AppleForum - View Single Post

casaubon · 2008-04-11, 11:04 AM

CanSecWest: Countering Misinformation
posted by Thom Holwerda on Sun 30th Mar 2008 20:35

이제는 모두들 아실 텐데, CanSecWest 컨퍼런스는 PWN to OWN 콘테스트를 위한 무대였다. 각기 윈도 비스타와 유분투 리눅스, 맥오에스텐을 운영하는 세 대의 노트북을 갖다 놓고, 각 컴퓨터를 해킹하고, 0-day code execution vulnerability를 사용하여 각 머신에 있는 파일 콘텐트를 읽어들이는 것이 목표였다. 첫 번째 날은 물리적 접속 없이, 네트워크 상의 머신공격만 가능했다. 두 번째 날은 사용자 인터렉션(웹사이트 방문이나 이메일 개봉)이 허용됐다. 세 번째, 마지막 날은 써드파티 애플리케이션이 추가되었다. 1등에게는 각 머신마다 동일한 상금이 부여되었다. 여러분이 아시다시피 맥이 두 번째 날, 첫 번째로 해킹되었다. 사용자가 웹사이트를 방문해야했고, 그 때 해킹이 이루어졌다. 비스타는 어도비 Flash 안에 있는 보안 구멍을 사용하여 해킹이 되었고, 유분투 머신은 전혀 해킹이 안 되었다.

--------------------------------------------------------------------------------

"Countering misinformation, 1/2"

이 콘테스트는 당연히 인터넷의 관심을 끌어모았다. OSNews도 이 콘테스트에 전적인 관심을 기울였다. OSNews에서는 필자가 OSNews 기사로서, 제한된 지면에 구체적인 사항을 모두 집어 넣기 위해 노력하였다. 그런데 오늘 아침, 누군가가 Roughly Drafted라는 애플-위주의 웹사이트(상당한 주목을 받는 곳이다)의 기사 링크를 보내왔다. 이곳 역시 이번 콘테스트에 대한 기사를 올렸다. 제목은 "Mac Shot First: 10 Reasons Why CanSecWest Targets Apple"이며, 상당한 사실 오류와 함께, 잘못된 정보가 다른 형태로 들어 있었다. 이에 필자는 대응할 필요를 느꼈다.

동 기사에서 쓴 10가지 이유를 각각 손대 보겠다. 순서는 원 기사의 순서를 따른다.

1. 맥에서 발견된 침투경로는 CanSecWest와 같은 콘테스트 외에는 거의 가치가 없다.

이 기사에 올라온 10가지 이유중에 제일 현실감 있는 이유이다. 사실 합리적인 이유이기도 하다. 실제로 맥용 침입 경로를 판매할 만한 시장은 (그의 시점에서) 거의 존재하지 않는다. 악성 소프트웨어 저작자들이 사용하기에 애플 사용자 기반이 극히 적어서이다. 그 뿐이다. 복잡한 이유를 댈 것 없다. 악성 소프트웨어 저작자들은 쉽게 돈을 벌려 하며, 90% 쪽 시장을 위주로 하는 편이 5%보다야 훨씬 합리적이다.

그러나 그렇다고 해서, 콘테스트 승자가 발견한 침입로하고는 별 관계가 없는 것 또한 사실이다. 보안 구멍은 보안 구멍이되, 고쳐야 할 보안 구멍이다. 침입 경로에 대한 구체적인 사항은 애플에게 전달됐으며, 공개가 되진 않았다. 애플이 이를 해결할 것이다. 따라서 이 침입이 맥오에스텐의 실질 보안에는 거의 영향을 끼치지 못할 것이다. 물론 이론상 존재하는 보안 문제라 해서 무시해도 된다는 말은 아니다. 주목해야 한다.

2. CanSecWest 콘테스트는 윈도보다, 다른 플랫폼의 보안 문제에 초점을 두려는 의도가 역력하다.

필자가 "검정 헬리콥터"라 즐겨 부르는 것이 있다. 일반적으로는 음모론이라 불린다. Roughly Drafted는 CanSecWest 컨퍼런스(혹은 콘테스트) 운영자들이 어느 정도 반-애플, 친-마이크로소프트라는 이미지를 주려 노력한다. 하지만 실제로 그렇다는 증거는 없다. 마이크로소프트의 "Get the facts"라는 대실패 광고가 마치 전혀 상관이 없다는 듯이 밝히는지 확신 못하겠다.

Roughly Drafted는 CanSecWest는 맥이 윈도보다 보안이 덜하다고 발표하였다는듯한 이미지를 주려 노력하기도 하였다. 호기심나는 방식이다. 승자를 발표한 오리지날 발표문을 보시라. 그러면 그런 주장을 한 적이 없다는 점을 알 수 있다. 동 콘테스트의 마지막 발표 기사 또한 그런 주장을 하지 않았다. 달리 말해서, Roughly Drafted는 CanSecWest의 신뢰성을 떨어뜨리기 위해 잘못된 정보를 뿌리고 있다.

3. 콘테스트는 일단 맥북 에어라는 브랜드 이름에 관심을 집중시켰다.

Roughly Drafted는 맥북 에어 이름만 명시됐으며, 다른 노트북은 브랜드 이름 외에 알려진 바가 없다 주장하였다. Roughly Drafted에 따르면, 제일 선정적인 헤드라인이라고 한다. 다시 말하지만 이 역시 잘못된 정보다. 콘테스트 규칙 페이지를 가면 브랜드와 사용한 노트북의 사양이 나온다. ("VAIO VGN-TZ37CN running Ubuntu 7.10, Fujitsu U810 running Vista Ultimate SP1, MacBook Air running OSX 10.5.2").

4. 맥 침입은 찰리 밀러가 들어올 때 이미 해 두었던 무언가였다.

좀 당혹해 한 주장이다. 당연히 밀러 마음 속에는 방법이 있었을 터이다! 즉, 관계 없는 주장이다. 상금을 타기 위해, 비스타나 유분투 노트북 해킹을 하려 들어간 이들도 똑같은 생각을 가질 것 아니겠는가. 그것이 이번 콘테스트의 목표이다. 새롭고 알려지지 않은 침입로를 찾고, 실질 피해가 일어나기 전에, 관련 업체가 찾아 고치는 것이다.

하다못해 스쿼시 게임이라도 참여한다면, 실제로 경기를 하기 전에, 적에 대해 공부하고, 연습이라도 해야 하잖겠는가?

5. 비스타 머신 크랙을 한 연구자는, SP1 설치가 되었는지를 기대하지 못했다. IDG, 로버트 맥밀란(Robert McMillan)의 기사에 따르면, 그 사실을 몰라서 그는 허둥댔다.

윈도 비스타의 첫 번째 서비스팩(SP1)은 올해 3월 18일에 나왔다. 콘테스트 규칙은 노트북이 "제일 최근의 업데이트와 패치가 설치되어 있음"을 명시하고 있다. 세 운영체제 모두 말이다. 비스타 머신을 크랙한 연구자가 SP1을 보고 놀란다면, 그는 아마 규칙을 제대로 읽지 않았거나, 뉴스를 안 봤을 것이다.

Roughly Drafted는 비스타 노트북이 비스타를 사용하는 사용자들의 실제 규모를 반영시키지 않았다고 말한다. 도대체 포인트를 어째서 꺾을까? 비스타 SP1이 나온 며칠 뒤, 전체적인 보안 픽스와 함께 Safari 3.1이 나왔다. 2007년에 쓰이는 사파리를 반영하지 못했으니, 제외시키기라도 해야 했을까?

기본적으로 이런 테스트나 시합의 기본 사양은 최신 버전에 완전한 업데이트와 패치이다. 모든 플랫폼에 동일하게 적용시킨다. 콘테스트 참여자 모두는 이 점을 알 수 있다.

"Countering misinformation, 2/2"

6. 밀러는 사파리에 관련이 있는 무언가를 해킹했다 보도하였지만, 그 구체적인 방법은 공개가 안 되었다

Safari는 맥오에스텐의 기본 일부이다. 말하자면, 주된 공격 목표이다. 유분투의 파이어폭스, 비스타의 인터넷 익스플로러 7과 마찬가지이다. 제일 약한 부분이라 하더라도, 사슬은 사슬이다. 그리고 그 제일 약한 부분이 브라우저라면, 운영체제 역시 불안하다는 의미다. 원격 코드실행과 권한 확장이 있었으며, 이것이 커널에서인지, 혹은 사파리, 혹은 폴더 아이콘의 56번째 픽셀이나 15번째 행에서 일어났는지는 관계가 없다. 윈도 XP에 대한 큰 보안 위협 다수는 인터넷 익스플로러나 아웃룩 익스프레스와 관련이 있다. 익스플로러와 관계 있다고 해서 윈도와 상관이 없는가?

기사의 업데이트 부분을 보면, Roughly Drafted는 존 그루버(John Gruber)가 WebKit의 자바스크립트 엔진이 사용하는 라이브러리를 활용했으리고 한 주장을 실어 놓았다. "즉, 이번 콘테스트는 오픈소스 개발 프로젝트를 며칠 정도 밀러가 앞서나갈 수 있다는 점을 보여준 것에 불과하다는 얘기다. 맥과 윈도, 리눅스 간의 플랫폼 보안 문제와는 큰 상관이 없다는 의미이기도 하다." 다시 말하건데, 약한 부분과 사슬을 생각해 보시라. 자기 운영체제에 포함시키기로 결정한 당사자는 애플이다. 애플의 책임이다. 원 개발자들로부터 나온 패치를 빠르게 통합시켜야 할 곳도 애플이다. 애플이 이것을 못맞춰주면, 그것은 애플의 잘못이다.

7. "리눅스를 크랙할 수 있는 참가자들은 콘테스트를 이기기 위해 필요한 침입 코드 개발을 하고싶어하지 않았다."

Roughly Drafted의 말을 인용한다. "왜일까? 리눅스가 해킹하기 쉽다는 사실을 증명할 정치적인 동기가 부족해서가 아닐까? 1만 달러를 받을 수 있다고 해서, 자기의 취약점을 1만 달러에 팔고싶어하지 않았다는 의미이기도 하다."

처음으로 모순되는 말을 하고 있다. Roughly Drafted는 맥 침입로가 안쓰이는 이유는 맥 사용자 기반이 너무나 적어서라 해놓고서, 맥의 가정용 운영체제 기반은 현금 받고 팔기에 더욱 더 적어서이리라고 주장한다. 유분투를 끌어내리기도 전에, 자기 스스로가 너무나 모순되고 있다.

하지만 7번 이유의 제일 큰 문제가 이것은 아니다. 원래의 IDG 기사를 잘못인용한 문제가 제일 크다. 원래 기사는 실제로 이렇게 쓰여 있다.

"TippingPoint의 보안책임 관리자인 테리 포슬롭(Terri Forslof)에 따르면, 리눅스 크랙을 하려 노력하였지만, 참가자 누구도 해낼 수가 없었다고 한다. 그녀의 말이다. '잘 안됐다는 점이 놀랍더군요.' 그녀에 따르면, 400명의 참가자들 중 일부가 리눅스 운영체제의 버그를 발견하긴 했지만, 콘테스트를 이기려고 침입용 코드를 제작하고 싶어하지 않은 이들이 다수였다고 한다."

정치적인 동기는 전혀 없다. 침입로 판매 건도 없다. 전혀 없다. 분명히 쓰여 있는 내용은 유분투 버그를 발견한 일부(several)의 참가자들이며, 그들이 침입 코드 제작을 하고싶어하지 않았다는 점 뿐이다. 이런 주장을 갖고, 별다른 근거나 인터뷰 없이 저런 이유를 만들어낸다.

8. 침입점이나 취약성은 "맥과 윈도, 리눅스" 고유의 침입지점이나 취약성이 아니다. 오히려 크로스 플랫폼적인 위협이다.

이 이유는 상당히 합리적이다. 하지만 사실의 맥락과는 완전히 동떨어진다. 윈도 비스타는 WebKit을 내장시키지 않는다. 유분투도 마찬가지다. 맥오에스텐만은 내장한다. 따라서 이 침입로는 전혀 크로스-플랫폼이 아니다. 윈도용 사파리, 혹은 유분투용 Konqueror를 설치해야 크로스 플랫폼이 될지도 모른다. 두 번째 날 콘테스트 규칙을 보면, 기본 설치만 사용하도록 되어 있다. 분명하다. 이 규칙과도 부합되지 않는 이유다. (세 번째 날은 써드파티 애플리케이션이 허용되었다.)

설사 크로스-플랫폼이라 하더라도, 저 이유를 그대로 받아들이기는 너무 약하다. "남들도 똑같다!"는 식의 억지춘향이기 때문이다. 원래 부모로부터 뭔가를 더 얻기 위해 아이들이 자주 벌이는 짓이다. 쟤는 과자 두 개에 우유인데, 전 과자가 하나 뿐이에요. 나도 두 개 먹어야겠어요. 쟤도 두 개 먹으니까요! 윈도ㅔ 침입로가 존재한다는 사실이 맥오에스텐의 책임을 없애주지 못한다는 의미다. 다른 운영체제도 마찬가지다. 침입로가 여러분 플랫폼에 있으면, 있는 것이다.

9. 밀러는 애플 플랫폼 보안을 깎아내리기 위해 평생을 노력해왔다고 자타가 계속 주장해왔다. 현재 그러한 노력과 시도가 돈이 될 만한 시장은 CanSecWest 뿐이다.

Roughly Drafted는 밀러가 사용한 침입로가 아웃데이트된 FOSS 코드라고 한다. 즉, "맥오에스텐과 윈도, 리눅스에 대한 지식과 식견, 동기보다 더 많은 사실을 알려준다"고 한다. 밀러가 손쉽게 한 이유는 그가 보안 전문가이면서, "자기 침입로를 스패머들에게 파매해온 동료, 별다른 동기가 없는 동료와 함께, FOSS의 이미지를 나쁘게만드는 데에 흥미가 없는 리눅스 전문가들"과 싸워야 했기 때문이란다.

리눅스 쪽 사람들 얘기부터 해 보자. 리눅스 개발자들은 언제나 FOSS 이미지를 흐려왔다. 커널 버그 데이터베이스를 열어본 다음에, 커널 메일링 리스트를 따라가 보시라. 유분투의 LaunchPad, GNOME의 Bugzilla를 볼 수 있다. 이들이 FOSS 이미지를 정말로, 정말로 망치고 있다. 계속 버그와 보안 위협을 보고하기 때문이다. 더해서 필자는 2만 달러나 1만 달러, 5천 달러에 관심이 없는 리눅스 전문가들이 상당수 존재한다는 말을 믿기 힘들다.

윈도 쪽 사람들 얘기를 해 보자. 콘테스트 전개 과정은 Roughly Drafted 생각과 사못 달랐다. 스패머들에게 고가로 팔 침입로를 찾아내기에 정신이 없었다고 말하는데, 그렇다면 이들이 비스타를 어째서 세 번째 날에 해킹하였을까? 세 번째 날 상금은 5000달러에 불과했다. 그것도 모든 머신에 설치된 Flash를 이용한 침입이었다. 수많은 윈도에 설치되어 있는 Flash의 거대한 보안 구멍 이야기이다. Roughly Drafted 말을 따르자면, 확실히 돈 가치가 있는 구멍이다. 하지만 윈도 쪽 사람들은 5000달러만 받기로 결정내렸다.

10. 애플이 오픈소스를 사용하기에, 밀러와 같은 연구자들이 침입로를 발견하기 더 쉬워졌다.

사실이 아니다. 밀러와 같은 연구자들은 오픈소스 소프트웨어를 통해 침입로를 발견할 수 있지만, 그 이유는 오픈소스 소프트웨어의 개방성 그 자체때문이 아니다. 애플이 오픈소스 소프트웨어 프로젝트의 최신 패치를 게을리 해서다. 설사 Roughly Drafted의 말이 맞다 하더라도, 애플은 패치를 내놓기 전에, 수 많은 테스트를 해야 한다. 알려진 공격로가 계속 열려있으리라는 의미다. 즉, 맥오에스텐의 보안이 더 불안해진다는 얘기이기도 하다. 밀러와 같은 영리한 사람들이 큰 상금을 받을 기회이기도 하지만 말이다.

애플이 오픈소스 소프트웨어를 통합시킨 이유는, 그 만큼 소요 인력을 줄일 수 있기 때문이다. 즉, 비용절감이라는 합리적 이유때문이라는 의미다. 그러나 이 또한 애플에게 새로운 문제를 야기할 수 있다. 그 중 하나가 보안 문제다. 이런 구조적인 보안 문제는 애플의 통제 밖에 있다. 윈도에서 발견되는 보안 침입로보다 덜 심각하다거나, 관계가 별로 없다는 의미가 아니다.

Conclusion

필자가 이 반박글을 쓰기로 한 이유는 애플을 떨어뜨리기 위해서가 아니다. 필자가 교회나 마이크로소프트로부터 봉급을 받아서도 아니다. 필자가 이 글을 쓴 이유는 잘못된 정보가 걷잡을 수 없이 퍼지기 때문이다. 이는 CanSecWest와 조직위원들의 신뢰도를 공격할 만한, 도를 넘는 일이다. Roughly Drafted와 같은 웹사이트들이 미리 만들어준 것처럼, 애플도 'Get the facts' 광고 캠페인을 할 필요까지는 없다.

보통 필자는 이런 류의 기사를 무시하지만, 쉽게 반박할 수 있는 잘못된 정보일 경우, 반박해야 할 필요성을 느낀다. 더군다나 Roughly Drafted를 여러 맥-위주의 커뮤니티들이 좋은 소스로 인용하는 광경을 보면 더욱 더 그러하다. 필자를 믿어달라. 이런 기사는 Roughly Drafted에 올라오는 여러 가지 잘못된 정보로 점철된 기사의 한 종류일 뿐이다.

여러분 입맛껏 다루시면 되겠다.

--------------------------------------------------------------------------------
If you would like to see your thoughts or experiences with technology published, please consider writing an article for OSNews.

( Original story URL at CanSecWest: Countering Misinformation )

© 2007 OSNews LLC 1997-2008. All Rights Reserved. OSNews and the OSNews logo are trademarks of OSNews.
All trademarks, icons, and logos shown or mentioned in this web site are the property of their respective owners.
Reproduction of OSNews stories is permitted only with explicit authorization from OSNews. Reproductions must be properly credited.

2008-04-11, 11:04 AM	#3
casaubon Moderator Registered: Sep 2001 My Mac: MacBook Air Posts: 2,138 오프라인	CanSecWest: 잘못된 정보에 맞선다 CanSecWest: Countering Misinformation posted by Thom Holwerda on Sun 30th Mar 2008 20:35 이제는 모두들 아실 텐데, CanSecWest 컨퍼런스는 PWN to OWN 콘테스트를 위한 무대였다. 각기 윈도 비스타와 유분투 리눅스, 맥오에스텐을 운영하는 세 대의 노트북을 갖다 놓고, 각 컴퓨터를 해킹하고, 0-day code execution vulnerability를 사용하여 각 머신에 있는 파일 콘텐트를 읽어들이는 것이 목표였다. 첫 번째 날은 물리적 접속 없이, 네트워크 상의 머신공격만 가능했다. 두 번째 날은 사용자 인터렉션(웹사이트 방문이나 이메일 개봉)이 허용됐다. 세 번째, 마지막 날은 써드파티 애플리케이션이 추가되었다. 1등에게는 각 머신마다 동일한 상금이 부여되었다. 여러분이 아시다시피 맥이 두 번째 날, 첫 번째로 해킹되었다. 사용자가 웹사이트를 방문해야했고, 그 때 해킹이 이루어졌다. 비스타는 어도비 Flash 안에 있는 보안 구멍을 사용하여 해킹이 되었고, 유분투 머신은 전혀 해킹이 안 되었다. -------------------------------------------------------------------------------- "Countering misinformation, 1/2" 이 콘테스트는 당연히 인터넷의 관심을 끌어모았다. OSNews도 이 콘테스트에 전적인 관심을 기울였다. OSNews에서는 필자가 OSNews 기사로서, 제한된 지면에 구체적인 사항을 모두 집어 넣기 위해 노력하였다. 그런데 오늘 아침, 누군가가 Roughly Drafted라는 애플-위주의 웹사이트(상당한 주목을 받는 곳이다)의 기사 링크를 보내왔다. 이곳 역시 이번 콘테스트에 대한 기사를 올렸다. 제목은 "Mac Shot First: 10 Reasons Why CanSecWest Targets Apple"이며, 상당한 사실 오류와 함께, 잘못된 정보가 다른 형태로 들어 있었다. 이에 필자는 대응할 필요를 느꼈다. 동 기사에서 쓴 10가지 이유를 각각 손대 보겠다. 순서는 원 기사의 순서를 따른다. 1. 맥에서 발견된 침투경로는 CanSecWest와 같은 콘테스트 외에는 거의 가치가 없다. 이 기사에 올라온 10가지 이유중에 제일 현실감 있는 이유이다. 사실 합리적인 이유이기도 하다. 실제로 맥용 침입 경로를 판매할 만한 시장은 (그의 시점에서) 거의 존재하지 않는다. 악성 소프트웨어 저작자들이 사용하기에 애플 사용자 기반이 극히 적어서이다. 그 뿐이다. 복잡한 이유를 댈 것 없다. 악성 소프트웨어 저작자들은 쉽게 돈을 벌려 하며, 90% 쪽 시장을 위주로 하는 편이 5%보다야 훨씬 합리적이다. 그러나 그렇다고 해서, 콘테스트 승자가 발견한 침입로하고는 별 관계가 없는 것 또한 사실이다. 보안 구멍은 보안 구멍이되, 고쳐야 할 보안 구멍이다. 침입 경로에 대한 구체적인 사항은 애플에게 전달됐으며, 공개가 되진 않았다. 애플이 이를 해결할 것이다. 따라서 이 침입이 맥오에스텐의 실질 보안에는 거의 영향을 끼치지 못할 것이다. 물론 이론상 존재하는 보안 문제라 해서 무시해도 된다는 말은 아니다. 주목해야 한다. 2. CanSecWest 콘테스트는 윈도보다, 다른 플랫폼의 보안 문제에 초점을 두려는 의도가 역력하다. 필자가 "검정 헬리콥터"라 즐겨 부르는 것이 있다. 일반적으로는 음모론이라 불린다. Roughly Drafted는 CanSecWest 컨퍼런스(혹은 콘테스트) 운영자들이 어느 정도 반-애플, 친-마이크로소프트라는 이미지를 주려 노력한다. 하지만 실제로 그렇다는 증거는 없다. 마이크로소프트의 "Get the facts"라는 대실패 광고가 마치 전혀 상관이 없다는 듯이 밝히는지 확신 못하겠다. Roughly Drafted는 CanSecWest는 맥이 윈도보다 보안이 덜하다고 발표하였다는듯한 이미지를 주려 노력하기도 하였다. 호기심나는 방식이다. 승자를 발표한 오리지날 발표문을 보시라. 그러면 그런 주장을 한 적이 없다는 점을 알 수 있다. 동 콘테스트의 마지막 발표 기사 또한 그런 주장을 하지 않았다. 달리 말해서, Roughly Drafted는 CanSecWest의 신뢰성을 떨어뜨리기 위해 잘못된 정보를 뿌리고 있다. 3. 콘테스트는 일단 맥북 에어라는 브랜드 이름에 관심을 집중시켰다. Roughly Drafted는 맥북 에어 이름만 명시됐으며, 다른 노트북은 브랜드 이름 외에 알려진 바가 없다 주장하였다. Roughly Drafted에 따르면, 제일 선정적인 헤드라인이라고 한다. 다시 말하지만 이 역시 잘못된 정보다. 콘테스트 규칙 페이지를 가면 브랜드와 사용한 노트북의 사양이 나온다. ("VAIO VGN-TZ37CN running Ubuntu 7.10, Fujitsu U810 running Vista Ultimate SP1, MacBook Air running OSX 10.5.2"). 4. 맥 침입은 찰리 밀러가 들어올 때 이미 해 두었던 무언가였다. 좀 당혹해 한 주장이다. 당연히 밀러 마음 속에는 방법이 있었을 터이다! 즉, 관계 없는 주장이다. 상금을 타기 위해, 비스타나 유분투 노트북 해킹을 하려 들어간 이들도 똑같은 생각을 가질 것 아니겠는가. 그것이 이번 콘테스트의 목표이다. 새롭고 알려지지 않은 침입로를 찾고, 실질 피해가 일어나기 전에, 관련 업체가 찾아 고치는 것이다. 하다못해 스쿼시 게임이라도 참여한다면, 실제로 경기를 하기 전에, 적에 대해 공부하고, 연습이라도 해야 하잖겠는가? 5. 비스타 머신 크랙을 한 연구자는, SP1 설치가 되었는지를 기대하지 못했다. IDG, 로버트 맥밀란(Robert McMillan)의 기사에 따르면, 그 사실을 몰라서 그는 허둥댔다. 윈도 비스타의 첫 번째 서비스팩(SP1)은 올해 3월 18일에 나왔다. 콘테스트 규칙은 노트북이 "제일 최근의 업데이트와 패치가 설치되어 있음"을 명시하고 있다. 세 운영체제 모두 말이다. 비스타 머신을 크랙한 연구자가 SP1을 보고 놀란다면, 그는 아마 규칙을 제대로 읽지 않았거나, 뉴스를 안 봤을 것이다. Roughly Drafted는 비스타 노트북이 비스타를 사용하는 사용자들의 실제 규모를 반영시키지 않았다고 말한다. 도대체 포인트를 어째서 꺾을까? 비스타 SP1이 나온 며칠 뒤, 전체적인 보안 픽스와 함께 Safari 3.1이 나왔다. 2007년에 쓰이는 사파리를 반영하지 못했으니, 제외시키기라도 해야 했을까? 기본적으로 이런 테스트나 시합의 기본 사양은 최신 버전에 완전한 업데이트와 패치이다. 모든 플랫폼에 동일하게 적용시킨다. 콘테스트 참여자 모두는 이 점을 알 수 있다. "Countering misinformation, 2/2" 6. 밀러는 사파리에 관련이 있는 무언가를 해킹했다 보도하였지만, 그 구체적인 방법은 공개가 안 되었다 Safari는 맥오에스텐의 기본 일부이다. 말하자면, 주된 공격 목표이다. 유분투의 파이어폭스, 비스타의 인터넷 익스플로러 7과 마찬가지이다. 제일 약한 부분이라 하더라도, 사슬은 사슬이다. 그리고 그 제일 약한 부분이 브라우저라면, 운영체제 역시 불안하다는 의미다. 원격 코드실행과 권한 확장이 있었으며, 이것이 커널에서인지, 혹은 사파리, 혹은 폴더 아이콘의 56번째 픽셀이나 15번째 행에서 일어났는지는 관계가 없다. 윈도 XP에 대한 큰 보안 위협 다수는 인터넷 익스플로러나 아웃룩 익스프레스와 관련이 있다. 익스플로러와 관계 있다고 해서 윈도와 상관이 없는가? 기사의 업데이트 부분을 보면, Roughly Drafted는 존 그루버(John Gruber)가 WebKit의 자바스크립트 엔진이 사용하는 라이브러리를 활용했으리고 한 주장을 실어 놓았다. "즉, 이번 콘테스트는 오픈소스 개발 프로젝트를 며칠 정도 밀러가 앞서나갈 수 있다는 점을 보여준 것에 불과하다는 얘기다. 맥과 윈도, 리눅스 간의 플랫폼 보안 문제와는 큰 상관이 없다는 의미이기도 하다." 다시 말하건데, 약한 부분과 사슬을 생각해 보시라. 자기 운영체제에 포함시키기로 결정한 당사자는 애플이다. 애플의 책임이다. 원 개발자들로부터 나온 패치를 빠르게 통합시켜야 할 곳도 애플이다. 애플이 이것을 못맞춰주면, 그것은 애플의 잘못이다. 7. "리눅스를 크랙할 수 있는 참가자들은 콘테스트를 이기기 위해 필요한 침입 코드 개발을 하고싶어하지 않았다." Roughly Drafted의 말을 인용한다. "왜일까? 리눅스가 해킹하기 쉽다는 사실을 증명할 정치적인 동기가 부족해서가 아닐까? 1만 달러를 받을 수 있다고 해서, 자기의 취약점을 1만 달러에 팔고싶어하지 않았다는 의미이기도 하다." 처음으로 모순되는 말을 하고 있다. Roughly Drafted는 맥 침입로가 안쓰이는 이유는 맥 사용자 기반이 너무나 적어서라 해놓고서, 맥의 가정용 운영체제 기반은 현금 받고 팔기에 더욱 더 적어서이리라고 주장한다. 유분투를 끌어내리기도 전에, 자기 스스로가 너무나 모순되고 있다. 하지만 7번 이유의 제일 큰 문제가 이것은 아니다. 원래의 IDG 기사를 잘못인용한 문제가 제일 크다. 원래 기사는 실제로 이렇게 쓰여 있다. "TippingPoint의 보안책임 관리자인 테리 포슬롭(Terri Forslof)에 따르면, 리눅스 크랙을 하려 노력하였지만, 참가자 누구도 해낼 수가 없었다고 한다. 그녀의 말이다. '잘 안됐다는 점이 놀랍더군요.' 그녀에 따르면, 400명의 참가자들 중 일부가 리눅스 운영체제의 버그를 발견하긴 했지만, 콘테스트를 이기려고 침입용 코드를 제작하고 싶어하지 않은 이들이 다수였다고 한다." 정치적인 동기는 전혀 없다. 침입로 판매 건도 없다. 전혀 없다. 분명히 쓰여 있는 내용은 유분투 버그를 발견한 일부(several)의 참가자들이며, 그들이 침입 코드 제작을 하고싶어하지 않았다는 점 뿐이다. 이런 주장을 갖고, 별다른 근거나 인터뷰 없이 저런 이유를 만들어낸다. 8. 침입점이나 취약성은 "맥과 윈도, 리눅스" 고유의 침입지점이나 취약성이 아니다. 오히려 크로스 플랫폼적인 위협이다. 이 이유는 상당히 합리적이다. 하지만 사실의 맥락과는 완전히 동떨어진다. 윈도 비스타는 WebKit을 내장시키지 않는다. 유분투도 마찬가지다. 맥오에스텐만은 내장한다. 따라서 이 침입로는 전혀 크로스-플랫폼이 아니다. 윈도용 사파리, 혹은 유분투용 Konqueror를 설치해야 크로스 플랫폼이 될지도 모른다. 두 번째 날 콘테스트 규칙을 보면, 기본 설치만 사용하도록 되어 있다. 분명하다. 이 규칙과도 부합되지 않는 이유다. (세 번째 날은 써드파티 애플리케이션이 허용되었다.) 설사 크로스-플랫폼이라 하더라도, 저 이유를 그대로 받아들이기는 너무 약하다. "남들도 똑같다!"는 식의 억지춘향이기 때문이다. 원래 부모로부터 뭔가를 더 얻기 위해 아이들이 자주 벌이는 짓이다. 쟤는 과자 두 개에 우유인데, 전 과자가 하나 뿐이에요. 나도 두 개 먹어야겠어요. 쟤도 두 개 먹으니까요! 윈도ㅔ 침입로가 존재한다는 사실이 맥오에스텐의 책임을 없애주지 못한다는 의미다. 다른 운영체제도 마찬가지다. 침입로가 여러분 플랫폼에 있으면, 있는 것이다. 9. 밀러는 애플 플랫폼 보안을 깎아내리기 위해 평생을 노력해왔다고 자타가 계속 주장해왔다. 현재 그러한 노력과 시도가 돈이 될 만한 시장은 CanSecWest 뿐이다. Roughly Drafted는 밀러가 사용한 침입로가 아웃데이트된 FOSS 코드라고 한다. 즉, "맥오에스텐과 윈도, 리눅스에 대한 지식과 식견, 동기보다 더 많은 사실을 알려준다"고 한다. 밀러가 손쉽게 한 이유는 그가 보안 전문가이면서, "자기 침입로를 스패머들에게 파매해온 동료, 별다른 동기가 없는 동료와 함께, FOSS의 이미지를 나쁘게만드는 데에 흥미가 없는 리눅스 전문가들"과 싸워야 했기 때문이란다. 리눅스 쪽 사람들 얘기부터 해 보자. 리눅스 개발자들은 언제나 FOSS 이미지를 흐려왔다. 커널 버그 데이터베이스를 열어본 다음에, 커널 메일링 리스트를 따라가 보시라. 유분투의 LaunchPad, GNOME의 Bugzilla를 볼 수 있다. 이들이 FOSS 이미지를 정말로, 정말로 망치고 있다. 계속 버그와 보안 위협을 보고하기 때문이다. 더해서 필자는 2만 달러나 1만 달러, 5천 달러에 관심이 없는 리눅스 전문가들이 상당수 존재한다는 말을 믿기 힘들다. 윈도 쪽 사람들 얘기를 해 보자. 콘테스트 전개 과정은 Roughly Drafted 생각과 사못 달랐다. 스패머들에게 고가로 팔 침입로를 찾아내기에 정신이 없었다고 말하는데, 그렇다면 이들이 비스타를 어째서 세 번째 날에 해킹하였을까? 세 번째 날 상금은 5000달러에 불과했다. 그것도 모든 머신에 설치된 Flash를 이용한 침입이었다. 수많은 윈도에 설치되어 있는 Flash의 거대한 보안 구멍 이야기이다. Roughly Drafted 말을 따르자면, 확실히 돈 가치가 있는 구멍이다. 하지만 윈도 쪽 사람들은 5000달러만 받기로 결정내렸다. 10. 애플이 오픈소스를 사용하기에, 밀러와 같은 연구자들이 침입로를 발견하기 더 쉬워졌다. 사실이 아니다. 밀러와 같은 연구자들은 오픈소스 소프트웨어를 통해 침입로를 발견할 수 있지만, 그 이유는 오픈소스 소프트웨어의 개방성 그 자체때문이 아니다. 애플이 오픈소스 소프트웨어 프로젝트의 최신 패치를 게을리 해서다. 설사 Roughly Drafted의 말이 맞다 하더라도, 애플은 패치를 내놓기 전에, 수 많은 테스트를 해야 한다. 알려진 공격로가 계속 열려있으리라는 의미다. 즉, 맥오에스텐의 보안이 더 불안해진다는 얘기이기도 하다. 밀러와 같은 영리한 사람들이 큰 상금을 받을 기회이기도 하지만 말이다. 애플이 오픈소스 소프트웨어를 통합시킨 이유는, 그 만큼 소요 인력을 줄일 수 있기 때문이다. 즉, 비용절감이라는 합리적 이유때문이라는 의미다. 그러나 이 또한 애플에게 새로운 문제를 야기할 수 있다. 그 중 하나가 보안 문제다. 이런 구조적인 보안 문제는 애플의 통제 밖에 있다. 윈도에서 발견되는 보안 침입로보다 덜 심각하다거나, 관계가 별로 없다는 의미가 아니다. Conclusion 필자가 이 반박글을 쓰기로 한 이유는 애플을 떨어뜨리기 위해서가 아니다. 필자가 교회나 마이크로소프트로부터 봉급을 받아서도 아니다. 필자가 이 글을 쓴 이유는 잘못된 정보가 걷잡을 수 없이 퍼지기 때문이다. 이는 CanSecWest와 조직위원들의 신뢰도를 공격할 만한, 도를 넘는 일이다. Roughly Drafted와 같은 웹사이트들이 미리 만들어준 것처럼, 애플도 'Get the facts' 광고 캠페인을 할 필요까지는 없다. 보통 필자는 이런 류의 기사를 무시하지만, 쉽게 반박할 수 있는 잘못된 정보일 경우, 반박해야 할 필요성을 느낀다. 더군다나 Roughly Drafted를 여러 맥-위주의 커뮤니티들이 좋은 소스로 인용하는 광경을 보면 더욱 더 그러하다. 필자를 믿어달라. 이런 기사는 Roughly Drafted에 올라오는 여러 가지 잘못된 정보로 점철된 기사의 한 종류일 뿐이다. 여러분 입맛껏 다루시면 되겠다. -------------------------------------------------------------------------------- If you would like to see your thoughts or experiences with technology published, please consider writing an article for OSNews. ( Original story URL at CanSecWest: Countering Misinformation ) © 2007 OSNews LLC 1997-2008. All Rights Reserved. OSNews and the OSNews logo are trademarks of OSNews. All trademarks, icons, and logos shown or mentioned in this web site are the property of their respective owners. Reproduction of OSNews stories is permitted only with explicit authorization from OSNews. Reproductions must be properly credited. __________________ FAQ