습니다. 그게 다 합쳐서 1주일 쯤 걸렸을 겁니다."

밀러는 일단, 애플이 업데이트시키지 않은 FOSS 코드를 통해 침입로를 발견하는 일이 얼마나 쉬울지를 드러내고자 하는 말을 하였다. 하지만 그와 동시에, 밀러는 이미 그 방법을 알고나서, 맥을 목표로 한 침입로를 발견하기 위해, 수 많은 동료들 이상으로 정치적인 동기를 갖고 있었다. 기사의 나머지 부분은 위, 존스의 코멘트로 채워져 있었지, 별 다른 내용이 없었다. Softpedia는 부끄러운 줄 알라.

Microsoft Finds Irony in Mac OS X Getting Hacked Before Vista SP1 - Courtesy of Jeff Jones, Strategy Director in the Microsoft Security Technology Unit - Softpedia ]

5. 비스타 머신 크랙을 한 연구자는, SP1 설치가 되었는지를 기대하지 못했다. IDG, 로버트 맥밀란(Robert McMillan)의 기사에 따르면, 그 사실을 몰라서 그는 허둥댔다. 그러니 2등보다 밀러가 준비를 훨씬 잘한 셈이다. 이 또한 맥오에스텐에 대한 부정적인 인식을 훨씬 뛰어 넘는, 밀러에 대한 긍정적인 인상이다.

우연히도, 지난 해, 애플은 이 콘테스트 직전에 맥오에스텐을 업데이트시켰다. 작년 콘테스트도 여러 가지 유사 침입로를 밝히는 콘테스트였다. 올해, 콘테스트 하루 전에 업데이트를 시킨 곳은 Mozilla였다. 모질라는 Firefox를 2.0.013으로 업데이트시켜서, 유분투 설치본을 공격할지 모르는 곳의 오류를 수정하였다.

CanSecWest가 열린 날은 각 기업이 보안 업데이트를 내놓는 날과 관계가 있다. 콘테스트에 커다란 충격을 줄 만한 변수이지, 각 플랫폼의 보안에 전체적으로 뭔가 있다는 의미가 아니다. 비스타 SP1(비스타가 나온지 1년 후에야 나왔다)의 출시 이전에 콘테스트가 열렸다면 어땠을까? 2007년 내내 비스타를 사용하는 사용자들의 실제 규모를 반영시키지 않았을까? SP1을 설치한 비스타 사용자들은 얼마 되지 않는다.

IT Pro Portal에서 스티브 골드(Steve Gold)가 이런 불만을 말하였다. "SP1로 야기한 마이크로소프트의 문제는 히드로 공항 5번 터미널의 BAA 문제에 버금가지만, 전세계적인 규모이죠. BAA처럼, 문제를 해결하기 위해 수 개월은 걸리지만, 보통은 해결을 못합니다. 알려진 문제점 목록만 봐도 휘둥그레질 정도에요."

이번 주 초, CanSecWest 콘테스트가 열리기 하루 전, 스튜어트 존스턴(Stuart Johnston)이 PC World에서 이런 관측을 하였다. "윈도 비스타 SP1 나올 때가 (거의) 되었다. SP1은 573가지의 버그를 고쳤으며, 2007년 초 나올 때 이후 쌓인 패치를 갖고 있으며, 퍼포먼스도 어느 정도 개선시켰다. SP1을 설치하기 권장하지만, 일단은 여러 가지 사소한 문제들이 해결된 다음에 설치하시기 바란다."

비스타 SP1도 역시나, 바로 설치하라고 권장하기는 멀다는 얘기다. 비스타 테스트 머신에 SP1을 설치한 CanSecWest 콘테스트가 과연, 비스타 사용자의 상대적인 보안에 대해 어느 정도나 말하고 있을까?

Vista, MacBook Out–Only Linux Left in Hacking Contest - Yahoo! News
ITProPortal.com - Vista SP1 - I’m losing what little hair I have left…
PC World - Vista Service Pack 1: 573 Fixes in Limbo

6. 밀러는 사파리에 관련이 있는 무언가를 해킹했다 보도하였지만, 그 구체적인 방법은 공개가 안 되었다. 이것이 실제 애플 코드의 취약점이건 아니건, FOSS 라이브러리에 대한 복사-붙이기 식의 공격이 밀러의 PCREL 침입이었다. (혹은 PCREL이 패치된 다음 다른 연구자가 발견한 libtiff 침입일 수도 있겠다.) 텔넷 원격 로그인을 연 다음, 어떻게 연구자에게 계정을 주었는지도 여전히 알려져 있지 않다. 즉, 지금까지 알려진 사실은 애플 코드와는 거의 관련이 없다. 물론 맥오에스텐의 일부를 구성하는 FOSS 코드 버전에 애플의 책임이 있는 것은 사실이다.

우연인지 모르겠지만, PCREL과 libtiff 취약점은 모두, 지원받지 못하는 소프트웨어를 아이폰에 설치하기 위해 보안을 우회하는 방법에도 쓰인다. 두 가지 방법 모두 이제까지 어떠한 피해를 입힌 적이 없으며, 발견되자마자 몇 주일 뒤에 패치가 되었다.

[업데이트: Daring Fireball의 존 그루버(John Gruber)는 이렇게 말한다. "콘테스트의 침입은, WebKit의 자바스크립트 엔진이 사용하는 PCRE regex 라이브러리의 오버플로(overflow) 버그의 도움을 받았다." 즉, 밀러는 지난 가을, 아이폰에 대한 공격방법을 재사용했다는 의미이며, 그가 PCREL에 대해 상당히 많은 지식을 갖췄다는 뜻이기도 하다. 새로운 버그를 규정지었으니 말이다. 그루버에 따르면, WebKit의 JavaScriptCore에 바로 이 문제가 이슈화되었다고 한다. 즉, 이번 콘테스트는 오픈소스 개발 프로젝트를 며칠 정도 밀러가 앞서나갈 수 있다는 점을 보여준 것에 불과하다는 얘기다. 맥과 윈도, 리눅스 간의 플랫폼 보안 문제와는 큰 상관이 없다는 의미이기도 하다.

Changeset 31388 - WebKit - Trac via Daring Fireball.]

윈도 사용자들에게 영향을 끼치는 보안 문제는 결함 발견만이 아니라, 바이러스, 스파이웨어, 광고용 소프트웨어, 악성 소프트웨어 개발에도 실질적으로 쓰인다. 더구나 실제로 존재하는 채치로 업데이트가 바로 바로 되는 머신은 많지 않고, 이 때문에, 취약성 있는 보트넷이 다른 시스템에도 새로운 공격을 뿌린다. 이 두 가지 문제점이 윈도의 보안 위기를 심화시킨다.

마이크로소프트를 고생시키는, 끊임 없는 파괴적이고 악랄한 보안 문제의 규모와, 이론일 뿐인 맥오에스텐에 대한 공격을 비교해 보면, 참 차이가 크다. 90년대에 스스로 만들어낸 문제점을 마이크로소프트는 현재 거의 해결할 수가 없다는 점때문에, 마이크로소프트로서는 두 가지 선택밖에 없다. 비스타에서 보안 문제를 최대한 해결하는 것이 하나이다. 그러나 윈도 사용자 대부분이 비스타를 사용하지 않기로 하였다. 다른 하나는, 그런 문제가 실제로 존재하지 않으며, 보안이 높다는 다른 플랫폼이 실제로는 이론상 더 심각한 위험을 안고있다면서, 사실을 오도하는 마케팅 술수를 뿌리는 것이다.

7. "리눅스를 크랙할 수 있는 참가자들은 콘테스트를 이기기 위해 필요한 침입 코드 개발을 하고싶어하지 않았다." 위에 인용한 IDG 기사에 나와 있는 말이다. 왜일까? 리눅스가 해킹하기 쉽다는 사실을 증명할 정치적인 동기가 부족해서가 아닐까? 1만 달러를 받을 수 있다고 해서, 자기의 취약점을 1만 달러에 팔고싶어하지 않았다는 의미이기도 하다.

8. 침입점이나 취약성은 "맥과 윈도, 리눅스" 고유의 침입지점이나 취약성이 아니다. 오히려 크로스 플랫폼적인 위협이다. 올해, 비스타는 Adobe Flash와 관계가 있는 결함을 사용하여 크랙이 되었다. 자바에서 발견되는 취약점과 일반적인 브라우저의 오류, 다른 공용 코드 구현이 의미하는 바는 다음과 같다. 이번 콘테스트는 선택한 플랫폼을 공격하기 위해, 취약지점을 미리 지정받아서 치른 콘테스트다. 과거 밀러는 이 원칙을 통해, 애플에 대한 FOSS 취약성을 적용시켜왔다. 똑같은 방식으로 FOSS 취약성 전문가들은 자신들이 발견한 취약지점을 윈도용 스패머들에게도 판매할 수 있다.

발견된 오류를 이렇게 잘 활용할 수 있다. 즉, 한 드라마같은 콘테스트에서 각 플랫폼의 전체적인 보안이 어느 정도인지 경험적으로 내보내는 것이 아니라, 발견자에게 제일 높은 상금이 돌아갈 만하게, 그 취약점을 사용하는 것이다. 현실적으로도 발견된 오류는 스파이웨어와 광고용 소프트웨어, 그 외 바이러스가 종종 뿌리는 악성 소프트웨어 툴을 만들기 위해, 윈도 시장과 직접 연결된다.

9. 밀러는 애플 플랫폼 보안을 깎아내리기 위해 평생을 노력해왔다고 자타가 계속 주장해왔다. 현재 그러한 노력과 시도가 돈이 될 만한 시장은 CanSecWest 뿐이다. 지난 해, 밀러의 파트너이자 같은 회사에서 근무하는 이가 똑같은 방식으로 콘테스트에서 이겼었다. 둘 다 맥이 더 침입하기 쉬웠다고 계속 주장한다. 그리고 이들의 발언은 항상 언론의 구미를 당긴다.

업데이트가 안 된 FOSS 침입 전문가라면, 분명 자기 침입로를 스패머들에게 파매해온 동료, 별다른 동기가 없는 동료와 함께, FOSS의 이미지를 나쁘게만드는 데에 흥미가 없는 리눅스 전문가들을 이길 수 있다. 그리고 CanSecWest과 같은 대회에서 쉽게 이길 수 있다. 오픈소스의 애플 배포본 오류를 드러내면서 말이다. 하지만 다시 말하건데, CanSecWest와 같은 콘테스트는 맥오에스텐과 윈도, 리눅스에 대한 지식과 식견, 동기보다 더 많은 사실을 알려준다.

10. 애플이 오픈소스를 사용하기에, 밀러와 같은 연구자들이 침입로를 발견하기 더 쉬워졌다. FOSS 프로젝트 패치를 하였지만, 애플 배포본으로서 업데이트를 하지 않은 이들도 포함이다. 필자는 어제 기사에서, 애플이 비판을 받는 영역에 속하긴 하되, 애플도 FOSS 컴퍼넌트의 업데이트를 최신으로 유지시켜야 하리라고 지적하였다. 물론 FOSS같은 소프트웨어 업데이트를 항상 최신 버전으로 사용하는 것과 관련된 문제점도 물론 존재한다. 취약점을 패치하긴 하지만, 새로움때문에 다른 문제점을 야기할 수 있어서이다.

기업 전산실 인력들도 패치가 실제로 무엇을 하는지, 취약점 이외에 다른 문제를 일으키지는 않는지를 확인한 후에야, 주요 소프트웨어의 패치를 단행한다. 애플의 FOSS 배포본도 그런 확인 과정이 필요하다. FOSS 프로젝트 패치는 빨라질 수 있되, 오히려 안좋아질 수도 있다. 소프트웨어 업데이트가 매일마다 일어나는 것도 짜증날 것이다. 애플의 유료 고객들은 "잘 돌아가기만 하면 되는" 소프트웨어를 요구한다. 리눅스 영역의 "스스로 해결"주의와는 사못 다른 접근 방식이다.

오픈소스 컴퍼넌트가 최신 버전으로 올라갈 때마다 애플도 최신 배포본을 만들어내야 한다고 비판하는 것은 너무나 단순하다. 애플도 주의를 기울여서 개선시켜야 할 특정 경우는 당연히 존재하지만, 오픈소스 라이브러리 버전이 올라갈 때마다 애플도 버전에 맞춰야 한다는 식의 무조건적인 비판은 버전 관리를 전혀 모르는 무식의 발로라 할 수 있다.

Apple Patches Faster than Microsoft Because it Patches More than Microsoft.
자, 이제 다른 주제이다. 애플은 OS 소프트웨어의 패치를 마이크로소프트보다 자주하는 편이다. 애플의 패치 횟수는 역시 애플의 취약성과 관련있다는 스위스의 모 연구결과에 따르면 그러하다. 애플은 운영체제 자체도 보다 빠르게 개선시킨다. 맥오에스텐 데스크톱과 서버 제품군(아이폰은 포함시키지 않았다)은 66번의 업데이트를 하였고, 윈도 데스크톱과 서버 제품군은 6년동안 7번의 서비스팩을 출시하였다. '오류의 일반 공개에 맞춰서, 패치를 더 빠르게, 많이 하는'이를 완전히 비트는 언론도 여전했다.


선정적인 헤드라인으로 뒤덮인 언론, 그리고 보다 복잡한 현실보다, 듣고 싶어하는 것만 듣고 즐기는 우중들에게 있어서, CanSecWest는 조커로 작용한다. 그러나 우리들은 고려할 만한 사실을 더 많이 알고 있다.


맥 보안에 대한 공격. 어디까지 진실일까


What do you think? I really like to hear from readers. Comment in the Forum or email me with your ideas.

Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Submit to Reddit or Slashdot, or consider making a small donation supporting this site. Thanks!

Mac Shot First: 10 Reasons Why CanSecWest Targets Apple
__________________
FAQ
  Reply With Quote