Thom Holwerda of OSNews Calls “Mac Shot First” Misinformation and Slander. Oops!

casaubon · 2008-04-15, 09:56 AM

Thom Holwerda of OSNews Calls “Mac Shot First” Misinformation and Slander. Oops!
March 31st, 2008 | Journal, Markets, Software, Tech, the Media

Daniel Eran Dilger

"맥을 먼저 공격한 10가지 이유" 기사에 대응하여, OSNews의 홀워다(Thom Holwerda)가 "CanSecWest: 잘못된 정보에 맞선다"라는 반박글을 올렸다. 그는 필자의 기사가 "잘못된 정보가 걷잡을 수 없이" 퍼뜨린다 하였다. 하지만 그는 필자가 제기한 주안점 중 아무 것도 해명을 하지 못하였으며, 오히려 필자가 제기한 여러 가지 사실을 수정하기보다는, 필자를 더럽히려는 의도마저 무색해져버렸다. 그는 틀렸다. 왜인지 알아보자.

CanSecWest: 잘못된 정보에 맞선다
맥을 먼저 공격한 10가지 이유

홀워타가 무엇을 왜곡했는지 알아보기 전에, 블로거와 거대언론의 선정성 보도를 촉발시킨 CanSecWest 이벤트에 대해 OSNews에 그가 어떤 기사를 썼는지를 보자. 그는 심지어 Swiss Federal Institute of Technology의 0-데이 연구보고서도 한데 묶으려 노력했었다.

맥 보안에 대한 공격. 어디까지 진실일까

OSNews가 어째서 필자를 두고 중상모략을 벌였을까? 다음 글은 훨워다가 어떤 실수를 저지르고, 어떤 주장을 잘못했는지를 알아본다. 또한 동의하지 않을 때 어떻게 해야 효율적으로 할 수 있는지 윤곽을 그려주고, 논리 오류로 빠지기가 얼마나 쉬운지도 보여준다.

How to Disagree
Fallacy - Wikipedia

OSNews: Please Issue a Correction.

안녕하세요, 하월다씨.

필자가 RoughlyDrafted의 기사를 씁니다. "CanSecWest: 잘못된 정보에 맞선다"란 글에서 당신은 제가 이번 콘테스트를 잘못 이해하고 있으며, 근거 없이 중상모략했다고 했습니다. 문제는 당신이 필자의 글과 필자에 대해 제대로 되씹지 않았다는 데에 있으며, 제 글의 주안점을 이해하지 않는 듯 보인다는 데에 있습니다. 게다가 실제로 드러내기도 실패하였죠.

1. 맥에서 발견된 침투경로는 CanSecWest와 같은 콘테스트 외에는 거의 가치가 없다.

여기서의 주안점은 콘테스트 외에는 다른 플랫폼에 대한 침입이 가치가 있다는 겁니다. 당신은 맥에 악성 소프트웨어 시장이 없는 이유를 멋대로, 그리고 환타지로 꾸며냈습니다. 그리고서는 또 침입로를 수정해야한다고 주장합니다. 그것 또한 사실을 놓치고 있습니다.

어떤 보안 연구자가 윈도용 침입로를 발견한다면, 그는 이 침입로를 악성 소프트웨어 업자에게 팔겠습니까, 아니면 1년에 한 번 열리는 콘테스트에서 다른 경쟁자에게 질 것을 감수하고 1만 달러를 벌려 하겠습니까? 자, 밀러처럼 맥오에스텐 침입로를 발견했다고 합시다. 이번에야말로 콘테스트 외에는 가치가 없습니다. 바로 이 점만 갖고 글을 쓰셨는데, 주안점과는 거리가 멉니다.

2. CanSecWest 콘테스트는 윈도보다, 다른 플랫폼의 보안 문제에 초점을 두려는 의도가 역력하다.
당신은 제가 음모론자라면서, "마이크로소프트의 "Get the facts"라는 대실패 광고가 마치 전혀 상관이 없다는 듯이 밝히는지 확신 못하겠다."라 했습니다. 하지만 그것이야말로 주안점입니다. 마이크로소프트의 마케팅 술책은 잘못된 정보를 헤드라인에 올려놓는 것에 대한 광고비 지불입니다. 그것도 마이크로소프트가 지원하는 콘테스트에서 말이죠. 연결점을 잘 못찾으시는 모양입니다.

음모론같은 것은 없어요. 이 콘테스트는 자기들이 헤드라인을 어떻게 만들지 알고 있었습니다. 지난 해에도 정확히 똑같은 일을 벌였으니까요. 하지만 그 자체가 콘테스트의 결과를 반박하지요. 윈도 PC는 수많은 악성 소프트웨어로 가득 차 있지만, 맥에는 실질적인 악성 소프트웨어가 전혀 없습니다. 정작 쉽게 논박하기 어려운 일은 따로 있죠. "보안의 초점을 윈도로부터 다른 플랫폼으로 옮기는 일"입니다.

이 콘테스트는 선정적으로 임하여 스스로의 지위를 깎아내렸습니다. 그러면서 언론보도가 내보내는 잘못된 정보에 대해 시정 명령이나 확인도 전혀 안 하고 있어요. CSW의 동기에 대해 주장하실 수는 있지만, 그 때문에 저는 "분명 그러하게 보인다"고 썼습니다. 정말 그랬으니까요!

[업데이트: CanSecWest 콘테스트를 만든 관계자들의 동기를 두 가지 방식으로 설명할 수는 있다. 언론이 할 수 없는 단순한 마케팅 메시지를 마이크로소프트가 최대화시켰다는 것이다. 마이크로소프트 보안 그룹부장인 제프 존스(Jeff Jones)는 맥오에스텐 크랙에 대해 이런 블로그를 올렸다.

"'저 컴퓨터를 해킹하라'식의 콘테스트는 별로 신경쓰지 않는다. 해킹을 당하지 않는다고 해서, 깰 수 없는 것도 아니다. 또한 해킹을 당했다고 해도, 그 또한 이미 알고있는 사실이 드러난 것 뿐이다. 어떠한 머신도, 조건만 잘 갖춰진다면 깰 수 있다. 그러니 PWN 2 OWN 결과를 너무 깊게 들여다보시지 발기를. 나도 안 그런다."

이 블로그 제목은 "보안은 단순하지 않다. 그러니 쓸데 없는 점을 맞추려고 단순화시키면 안된다"로 되어 있다. 그런데 그는 이런 말도 덧붙였다. "일단 말했으니 말인데, 맥오에스텐 광고는 좀 너무하지 않나. 수 백만 달러를 들여서 윈도 비스타의 보안 개선을 공개적으로 비웃는 광고라서이다. 그런 맥오에스텐이 이런 시기에 CanSecWest 콘테스트에서 첫 번째로 뚫렸다니, 좀 아이러닉하다."

그런데 언론은 그의 블로그 마지막 줄만을 보도하였다. 게다가 존스의 애플 광고 '겟 어 맥'이 '너무하지 않나'라는 코멘트는 별 근거도 없는 말이었다. 윈도 팬들이야 이런 말을 들으면 열 받을 만하다. 하지만 그들은 반박을 안한다. 애플이 "수 백만 달러를 들여서 공개적으로 윈도 비스타의 보안 개선을 비웃는다"고 말하는 것도, 실제로는 정확하지 않고, 공정하지도 않다.

Jeff Jones Security Blog : Mac OS X Security - Reality Check #2]

3. 콘테스트는 일단 맥북 에어라는 브랜드 이름에 관심을 집중시켰다.

다른 노트북 모델 넘버 찾느라 수고하셨습니다. 하지만 이 콘테스트를 다룬 그 어떤 언론 기사나 헤드라인도 그런 정보를 담지 않았습니다. 제가 제기한 의문은 콘테스트 자체에 대한 공격이 아니었습니다. "기억해야 할 10가지 것들"이었습니다. 달리 말해서, 거대 기술 언론이 제시하는 선정적인 기사에 대한 글이었습니다.

4. 맥 침입은 찰리 밀러가 들어올 때 이미 해 두었던 무언가였다.

다시 말씀드리건데, 당신은 주안점을 이해하지 못한 채 말을 하고 있습니다. 밀러가 준비를 전혀 하지 말아야했다는 주장이 아닙니다. 맥은 스위스 치즈처럼 구멍이 많이 뚫려 있지 않아요. 기사처럼 2분만에 크랙할 수 없습니다. "잘못된 정보"를 고친다기보다는 개인적인 공격을 하고 있다 여기시겠죠. 당신은 제가 제기한 의문을 직접적으로 이해하지 못하고 있습니다.

[업데이트: 필자가 모순적인 개념을 만들었다고 생각하는 분들이 계신데, 그렇지 않다. 독자, Don Bach가 한 링크를 보내왔다. 이 링크는 밀러의 인터뷰 기사였다. 그 기사에서 밀러는 콘테스트에서 자신이 사용한 맥오에스텐 침입로에 대해 이렇게 말했다. "3주일 전에 앉아서, 링 안으로 모자 던지기를 하고 싶어했습니다. 며칠 지나고나자 뭔가 보이더군요. 나무지는 그 침입로를 찾아내서 테스트했습니다. 그게 다 합쳐서 1주일 쯤 걸렸을 겁니다."

밀러는 일단, 애플이 업데이트시키지 않은 FOSS 코드를 통해 침입로를 발견하는 일이 얼마나 쉬울지를 드러내고자 하는 말을 하였다. 하지만 그와 동시에, 밀러는 이미 그 방법을 알고나서, 맥을 목표로 한 침입로를 발견하기 위해, 수 많은 동료들 이상으로 정치적인 동기를 갖고 있었다. 기사의 나머지 부분은 위, 존스의 코멘트로 채워져 있었지, 별 다른 내용이 없었다. Softpedia는 부끄러운 줄 알라.

Microsoft Finds Irony in Mac OS X Getting Hacked Before Vista SP1 - Courtesy of Jeff Jones, Strategy Director in the Microsoft Security Technology Unit - Softpedia ]

5. 비스타 머신 크랙을 한 연구자는, SP1 설치가 되었는지를 기대하지 못했다. IDG, 로버트 맥밀란(Robert McMillan)의 기사에 따르면, 그 사실을 몰라서 그는 허둥댔다.

이 기사에 주안점은 여러 가지가 있겠으나, 주된 것은 이 콘테스트가 제멋대로 열렸으며, 그 때문에 올해는 지난해 비스타 사용자들의 보안을 반영하지 않았으며, 이 이벤트 전날의 리눅스 사용자들도 반영하지 못했다는 겁니다. 저 스스로도 지난해 애플이 콘테스트 직전에 패치를 제공했다는 점을 지적했습니다.

SP1을 제거해야 옳다는 말이 아닙니다. 이 콘테스트는 실제 세상의 보안과는 별 관계가 없다는 말입니다. 어느 플랫폼이건 간에, 과거나 현재, 미래에 누구나 기대할 수 있는 보안을 반영한 콘테스트가 아닙니다. 하지만 언론은 마치 그런양 그리고 있습니다. 잘못된 정보라 할 만한 과도한 단순화이죠.

윈도용 악성 소프트웨어와 바이러스가 창궐한다는 점만은 사실입니다. 윈도 사용자들이 맞이하는 손실이죠. 이 때문에 불편하게도 안티바이러스 소프트웨어를 꼭 돌려야 합니다. (그 스스로가 취약성에 노출되어 있죠.) 오픈소스에 대해, 정치적으로 목표를 정해 왜곡된 선정보도보다도 그것이 엄연한 사실이죠. 대부분의 윈도 사용자들이 쓰지 않는(사실 사용자 대다수는 비스타도 쓰지 않으며, 비스타 사용자들은 SP1 설치를 말라는 권유까지 받고 있습니다) 비스타 버전을 갖고 하다뇨.

6. 밀러는 사파리에 관련이 있는 무언가를 해킹했다 보도하였지만, 그 구체적인 방법은 공개가 안 되었다.

글을 쓸 당시 공격 방법이 완전히 알려져 있지 않았습니다. 주안점은 뭐가 뭔지 분명하지 않았다는 데에 있죠. 이것은 CSW나 밀러에 대한 공격이 아닙니다. "맥 보안에 대한 공격, 어디까지 진실일까"의 10가지 중 하나였죠.

이 10가지를 모조리 하나씩 공격하고 싶으셨을 겁니다. 주안점이 뭐간 상관 없이 말이죠. 즉, 사실을 확인하는 데에 흥미가 있는 것이 아니라, 저를 공격하는 데에 흥미를 가졌다는 의미입니다. 전 사실을 말했습니다. 애플이 어째서 선하고 마이크로소프트가 어째서 악한지, 밀러나 CSW가 얼마나 악당인지를 말하지 않아요. 언론 보도가 어떻게 잘못 되었는지를 말할 뿐이었습니다. 10가지 제가 든 항목은 콘테스트나 밀러, 마이크로소프트, 혹은 당신이 마음대로 상상한 목표를 직접 겨냥한 불만토로가 아니었습니다.

다시 말씀드리건데, 10가지 하나 하나 건드리셨지만, 하나같이 주안점을 놓치고 있습니다. 당신이야말로 사실보다는 그저 욕보이기에 더 집중한다는 점을 드러내죠.

7. "리눅스를 크랙할 수 있는 참가자들은 콘테스트를 이기기 위해 필요한 침입 코드 개발을 하고싶어하지 않았다."

제가 "맥 침입로가 안쓰이는 이유는 맥 사용자 기반이 너무나 적어서라 해놓고서, 맥의 가정용 운영체제 기반은 현금 받고 팔기에 더욱 더 적어서이리라고 주장한다."고 쓰셨습니다. 잘못 인용하셨죠.

맥 사용자 기반이 너무나 적다는 것은 당신의 발명품입니다. 맥용 악성 소프트웨어 시장이 존재하지 않는 이유는 그것이 아닙니다. 나중에 밝히겠지만, 저는 리눅스에서도 발견할 수 있는 수 많은 침입로가 윈도나 맥을 향해서도 쓸 수 있다고 썼습니다. 세 번째 날, 비스타를 침입할 때 사용한 Flash가 그 예이지요. 유분투를 향해서도 동일하게 사용할 수 있는 것으로 보입니다.

자, 당신은 제가 IDG 기사를 잘못 인용했다고 쓰셨죠. 당신이 틀렸습니다. 인용을 잘못 한 사람은 당신입니다. 그러면서 당신은 IDG가 제가 말하는 식의 동기를 거론하지 않았다면서, 리눅스의 취약성이 안쓰인다는 합리적인 의심 이상을 증명하는 경험적인 연구보고서가 없다 주장하셨습니다. 웃기는 말입니다. 전혀 앞뒤가 안맞기도 하고요. 리눅스를 공격하기 위해 정치적인 동기를 갖고 광고하는 사람은 없다고 스스로 말씀하셨습니다. 분명히 그런 사람들은 없습니다.

달리 말해서, 밀러는 분명 맥 보안을 침입해 보겠다는 정치적인 의도를 분명히 표현했습니다. 물론 그가 애플을 불안하게 만들기 위해, 상대적으로 마이크로소프트를 더 나아 보이게 하기 위해 그랬다고 믿으시건 믿지 않으시건 말입니다. 물론 밀러가 맥을 사랑해서, 애플이 개선하도록 하기 위해서였을지도 모르겠습니다.

8. 침입점이나 취약성은 "맥과 윈도, 리눅스" 고유의 침입지점이나 취약성이 아니다. 오히려 크로스 플랫폼적인 위협이다.

"이 이유는 상당히 합리적이다. 하지만 사실의 맥락과는 완전히 동떨어진다." 틀렸습니다. 리눅스에 대한 잠재적인 공격은 윈도에 대해서도 쓰일 수 있습니다. 세 번째 날 이뤄진 Flash 공격은 다른 플랫폼에서도 가능한 일이죠. 물론 그 때는 비스타였지 리눅스가 아니었습니다.

주안점은 이렇습니다. 연구자들은 원하는 머신을 자유로이 공격할 수 있었으며, 크로스 플랫폼 공격도 선택에 따라 이뤄졌습니다. 각 플랫폼을 동등하게 테스트하는 상황은 아니었습니다.

이것이야말로 전체 기사의 핵심입니다. 시작할 때부터 말했죠. "그런데 CanSecWest 콘테스트는 세 시스템의 결함을 드러내기 위한 레벨 콘테스트가 아니라, 각자 선택한 플랫폼을 목표로, 연구자들의 지식과 능력에 보다 초점을 맞춘 콘테스트였을 따름이다."

WebKit까지 말씀하시는 등, 궤를 벗어나셨던데, 이것은 제가 제기한 주장과 전혀 관계가 없습니다. 어린이와 과자 또한 완전히 다르죠. 제가 제기하는 정보를 "반박"하실 요량이라면, 제 코멘트와 관련이 없는 스스로의 실수부터 수정하셔야 합니다. 이대로는 당신이 주장을 이해하지 못한다는 것만 드러낼 따름입니다.

9. 밀러는 애플 플랫폼 보안을 깎아내리기 위해 평생을 노력해왔다고 자타가 계속 주장해왔다. 현재 그러한 노력과 시도가 돈이 될 만한 시장은 CanSecWest 뿐이다.

다시 말씀드리건데, 당신은 주안점을 모른 채, 관련 없는 주제에 대해 글을 쓰셨습니다. 밀러는 해킹할 준비가 되어 있었으며, 콘테스트 이전에 마이크로소프트나 유분투를 준비할 높은 수준의 해커는 없었다는 점을 반박하지 않았습니다. 오히려 리눅스 사용자들도 돈벌기만은 관심이 있으리라 말씀하셨죠. 그러면서 퍼블릭 데이터베이스의 오류만 기여했다고 합니다. 당신의 생각에 문제가 있습니다. 언론은 그래도 모질라의 버그질라 목록에 있는 버그 발표문갖고 선정적인 기사를 쓰지는 않아요. 또한 리눅스 상의 어떤 침입로도 윈도용 악성 소프트웨어로 팔릴 수 있다는 개념에 대해 반박하지 않았습니다. 합리적이라면서요.

둘째로 Flash 침입이 어째서 세 번째 날, 5000 달러 상금으로 이뤄졌는지를 스스로 물으셨습니다. 이 콘테스트에 대해 잘 아셨다면, 써드 파티 공격은 세 번째 날에만 허용됐다는 점을 알 수 있어요. 그런 발언은 당신의 비판력을 의심하게 만듭니다.

10. 애플이 오픈소스를 사용하기에, 밀러와 같은 연구자들이 침입로를 발견하기 더 쉬워졌다.

코멘트에서 사실이 아니라 말씀하셨죠. 그래놓고서는 사실이라 바꿔 말씀하셨습니다. 제가 제시한 이유로 보면 거의 확실합니다. 맥오에스텐의 FOSS-관련 코드에 있는 침입로가 이 때문에 만들어진다는 말이 아닙니다. 그러한 침입이 애플 바깥에서 이미 수정되기도 하고, 배포도 가능하다는 얘기였습니다. 실제로 애플 또한 밀러가 공격한 PCREL 오류에 대한 패치를 바로 공격을 벌인 그 날 내부적으로 출시한 듯 합니다.

전 애플이 오픈소스를 통해 강해지먼 더 강해지지 약해지지 않는다는 점을 지적했습니다. 물론 입수한 코드를 업데이트시키지 않고 오류를 방치해 놓는다며녀 저 역시 애플을 비난할 겁니다. 또한 이 글과 전 글에서도 애플의 업데이트에 대한 비판을 지적해 놓았으며, 애플이 어째서 연기시키는가도 설명해 보았습니다.

당신의 결론에 따르면, "잘못된 정보가 걷잡을 수 없이 퍼진다"고 하였습니다. 심지어 도를 넘어선다는 말씀까지 하시더군요. 하지만 잘못된 정보가 뭔지, 무엇이 도를 넘어서는지는 밝히지 않으셨습니다. 또한 중상(slander)은 말로 하는 공격이며, 당신이 쓴 단어가 중상입니다. 별다른 근거 없이 심가가한 공격을 했으니까요.

그 정도 답신은 OSNews의 명성을 떨어뜨리고, 제가 제기한 주안점을, 그리고 제가 왜 그러한 주장을 하는지 이해못한 당신의 글을 통해 저와 제 사이트를 모욕하는 짓입니다. 제가 "잘못된 정보"를 퍼뜨린다고만 계속 주장하신 당신의 글 자체가 스스로를 모욕하는 것입니다. 글을 철회하여 독자들에게 사과하세요.

Dan

Daniel Eran Dilger
RoughlyDrafted Magazine
Daniel Eran Dilger in San Francisco — RoughlyDrafted Magazine

맥 보안에 대한 공격. 어디까지 진실일까
맥을 먼저 공격한 10가지 이유

What CanSecWest Means for Platform Security.
필자의 비판과 글 대다수는 단순하기 짝이 없는 CanSecWest에 대한 거대 언론의 잘못된 기사와, 더 잘 알아야 할 블로거들용이었다. 이 콘테스트는 다소 선정적으로 설정이 되었지만, 오류를 발견했고, 이를 회사에 보내서 관련 소프트웨어(두 번째 날), 그리고 써드파티 툴(세 번째 날), 플랫폼 개선을 시키도록 하였다.

이런 관점에서 이 콘테스트는 악성 소프트웨어 시장에 대한 대안적인 식견을 제공한다. 현재 이 시장은 주로 오류를 발견한 데에서 동기를 부여받는다. 소프트웨어에서 취약성을 발견하여 해결하는 방식으로 짜여진다면, 사용자는 물론 기업과 써드파티 개발자까지 모두가 이길 것이다. 물론 악성 소프트웨어 저작자들 빼고.

What do you think? I really like to hear from readers. Comment in the Forum or email me with your ideas.

Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Submit to Reddit or Slashdot, or consider making a small donation supporting this site. Thanks!

Thom Holwerda of OSNews Calls “Mac Shot First” Misinformation and Slander. Oops!

2008-04-15, 09:56 AM	#6
casaubon Moderator Registered: Sep 2001 My Mac: MacBook Air Posts: 2,125 오프라인	OSNews의 Holwerda에게 반박한다 Thom Holwerda of OSNews Calls “Mac Shot First” Misinformation and Slander. Oops! March 31st, 2008 \| Journal, Markets, Software, Tech, the Media Daniel Eran Dilger "맥을 먼저 공격한 10가지 이유" 기사에 대응하여, OSNews의 홀워다(Thom Holwerda)가 "CanSecWest: 잘못된 정보에 맞선다"라는 반박글을 올렸다. 그는 필자의 기사가 "잘못된 정보가 걷잡을 수 없이" 퍼뜨린다 하였다. 하지만 그는 필자가 제기한 주안점 중 아무 것도 해명을 하지 못하였으며, 오히려 필자가 제기한 여러 가지 사실을 수정하기보다는, 필자를 더럽히려는 의도마저 무색해져버렸다. 그는 틀렸다. 왜인지 알아보자. CanSecWest: 잘못된 정보에 맞선다 맥을 먼저 공격한 10가지 이유 홀워타가 무엇을 왜곡했는지 알아보기 전에, 블로거와 거대언론의 선정성 보도를 촉발시킨 CanSecWest 이벤트에 대해 OSNews에 그가 어떤 기사를 썼는지를 보자. 그는 심지어 Swiss Federal Institute of Technology의 0-데이 연구보고서도 한데 묶으려 노력했었다. 맥 보안에 대한 공격. 어디까지 진실일까 OSNews가 어째서 필자를 두고 중상모략을 벌였을까? 다음 글은 훨워다가 어떤 실수를 저지르고, 어떤 주장을 잘못했는지를 알아본다. 또한 동의하지 않을 때 어떻게 해야 효율적으로 할 수 있는지 윤곽을 그려주고, 논리 오류로 빠지기가 얼마나 쉬운지도 보여준다. How to Disagree Fallacy - Wikipedia OSNews: Please Issue a Correction. 안녕하세요, 하월다씨. 필자가 RoughlyDrafted의 기사를 씁니다. "CanSecWest: 잘못된 정보에 맞선다"란 글에서 당신은 제가 이번 콘테스트를 잘못 이해하고 있으며, 근거 없이 중상모략했다고 했습니다. 문제는 당신이 필자의 글과 필자에 대해 제대로 되씹지 않았다는 데에 있으며, 제 글의 주안점을 이해하지 않는 듯 보인다는 데에 있습니다. 게다가 실제로 드러내기도 실패하였죠. 1. 맥에서 발견된 침투경로는 CanSecWest와 같은 콘테스트 외에는 거의 가치가 없다. 여기서의 주안점은 콘테스트 외에는 다른 플랫폼에 대한 침입이 가치가 있다는 겁니다. 당신은 맥에 악성 소프트웨어 시장이 없는 이유를 멋대로, 그리고 환타지로 꾸며냈습니다. 그리고서는 또 침입로를 수정해야한다고 주장합니다. 그것 또한 사실을 놓치고 있습니다. 어떤 보안 연구자가 윈도용 침입로를 발견한다면, 그는 이 침입로를 악성 소프트웨어 업자에게 팔겠습니까, 아니면 1년에 한 번 열리는 콘테스트에서 다른 경쟁자에게 질 것을 감수하고 1만 달러를 벌려 하겠습니까? 자, 밀러처럼 맥오에스텐 침입로를 발견했다고 합시다. 이번에야말로 콘테스트 외에는 가치가 없습니다. 바로 이 점만 갖고 글을 쓰셨는데, 주안점과는 거리가 멉니다. 2. CanSecWest 콘테스트는 윈도보다, 다른 플랫폼의 보안 문제에 초점을 두려는 의도가 역력하다. 당신은 제가 음모론자라면서, "마이크로소프트의 "Get the facts"라는 대실패 광고가 마치 전혀 상관이 없다는 듯이 밝히는지 확신 못하겠다."라 했습니다. 하지만 그것이야말로 주안점입니다. 마이크로소프트의 마케팅 술책은 잘못된 정보를 헤드라인에 올려놓는 것에 대한 광고비 지불입니다. 그것도 마이크로소프트가 지원하는 콘테스트에서 말이죠. 연결점을 잘 못찾으시는 모양입니다. 음모론같은 것은 없어요. 이 콘테스트는 자기들이 헤드라인을 어떻게 만들지 알고 있었습니다. 지난 해에도 정확히 똑같은 일을 벌였으니까요. 하지만 그 자체가 콘테스트의 결과를 반박하지요. 윈도 PC는 수많은 악성 소프트웨어로 가득 차 있지만, 맥에는 실질적인 악성 소프트웨어가 전혀 없습니다. 정작 쉽게 논박하기 어려운 일은 따로 있죠. "보안의 초점을 윈도로부터 다른 플랫폼으로 옮기는 일"입니다. 이 콘테스트는 선정적으로 임하여 스스로의 지위를 깎아내렸습니다. 그러면서 언론보도가 내보내는 잘못된 정보에 대해 시정 명령이나 확인도 전혀 안 하고 있어요. CSW의 동기에 대해 주장하실 수는 있지만, 그 때문에 저는 "분명 그러하게 보인다"고 썼습니다. 정말 그랬으니까요! [업데이트: CanSecWest 콘테스트를 만든 관계자들의 동기를 두 가지 방식으로 설명할 수는 있다. 언론이 할 수 없는 단순한 마케팅 메시지를 마이크로소프트가 최대화시켰다는 것이다. 마이크로소프트 보안 그룹부장인 제프 존스(Jeff Jones)는 맥오에스텐 크랙에 대해 이런 블로그를 올렸다. "'저 컴퓨터를 해킹하라'식의 콘테스트는 별로 신경쓰지 않는다. 해킹을 당하지 않는다고 해서, 깰 수 없는 것도 아니다. 또한 해킹을 당했다고 해도, 그 또한 이미 알고있는 사실이 드러난 것 뿐이다. 어떠한 머신도, 조건만 잘 갖춰진다면 깰 수 있다. 그러니 PWN 2 OWN 결과를 너무 깊게 들여다보시지 발기를. 나도 안 그런다." 이 블로그 제목은 "보안은 단순하지 않다. 그러니 쓸데 없는 점을 맞추려고 단순화시키면 안된다"로 되어 있다. 그런데 그는 이런 말도 덧붙였다. "일단 말했으니 말인데, 맥오에스텐 광고는 좀 너무하지 않나. 수 백만 달러를 들여서 윈도 비스타의 보안 개선을 공개적으로 비웃는 광고라서이다. 그런 맥오에스텐이 이런 시기에 CanSecWest 콘테스트에서 첫 번째로 뚫렸다니, 좀 아이러닉하다." 그런데 언론은 그의 블로그 마지막 줄만을 보도하였다. 게다가 존스의 애플 광고 '겟 어 맥'이 '너무하지 않나'라는 코멘트는 별 근거도 없는 말이었다. 윈도 팬들이야 이런 말을 들으면 열 받을 만하다. 하지만 그들은 반박을 안한다. 애플이 "수 백만 달러를 들여서 공개적으로 윈도 비스타의 보안 개선을 비웃는다"고 말하는 것도, 실제로는 정확하지 않고, 공정하지도 않다. Jeff Jones Security Blog : Mac OS X Security - Reality Check #2] 3. 콘테스트는 일단 맥북 에어라는 브랜드 이름에 관심을 집중시켰다. 다른 노트북 모델 넘버 찾느라 수고하셨습니다. 하지만 이 콘테스트를 다룬 그 어떤 언론 기사나 헤드라인도 그런 정보를 담지 않았습니다. 제가 제기한 의문은 콘테스트 자체에 대한 공격이 아니었습니다. "기억해야 할 10가지 것들"이었습니다. 달리 말해서, 거대 기술 언론이 제시하는 선정적인 기사에 대한 글이었습니다. 4. 맥 침입은 찰리 밀러가 들어올 때 이미 해 두었던 무언가였다. 다시 말씀드리건데, 당신은 주안점을 이해하지 못한 채 말을 하고 있습니다. 밀러가 준비를 전혀 하지 말아야했다는 주장이 아닙니다. 맥은 스위스 치즈처럼 구멍이 많이 뚫려 있지 않아요. 기사처럼 2분만에 크랙할 수 없습니다. "잘못된 정보"를 고친다기보다는 개인적인 공격을 하고 있다 여기시겠죠. 당신은 제가 제기한 의문을 직접적으로 이해하지 못하고 있습니다. [업데이트: 필자가 모순적인 개념을 만들었다고 생각하는 분들이 계신데, 그렇지 않다. 독자, Don Bach가 한 링크를 보내왔다. 이 링크는 밀러의 인터뷰 기사였다. 그 기사에서 밀러는 콘테스트에서 자신이 사용한 맥오에스텐 침입로에 대해 이렇게 말했다. "3주일 전에 앉아서, 링 안으로 모자 던지기를 하고 싶어했습니다. 며칠 지나고나자 뭔가 보이더군요. 나무지는 그 침입로를 찾아내서 테스트했습니다. 그게 다 합쳐서 1주일 쯤 걸렸을 겁니다." 밀러는 일단, 애플이 업데이트시키지 않은 FOSS 코드를 통해 침입로를 발견하는 일이 얼마나 쉬울지를 드러내고자 하는 말을 하였다. 하지만 그와 동시에, 밀러는 이미 그 방법을 알고나서, 맥을 목표로 한 침입로를 발견하기 위해, 수 많은 동료들 이상으로 정치적인 동기를 갖고 있었다. 기사의 나머지 부분은 위, 존스의 코멘트로 채워져 있었지, 별 다른 내용이 없었다. Softpedia는 부끄러운 줄 알라. Microsoft Finds Irony in Mac OS X Getting Hacked Before Vista SP1 - Courtesy of Jeff Jones, Strategy Director in the Microsoft Security Technology Unit - Softpedia ] 5. 비스타 머신 크랙을 한 연구자는, SP1 설치가 되었는지를 기대하지 못했다. IDG, 로버트 맥밀란(Robert McMillan)의 기사에 따르면, 그 사실을 몰라서 그는 허둥댔다. 이 기사에 주안점은 여러 가지가 있겠으나, 주된 것은 이 콘테스트가 제멋대로 열렸으며, 그 때문에 올해는 지난해 비스타 사용자들의 보안을 반영하지 않았으며, 이 이벤트 전날의 리눅스 사용자들도 반영하지 못했다는 겁니다. 저 스스로도 지난해 애플이 콘테스트 직전에 패치를 제공했다는 점을 지적했습니다. SP1을 제거해야 옳다는 말이 아닙니다. 이 콘테스트는 실제 세상의 보안과는 별 관계가 없다는 말입니다. 어느 플랫폼이건 간에, 과거나 현재, 미래에 누구나 기대할 수 있는 보안을 반영한 콘테스트가 아닙니다. 하지만 언론은 마치 그런양 그리고 있습니다. 잘못된 정보라 할 만한 과도한 단순화이죠. 윈도용 악성 소프트웨어와 바이러스가 창궐한다는 점만은 사실입니다. 윈도 사용자들이 맞이하는 손실이죠. 이 때문에 불편하게도 안티바이러스 소프트웨어를 꼭 돌려야 합니다. (그 스스로가 취약성에 노출되어 있죠.) 오픈소스에 대해, 정치적으로 목표를 정해 왜곡된 선정보도보다도 그것이 엄연한 사실이죠. 대부분의 윈도 사용자들이 쓰지 않는(사실 사용자 대다수는 비스타도 쓰지 않으며, 비스타 사용자들은 SP1 설치를 말라는 권유까지 받고 있습니다) 비스타 버전을 갖고 하다뇨. 6. 밀러는 사파리에 관련이 있는 무언가를 해킹했다 보도하였지만, 그 구체적인 방법은 공개가 안 되었다. 글을 쓸 당시 공격 방법이 완전히 알려져 있지 않았습니다. 주안점은 뭐가 뭔지 분명하지 않았다는 데에 있죠. 이것은 CSW나 밀러에 대한 공격이 아닙니다. "맥 보안에 대한 공격, 어디까지 진실일까"의 10가지 중 하나였죠. 이 10가지를 모조리 하나씩 공격하고 싶으셨을 겁니다. 주안점이 뭐간 상관 없이 말이죠. 즉, 사실을 확인하는 데에 흥미가 있는 것이 아니라, 저를 공격하는 데에 흥미를 가졌다는 의미입니다. 전 사실을 말했습니다. 애플이 어째서 선하고 마이크로소프트가 어째서 악한지, 밀러나 CSW가 얼마나 악당인지를 말하지 않아요. 언론 보도가 어떻게 잘못 되었는지를 말할 뿐이었습니다. 10가지 제가 든 항목은 콘테스트나 밀러, 마이크로소프트, 혹은 당신이 마음대로 상상한 목표를 직접 겨냥한 불만토로가 아니었습니다. 다시 말씀드리건데, 10가지 하나 하나 건드리셨지만, 하나같이 주안점을 놓치고 있습니다. 당신이야말로 사실보다는 그저 욕보이기에 더 집중한다는 점을 드러내죠. 7. "리눅스를 크랙할 수 있는 참가자들은 콘테스트를 이기기 위해 필요한 침입 코드 개발을 하고싶어하지 않았다." 제가 "맥 침입로가 안쓰이는 이유는 맥 사용자 기반이 너무나 적어서라 해놓고서, 맥의 가정용 운영체제 기반은 현금 받고 팔기에 더욱 더 적어서이리라고 주장한다."고 쓰셨습니다. 잘못 인용하셨죠. 맥 사용자 기반이 너무나 적다는 것은 당신의 발명품입니다. 맥용 악성 소프트웨어 시장이 존재하지 않는 이유는 그것이 아닙니다. 나중에 밝히겠지만, 저는 리눅스에서도 발견할 수 있는 수 많은 침입로가 윈도나 맥을 향해서도 쓸 수 있다고 썼습니다. 세 번째 날, 비스타를 침입할 때 사용한 Flash가 그 예이지요. 유분투를 향해서도 동일하게 사용할 수 있는 것으로 보입니다. 자, 당신은 제가 IDG 기사를 잘못 인용했다고 쓰셨죠. 당신이 틀렸습니다. 인용을 잘못 한 사람은 당신입니다. 그러면서 당신은 IDG가 제가 말하는 식의 동기를 거론하지 않았다면서, 리눅스의 취약성이 안쓰인다는 합리적인 의심 이상을 증명하는 경험적인 연구보고서가 없다 주장하셨습니다. 웃기는 말입니다. 전혀 앞뒤가 안맞기도 하고요. 리눅스를 공격하기 위해 정치적인 동기를 갖고 광고하는 사람은 없다고 스스로 말씀하셨습니다. 분명히 그런 사람들은 없습니다. 달리 말해서, 밀러는 분명 맥 보안을 침입해 보겠다는 정치적인 의도를 분명히 표현했습니다. 물론 그가 애플을 불안하게 만들기 위해, 상대적으로 마이크로소프트를 더 나아 보이게 하기 위해 그랬다고 믿으시건 믿지 않으시건 말입니다. 물론 밀러가 맥을 사랑해서, 애플이 개선하도록 하기 위해서였을지도 모르겠습니다. 8. 침입점이나 취약성은 "맥과 윈도, 리눅스" 고유의 침입지점이나 취약성이 아니다. 오히려 크로스 플랫폼적인 위협이다. "이 이유는 상당히 합리적이다. 하지만 사실의 맥락과는 완전히 동떨어진다." 틀렸습니다. 리눅스에 대한 잠재적인 공격은 윈도에 대해서도 쓰일 수 있습니다. 세 번째 날 이뤄진 Flash 공격은 다른 플랫폼에서도 가능한 일이죠. 물론 그 때는 비스타였지 리눅스가 아니었습니다. 주안점은 이렇습니다. 연구자들은 원하는 머신을 자유로이 공격할 수 있었으며, 크로스 플랫폼 공격도 선택에 따라 이뤄졌습니다. 각 플랫폼을 동등하게 테스트하는 상황은 아니었습니다. 이것이야말로 전체 기사의 핵심입니다. 시작할 때부터 말했죠. "그런데 CanSecWest 콘테스트는 세 시스템의 결함을 드러내기 위한 레벨 콘테스트가 아니라, 각자 선택한 플랫폼을 목표로, 연구자들의 지식과 능력에 보다 초점을 맞춘 콘테스트였을 따름이다." WebKit까지 말씀하시는 등, 궤를 벗어나셨던데, 이것은 제가 제기한 주장과 전혀 관계가 없습니다. 어린이와 과자 또한 완전히 다르죠. 제가 제기하는 정보를 "반박"하실 요량이라면, 제 코멘트와 관련이 없는 스스로의 실수부터 수정하셔야 합니다. 이대로는 당신이 주장을 이해하지 못한다는 것만 드러낼 따름입니다. 9. 밀러는 애플 플랫폼 보안을 깎아내리기 위해 평생을 노력해왔다고 자타가 계속 주장해왔다. 현재 그러한 노력과 시도가 돈이 될 만한 시장은 CanSecWest 뿐이다. 다시 말씀드리건데, 당신은 주안점을 모른 채, 관련 없는 주제에 대해 글을 쓰셨습니다. 밀러는 해킹할 준비가 되어 있었으며, 콘테스트 이전에 마이크로소프트나 유분투를 준비할 높은 수준의 해커는 없었다는 점을 반박하지 않았습니다. 오히려 리눅스 사용자들도 돈벌기만은 관심이 있으리라 말씀하셨죠. 그러면서 퍼블릭 데이터베이스의 오류만 기여했다고 합니다. 당신의 생각에 문제가 있습니다. 언론은 그래도 모질라의 버그질라 목록에 있는 버그 발표문갖고 선정적인 기사를 쓰지는 않아요. 또한 리눅스 상의 어떤 침입로도 윈도용 악성 소프트웨어로 팔릴 수 있다는 개념에 대해 반박하지 않았습니다. 합리적이라면서요. 둘째로 Flash 침입이 어째서 세 번째 날, 5000 달러 상금으로 이뤄졌는지를 스스로 물으셨습니다. 이 콘테스트에 대해 잘 아셨다면, 써드 파티 공격은 세 번째 날에만 허용됐다는 점을 알 수 있어요. 그런 발언은 당신의 비판력을 의심하게 만듭니다. 10. 애플이 오픈소스를 사용하기에, 밀러와 같은 연구자들이 침입로를 발견하기 더 쉬워졌다. 코멘트에서 사실이 아니라 말씀하셨죠. 그래놓고서는 사실이라 바꿔 말씀하셨습니다. 제가 제시한 이유로 보면 거의 확실합니다. 맥오에스텐의 FOSS-관련 코드에 있는 침입로가 이 때문에 만들어진다는 말이 아닙니다. 그러한 침입이 애플 바깥에서 이미 수정되기도 하고, 배포도 가능하다는 얘기였습니다. 실제로 애플 또한 밀러가 공격한 PCREL 오류에 대한 패치를 바로 공격을 벌인 그 날 내부적으로 출시한 듯 합니다. 전 애플이 오픈소스를 통해 강해지먼 더 강해지지 약해지지 않는다는 점을 지적했습니다. 물론 입수한 코드를 업데이트시키지 않고 오류를 방치해 놓는다며녀 저 역시 애플을 비난할 겁니다. 또한 이 글과 전 글에서도 애플의 업데이트에 대한 비판을 지적해 놓았으며, 애플이 어째서 연기시키는가도 설명해 보았습니다. 당신의 결론에 따르면, "잘못된 정보가 걷잡을 수 없이 퍼진다"고 하였습니다. 심지어 도를 넘어선다는 말씀까지 하시더군요. 하지만 잘못된 정보가 뭔지, 무엇이 도를 넘어서는지는 밝히지 않으셨습니다. 또한 중상(slander)은 말로 하는 공격이며, 당신이 쓴 단어가 중상입니다. 별다른 근거 없이 심가가한 공격을 했으니까요. 그 정도 답신은 OSNews의 명성을 떨어뜨리고, 제가 제기한 주안점을, 그리고 제가 왜 그러한 주장을 하는지 이해못한 당신의 글을 통해 저와 제 사이트를 모욕하는 짓입니다. 제가 "잘못된 정보"를 퍼뜨린다고만 계속 주장하신 당신의 글 자체가 스스로를 모욕하는 것입니다. 글을 철회하여 독자들에게 사과하세요. Dan Daniel Eran Dilger RoughlyDrafted Magazine Daniel Eran Dilger in San Francisco — RoughlyDrafted Magazine 맥 보안에 대한 공격. 어디까지 진실일까 맥을 먼저 공격한 10가지 이유 What CanSecWest Means for Platform Security. 필자의 비판과 글 대다수는 단순하기 짝이 없는 CanSecWest에 대한 거대 언론의 잘못된 기사와, 더 잘 알아야 할 블로거들용이었다. 이 콘테스트는 다소 선정적으로 설정이 되었지만, 오류를 발견했고, 이를 회사에 보내서 관련 소프트웨어(두 번째 날), 그리고 써드파티 툴(세 번째 날), 플랫폼 개선을 시키도록 하였다. 이런 관점에서 이 콘테스트는 악성 소프트웨어 시장에 대한 대안적인 식견을 제공한다. 현재 이 시장은 주로 오류를 발견한 데에서 동기를 부여받는다. 소프트웨어에서 취약성을 발견하여 해결하는 방식으로 짜여진다면, 사용자는 물론 기업과 써드파티 개발자까지 모두가 이길 것이다. 물론 악성 소프트웨어 저작자들 빼고. What do you think? I really like to hear from readers. Comment in the Forum or email me with your ideas. Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Submit to Reddit or Slashdot, or consider making a small donation supporting this site. Thanks! Thom Holwerda of OSNews Calls “Mac Shot First” Misinformation and Slander. Oops! __________________ FAQ