InfoWorld Publishes False Report on Mac Security

choooir · 2006-11-24, 06:36 PM

인용:

parting 님이 쓰신 글

유닉스쪽이 바이러스가 없다는 건 글쎄요;;;유닉스/리눅스야 말로 갖은 해킹과 백도어의 온상입니다;;
바이러스쪽보다는..^^;
해커스랩 보안컨설턴트로 일하던 선배가..MacOS X의 탄생을 보면서 한마디 했떤 기억이 납니다.
유닉스 커널이야? 그럼 이제는 더이상 보안에 안전하지 않겠군;;;딱 한마디 ^^

위에 말씀 드렸다시피 바이러스와 해킹은 완전히 다른 것입니다.
유닉스는 기본적으로 바이러스가 퍼지기 어려운 구조를 가진 오에스입니다.
해킹이 불가능한 오에스는 없다고 보시면 되겠습니다.
그리고 그 선배분께서 어떤 의미로 말씀하셨는지 모르겠지만, 유닉스가 상대적으로 해킹에 더 취약하다는 의미로 말씀하시진 않았을 겁니다.
설마 그 분이 윈도우즈에 얼마나 많은 보안 구멍이 있는지 모르시지도 않을테고 말이죠...

casaubon · 2007-04-21, 09:30 AM

InfoWorld Publishes False Report on Mac Security

Saturday, April 21, 2007

인포월드에 기고하는 낸시 고링(Nancy Gohring)이 어제, 맥 보안에 대한 잘못된 보고서를 썼다. 이 보고서는 원래 캐나다 밴쿠버에서 열린 CanSecWest 컨퍼런스 기사였다.

그녀가 인포월드 헤드라인을 직접 쓴 것 같아보이지는 않는다. 헤드라인은 이렇게 되어 있다. "콘테스트의 일부로서 맥을 원격으로 깨뜨리는 것으로 오에스텐의 보안 오류를 밝혀내는 자"가 콘테스트 승리자라고 쓰여 있는데, 틀리다. 맞지 않다.

헤드라인을 누가 썼든지 간에, 이 헤드라인이 4월 20일 이벤트를 다룬 것이 맞다면, 고링의 기사가 원격이 아닌 로컬이었음을 분명히 지적하겠다. 윈도를 악명높게 만든 원격 침범과, 애플리케이션으로서 로컬 침범은 엄연히 다르다.

고링은 "무선 접속 포인트를 통해 두 대의 맥에 접근하기를 실시하였으며, 맥에는 돌아가는 프로그램이 없었다. 하지만 누구도 성공하지 못하여서, 주최측이 이메일을 통한 URL로서 브라우저를 통해 접속하는 행위를 허용시켰다."라고 썼다.

사파리 상에서 보안오류가 있는 이메일 URL을 열면 애플에게 문제를 자동보고하도록 되어 있다. 즉, 원격 침입은 없었다. 선정적 저널리즘이다. 더군다나 컴퓨팅에 권위가 나름 있다는 인포월드의 IDG가 이 정도다.

Gohring's Mac Security Myths.
원격 침범 문제는 논외로 치더라도, 사용자가 로컬 상에서 하는 행위와 외부에서 하는 행위는 잘 구분해 주어야 한다. 고링의 기사는 맥 보안에 대한 여러가지 미신에 대해 다루고 있다.

고링은 동 보안 컨퍼런스의 주최자인 드라고스 류이유(Dragos Ruiu)의 말을 인용한다. "너무나 보안이 좋다면서 오에스텐을 돌리는 이를 굉장히 많이들 보게 되죠. 하지만 솔직히 말씀드리건데, 보안에 훨씬 더 신경을 많이 쓰는 곳은 애플보다 마이크로소프트입니다."

물론 마이크로소프트가 응당 그래야 할 이유가 있다. 워낙에 윈도 플랫폼이 보안의 악명세를 떨치기 때문이다. 마이크로소프트는 윈도 보안 위기에 대해 완전히 눈막음을 취할 뿐이고, 심해지고 나서야 겨우 보안 문제에 대한 대처를 시작하였다.

Microsoft’s Security Embarrassment.
원래 윈도 디자인은 고립된 사무실 환경용 디자인이었다. 고립된 사무실이라면 보안 문제가 일어날 리 없다. 하지만 맥오에스텐은 유닉스 기반이며, 유닉스는 인터넷 개발과 함께 까다로운 보안 규격에 맞춰가며 자라났다. 유닉스의 보안은 수십년 동안 전문가들이 연구해온 성과라 볼 수 있다.

몇 년 전까지만 해도, 마이크로소프트는 로컬 네트워크 브로드캐스트 트래픽용으로 쓰기 위해 여러가지 포트를 열어둔 채로 윈도를 판매해왔다. 컴퓨터를 LAN 매니저 네트워크상에서 테스트용으로 쓸 요량이라면야 그것도 괜찮다. 마이크로소프트의 비보안, 폐쇄형 SMB 프로토콜을 통한 파일 교환도 괜찮다. 그러나 이를 인터넷에 노출시키면, 스팸이 밀어닥치는 데에 몇 분 안 걸린다.

IE 브라우저에서 아웃룩 메일에 이르기까지, 마이크로소프트 애플리케이션은 악성 소프트웨어를 받아들이고 뿌리는 데에 특화된 것인양 비쳐진다. 게다가 윈도 시스템 자체의 보안 역시 해를 거듭할수록 더 악화되어갔다.

세계에 퍼져있는 스팸의 절대다수는 보트로 작동하는 윈도 PC가 배포한다. Consumer Reports의 보도에 따르면, 윈도의 안타이바이러스/악성소프트웨어/스파이웨어 치료는 90억 달러 어치의 문제다.

Mac OS X and Security.
그에 반해, 맥오에스텐에는 실질적인 바이러스가 현재 전혀 없다. 전염이 불가능하다는 얘기는 아니다. 또한 애플은 마이크로소프트의 ActiveX처럼 네이티브로 프로그램을 돌리는 웹브라우저를 선보이지도 않았고, 자동적으로 첨부파일을 실행시키는 이메일 프로그램을 만들지도 않았다. 운영체제 자체도 여러가지 포트를 닫은 상태로 출하하였다.

2003년 전까지 마이크로소프트는 보안 문제에 대해 거의 무시로 일관해왔었다. 소위 보안 전문가라는 류이유가 주장하는 로컬 접속을 통한 사파리의 취약성과, 지난 10년 동안 마이크로소프트가 보여온 무능과 무시를 비교해 보시라.

보안 문제에 대해 마이크로소프트가 더 신경을 쓴다는 발언도 보면 참 괴상하다. 맥오에스텐이 보안 문제에 대해 무적이라며 짜증나게 주장할뿐만 아니라, 드보락에게 분노의 편지를 열심히 보내는 Artie McStrawman도 마찬가지다.

The Mac Minority Malware Myth
고링은 맥 보안의 미신을 이렇게 설명한다. "그동안 해커들과 악성 코드가 맥을 목표로 삼지 않은 이유는, 역사적으로 작성자들이 윈도 머신만을 목표로 삼았기 때문이다. 하지만 실제로 쓰이는 맥이 그만큼 더 적어서인 부분도 있다. 즉, 널리 쓰이는 PC에 비해 악성 코드의 잠재적인 충격도 그 만큼 약하다."

맥이 전세계에서 팔려 나가는 PC의 2%에 불과하다는 점만은 사실이다. 맥이 보통 널리 퍼지기보다는, 진하게 퍼진다는 점 또한 맞다. 더구나 맥은 전세계적으로 배포되는 컴퓨터도 아니다.

가령, 맥으로 가득찬 학교는 많다. 더군다나 학교는 보안 결함을 활용하기에 아주 좋은 장소다. 학교에서 먼저 맥의 결함을 발견해 볼 만하다. 그러나 그런 일은 없었다. 맥 바이러스도 나타나지 않았다. 실질적인 맥 바이러스는 존재하지 않는다.

가정과 교육시장, 전문 사용자 시장에 있어서의 애플 시장점유율은 기존 기반에서 상당부분을 차지한다. 역시 목표로 삼기에 훌륭한 가정용으로서도 많다. 그래도 악성 소프트웨어나 침범은 일반적으로 일어나지 않았고, 바이러스 역시 안 생겨났다.

애플의 온라인스토어를 보자. 특히 아이튠스 스토어를 볼 때, 이곳은 맥오에스텐 서버와 엑스서브, 웹오브젝트를 돌리는 곳이다. 이제까지 보안 결함 문제가 나온 적이 있는가? 물론 그런 적이 없다! 아이튠스 스토어를 공격목표로 삼은 적은 꽤 있다. 그 때문에 애플도 아이튠스 보수(補修)를 정기적으로 행한다.

어째서 맥은 해킹의 표적이 아닐까? 맥이 많이 없어서라는 이유는 비웃음을 받을 만하다.

수 천만 대의 PC가 스스로 악성 코드를 뿌리는 이유는 PC가 많이 퍼져서가 아니다. 윈도 보안이 그 만큼 안 좋아서이다. 그 때문에 PC는 손쉬운 목표가 되어왔다. 단순히 새로운 컴퓨터를 한 대 인터넷에 연결만 시켜 놓아도, 한 시간 이내에 감염이 재빠르게 일어난다.

BSD와 리눅스를 돌리는 가정용 라우터와 OS/2를 돌리는 PBX 수 천만 대 역시 전혀 바이러스가 없다. 즉, 컴퓨터의 물량이 문제가 아니다. 얼마나 침입이 쉬운가에 따르는 품질이 문제다.

이 주제에 대해 혼란스러워 하는 보안 전문가라면, 스스로 알아보는 편이 나을 것이다. IDG의 인포월드 자신이야말로 쓰레기 정보를 뿌리고 다니니, 인포월드는 아무래도 이름을 추측월드로 바꿔야 할 성 싶다.

예전의 범선이 해적에게 유명했던 이유는 범선이 많아서가 아니었다. 범선이 가치가 높아서였다. 마찬가지다. 원격으로 쉽사리 맥이 침범해 들어갈 수 있다면, 교육기관처럼 맥이 넘치는 환경에서도 쉽사리 해커들이 맥을 조절할 수 있을 것이다. 아이튠스 스토어 서버도 아주 좋은, 그리고 쉬운 목표감이 될 법 하다.

Why Macs Aren’t Sending You Spam
맥이 마술처럼 보안 문제에 결백하지는 않다. 바이러스가 없는, 악성 소프트웨어가 거의 없는 이유는 다음의 이유들이 한 데 어우러져서다.

애플은 제품 디자인에 있어서 보안 문제에 책임을 진다. 지난 10년간 마이크로소프트는 보안 문제에 심각하게 대처해오지 않았다.
문제점이 생기면, 애플은 즉각 문제 해결에 나선다. 그 다음에는 간단하고 자동화된 소프트웨어 업데이트 시스템을 통하여, 사용자들이 시스템을 항상 최신 상태로 유지하게 도와준다. 그러나 마이크로소프트의 업데이트 시스템은 문제도 많고, 짜증나게 하며, 오히려 Windows Genuine Advantage라는 DRM 시스템을 트로이의 목마식으로 집어 넣으려 한다.
맥오에스텐의 핵심 소프트웨어는 오픈소스 커뮤니티의 보안 검증을 거친다. 반면 윈도의 핵심 코드는 폐쇄적이고 닫혀 있으며, 보안 문제를 감추고 있다. 불행히도, 이런 방식은 보안 전문가들의 연구마저 가로막고 있다. 그러면서도 시스템을 공격하는 악성 소프트웨어를 멈추지 못하는 형편이다.
애플은 잠재적으로 침입 경로가 될 수 있는 것의 소스를 공개하였다. 그 예로 네트워크 발견 코드인 Bonjour가 있다. 이로써 보안 연구자들이 오류를 찾을 수 있게 되었다.
맥 사용자들 스스로가 좋은 소프트웨어를 권장하는 공동체를 구성한다. 윈도 세계에서 소프트웨어는, 사용자가 무엇을 설치하는지 잘 모르는 상태에서, 자기가 고르지도 않은 소프트웨어를 사용하도록 되어 있다.

루이유의 맥 침입 콘테스트가 드러낸 진짜 미신은 따로 있다. 엘리트 해커들이 명성을 좇아 시스템을 공격한다는 미신이다.

Security Focus가 지적하듯, 단순하게 명예를 얻을 수 있다거나, 노트북을 상품으로 받을 수 있어서라는 이유는 미신일 따름이다. 루이유는 상금을 만 달러로 올리고, 문턱을 낮춘 후에서야 원격도 아닌, 로컬로 URL을 보냈다. 그렇게 한 뒤에야 수상자가 나왔다.

보안 전문가들의 말을 듣기 바란다. 해커들은 명예를 좇지 않는다. 돈 때문에 보안 시스템을 침범할 뿐이다. 다른 사업세계와 마찬가지로, 우선은 과실이 어느 정도나 익었느냐가 먼저다. 컴퓨팅 세계에 있어서, 윈도 PC를 주로 침범하는 이유는 윈도 PC가 널리 퍼져서가 아니다. 침입이 쉽고, 그럴 만한 가치(스팸 발송 통로)가 있기 때문이다.

Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast!

Did I miss any details?

http://www.roughlydrafted.com/RD/RDM...19B6FF352.html

firemanx · 2007-04-22, 05:13 AM

보통 이것을 시스템이나 프레임이라고 표현들을 하긴 하는데요. OSX의 하드웨어적, 소프트웨어적, 그리고 그것을 통합해 나가는 운영체제 전반에 대한 관리와 매니지먼트(온라인 업데이트나 기업방침, 기타 유기적인 사업전반)등이 한꺼번에 잘 맞물려 돌아가기 때문이라는 결론을 내리고 싶습니다.

어떠한 결과가 나타나는 것이, 단일하거나 혹은 제한적인 원인 때문에 일어나기도 하지만, 매우 복잡한 원인에 의해서도 발생하는 시스템일 수도 있잖습니까?

저는 별로 어렵거나 복잡한 추론이 필요없이 깔끔하게 전체적으로 맞물려 돌아가는 운영체제와 하드웨어 전반의 심리스(seamless)한 구조 때문일 것이라는 추측을 합니다.

casaubon · 2007-04-24, 06:59 PM

Readers Write: IDG’s False Report on Mac Security

Monday, April 23, 2007

먼저 CanSecWest의 맥 깨기, “PWN to Own” 콘테스트가 열렸다. 그리고 이를 보도한 IDG의 InfoWorld는 사실을 다루지 않았다. 또한 여러 사이트들이 이 기사를 인용하면서 미신을 부추겼다. 실제로 무슨 일이 일어났는지는 전혀 지적하지 않은 채로 말이다.

심지어 CanSecWest 측도 이 주제에 대해서는 조용하다.

실제로 어떤 조건을 양보했는지, 그로 인해 어떤 결과가 나왔는지? InfoWorld나 Computerworld 외 다른 IDG 잡지들의 독자들이 낸시 고링(Nancy Gohring)의 잘못된, 그리고 미완성된 기사도 모르는 사실을 지적하였다.

Speaking From The Ars.
Ars Technica의 찰스 제이드(Charles Jade)는 다른 새로운 사실 추가 없이 IDG의 보도문만을 인용하였다. 제이드는 심지어 이런 대회에 내걸린 만 달러의 상금이 맥 보안의 조류를 뒤바꾸리라고까지 주장하였다. 윈도 스타일의 보안 문제를 해결할 인센티브가 마련됐다는 뜻이었다.

침입에 성공한 공로로 상금을 내렸다. 그리고는 보안 문제에 더 신경쓰라고 애플에게 알린다? 그렇게 되면 침범할 가능성, 즉, 그 시장 자체가 축소되어버린다. 어떻게 그런 콘테스트가 존재할까? 당연히 정 반대다.

소프트웨어 버그를 찾기 위해 프리랜서를 고용하는 개발사가 있다고 해 보자. 버그를 발견하여 치료방법까지 알려야 상금을 내릴 만 하다. 그렇다면 그 소프트웨어에는 버그가 더 많을까?

Who’s Exploit Was It Anyway?
CanSecWest는 세부사항 대부분을 비밀에 부치고 있다. 콘라트 퀼티-하퍼(Conrad Quilty-Harper)의 Endgadget 기사에 따르면, 정보가 없는 추측이라는 사실을 소개하지 않은 채로 간결하게 나온 부분만을 다뤘다.

이 기사가 맥을 크랙시키는 데에 9시간이 걸렸다는 정보도 담고 있기는 하지만, 그 전에, 하루 내내, 24시간에 걸친 노력이 무위로 돌아갔다는 지적은 하지 않고 있다. 바로 그 점때문에 CanSectWest 측은 보안 기준을 스스로 낮추었다.

맥오에스텐을 원격으로 해킹해들어가는 대신, 콘테스트 참여자들은 각자 웹브라우저에 로컬 유저로 들어가서 URL로 링크를 보낼 수 있었다.

밀실을 여는 대회가 열린다고 해 보자. 여는 데에 계속 실패하자, 전화선이 주어진다. 이 전화는 내부에 있는 이와 연결되어 있으며, 전화로 문을 열 수 있는지 알아보고, 문을 열게 된다. 기준을 낮춘 정도가 아니다. 침입이 아니라 아예 협력이다.

What Did They Crack?
위 Engadget 기사에 댓글을 단 "YankInOz"라는 독자가 있다. 그는 이 '해킹'이 더 이상 쓰이지 않는, 오래된 자바 루틴이었다고 한다. 또한 이런 침입은 파이어폭스나 카미노, 사파리에서 쉽게 찾을 수 있다고도 덧붙였다.

Slashdot의 한 익명의 독자는 이 침입이 자바스크립트 루틴이라고도 하였다. 썬의 자바와 넷스케이프의 자바스크립트는 이름 말고는 공통된 부분이 거의 없다. 그러나 둘 다 써드파티 브라우저 플러그인으로 존재하며, 사파리에 특화된 기능은 아니다. 자바이건, 자바스크립트이건, "맥에 특화된 침입"은 아닌 셈이다.

Third Party Issues.
수많은 '보안 전문가'들이 이해하지 못해 보이는 사실도 한 가지 있다. 소프트웨어 설치가 보안 수준을 바꾼다는 것이다. 맥은 업데이트를 통해 보안을 지키는데, 소프트웨어 설치, 그리고 새로운 서비스의 개설이 이뤄지면 애플이 통제하지 않는 구멍이 생길 수는 있다.

그런데 바로 그 때문에 마이크로소프트 윈도에 보안 문제가 생겨난다. 몇 년 전에서야 보안 문제에 대처할 수 밖에 없는 상황이 된 것은 물론 마이크로소프트 책임이다. 게다가 마이크로소프트는 자신이 해결할 수 없는 문제까지 해결해야 할 지경에 처하였다.

윈도용 써드 파티 소프트웨어들이 문제다. 이들이 마이크로소프트의 노력을 무색하게 만들기 때문이다. 물론 맥에서도 똑같은 원칙이 적용된다. 파일 공유를 위해 마이크로소프트 윈도용 SMB 프로토콜을 켤 경우, 비보안 네트워크 상에서 윈도 PC와 똑같은 비보안 환경을 맥에도 들여놓게 된다.

부트캠프나 Parallels를 통해 윈도를 설치했다면, 당연히 애플의 범위를 벗어나게 된다. 바이러스에 걸릴 수 있다는 의미다.

심지어 맥 상에서 맥용 마이크로소프트 오피스를 사용하는 경우도, 짜증나는 오피스용 매크로바이러스가 맥으로 들어올 수 있다.

Updating Third Party Problems.
자바나 여러가지 다른 오픈소스 소프트웨어를 맥오에스텐의 일부로 제공하기 때문에, 이 소프트웨어 패치의 책임은 애플에게 있다. 이 때문에 애플은 맥오에스텐에 포함시키는 소프트웨어에 선별을 기한다. 책임을 지기 때문이다.

애플이 정기적으로 선보이는 소프트웨어 보안패치도 외부 프로젝트에서 나오는 경우가 많다. 가장 최근의 2007-004 패치도 GNU tar와 BSD의 lukemftpd FTP 서버, MIT의 Kerberos 수정을 포함하고 있다.

맥에 번들된 모든 소프트웨어의 보안 업데이트는 애플 책임이다. 이 사실 때문에 스스로 리눅스를 꾸리는 것보다 맥오에스텐이 한 층 더 매력적이다. 수 백여 여러가지 다른 프로젝트에서 나오는 코드를 포함해도, 끊임 없이 업데이트와 패치를 애플이 해 주기 때문이다.

스스로의 버전 패키지를 설치한 다음에, 매우 복잡해진 소프트웨어와 보안의 과학을 일일이 책임져야 할 상황을 생각해 보시라. 가정에서 제작한 타이어를 차에 갖다 붙이는 것에 비유할 수 있다. 함몰됐다고 해서 포드사에 대고 타이어를 요구할 수 없다. 스스로 사제 타이어로 위험에 노출시켰기 때문이다.

Lying about Security With “Vulnerability Counts.”
이와 동시에, 주요 언론사들 대부분은 특정 플랫폼에 보도된 취약성이나 침입의 횟수를 갖고 보안과 연결짓는다. 이는 솔직하지 못한 처사다. 칼럼니스트들이야 무식하달 수 있다. 그런데 전문가들도 다수가 거짓말을 하고 있다. 자기들도 그 사실을 알고 있음은 물론이다.

최근 마이크로소프트는 윈도에 스스로 조성한 보안 재앙을 넌지시 맥과 리눅스에게 넘기는 식으로, 최신 유행을 갈아탔다. 리눅스와 맥이 잠재적인 구멍이 너무나 많다. 오픈소스 유닉스 세계에서 보도된 구멍이 워낙 많고, 패치도 많아서이다. 그래서 보안 문제가 더 심각하다는 식이다.

그런데 그것이야말로 보안이 활성화되어있다는 소식이다! 군대가 눈에 보인다고 해서, 안보가 불안하다는 말과 다를 바 없다. 여러가지 전염인자를 두고 투병을 하니, 그 환자의 면역 시스템 자체가 별로이리라는 말과도 같다.

What Did CanSecWest Prove?
CanSecWest는 마이크로소프트가 후원하는 곳이다. 게다가 일부러 맥의 보안을 더럽히려 노력하였다. IDG의 헤드라인까지 올릴 정도이니, 일단은 성공한 셈이다. 그렇다면 이 CanSecWest가 실제로 증명한 것은 무엇인가?

정기적으로 한 사이트에 자동 방문하도록 '사용자'가 프로그래밍한 브라우저의 결함을 이용하였는데, 상당히 처절한 느낌이 든다. 더군다나 이런 인위적인 우회로도 제한적이었다.

이 주제에 대한 거의 모든 보도문은 실제로 어느 정도의 공격까지가 허용되었는지 언급하지 않고 있다. IDG의 기사는 이 공격이 "원격"이 아니었을뿐만 아니라, 공격자가 거의 모든 것을 할 수 있도록 허용되었음을 분명히 주장하고 있다. 물론 사실은 아니다.

Weren’t There Two Macs?
주최측 웹사이트에서 보면, 맥이 두 대 동원되었는데, 각각 규칙은 서로 달랐다. 첫 번째 맥에서 이기기 위해, 크래커는 "기본 사용자의 홈에서 설명에 따라"야 했다. 달리 말해서, 제한적인 로컬 사용자 권리를 가진 채 접근하였다는 의미다.

두 번째 맥을 이기기 위해, 참여자는 "파일시스템 루트의 설명을 따를" 필요가 있었다. (관리자 자격이 필요하다.) 맥 두 대 모두 포기해 버린 셈이다. 이래서야 실질적인 침입이 아니다.

하지만 사용자 권리를 갖고 하루 내내 시도하였지만, 직접 맥을 깨뜨릴 수가 없었다. 그래서 주최측은 조건을 낮춘다. 사용자에게 URL을 콘테스트 관리자에게 보낼 수 있도록 하고, 이 관리자는 그 URL을 서버에 올려 놓아, 맥북프로 두 대를 동원하여 자동적으로 웹 사이트를 방문하여, 등록한 URL을 "클릭"하도록 시켰다.

조디 포스터의 "패닉룸"을 재현한 것과 마찬가지다.

"안녕하세요, 패닉룸 안이죠?! 이제는 나와도 됩니다!"

문이 열린다.

"아 하! 문을 깼군요!"

Getting To The Root of Things.
Dino Dai Zovi의 공격은 자동화된 브라우저 액션을 통한 자바 루틴인 것으로 파악된다. 그래도 그는 사용자 수준의 파일만 접근 가능했다.

사실 이 정도도 패치시킬 필요가 있는 중대한 오류랄 수 있다. 그러나 시스템에 접근하고 싶다하여, 누구나 특정 사용자의 파일에 접근하기 위해 Rube Goldberg 이벤트를 설정할 것 같지는 않다.

진정한 공격자라면 차라리 랩톱 사용자를 습격하거나, 사무실을 직접 침입, 사용자를 납치한 다음, 총을 겨누고 암호를 대라 할 것이다. 물론 이 말 자체도 웃기기는 마찬가지다.

윈도 바이러스와 웜, 스파이웨어 사업에서 쓰이는 침입 방법은 악성 소프트웨어를 관리자로 설치시키는 방식이다. 즉, 보통은 윈도의 레지스트리에 명령문을 숨기고, 악성 코드를 재설치하게 되는데, 이 때에는 사용자와 시스템, 혹은 활성화된 보안 소프트웨어 뒤에서 재설치가 이뤄진다. 그렇게 장악한 컴퓨터를 스팸 발신지로 쓰게 되니, 공격에 시간을 들일 가치는 있다. 게다가 대량으로 설치하려면, 원격 설치를 쉽게 해야 할 필요가 있다. 즉, 루트를 재빠르게 장악해야 한다.

바로 위와 같은 일들이 윈도 PC에서는 늘상 일어난다. 그러나 CanSecWest의 맥은 33시간동안 그런 일이 일어나지 않았다. 맥에 침입하기 위해 대회 규정을 낮춰야 할 정도였다.

"규칙을 검토하기 위해, 첫 번째 박스는 오류를 필요로 하였다. 공격자가 사용자 수준의 권리를 갖고 셸을 얻을 수 있도록 하는 오류다. 두 번째 박스도 같은 권리와 함께, 공격자에게 루트를 제공하였다."

Nancy Gohring, You Are Coming to a Sad Realization. Cancel or Allow?
두 번째 단계는 일어나지도 않았다. 누구도 만 달러의 상금(그리고 노트북)에도 불구하고 맥의 루트 권한을 가질 수 없었다. 윈도 PC에서는 가능한 수 천 개의 알려진 구멍도 소용이 없었다.

윈도에서는 브라우저 링크, 혹은 사용자가 단순히 방문한 것만 갖고도 코드를 심어 소프트웨어를 설치한다. 그러나 맥오에스텐은 설치하려는 소프트웨어에 사용자의 인증을 요구하도록 되어 있다.

윈도는 그런 기능이 없다. 심지어 "새롭고 개선되었다"는 비스타도 인증을 물어보지 않는다. 계속 허용을 클릭하실 것이냐 묻다가, 결국 허용을 클릭하게만든다. 허용하겠냐는 대화상자가 떴을 때, 대부분의 사용자는 허용을 해 버린다. 레지스트리에 기술적인 뭔가를 허용시키는 것이다.

Oops, You Forgot to Include the Critical, Pertinent Facts.
고링은 이 점을 언급하지 않았고, IDG 또한 헤드라인을 수정하지 않았으며, IDG의 모든 웹은 맥도 더 이상 안전하지 않다느 식의 똑같은 기사를 올려댔다.

사실이 될 수 없다.

이들 모두, 루트 침입은 없었으며, 원격 침입도 없었고, 악성 소프트웨어 설치나, 바이러스 설치가 전혀 없었다는 사실을 빠뜨렸다. 그래놓고서 애플보고 플랫폼의 보안에 노력을 더 하라느니 설교를 늘여놓았다.

Open vs Proprietary.
해결책 중 하나는 오픈소스 개발자들의 여러 팀들과의 협동이다. 맥오에스텐 보안 소프트웨어에 필요한 상당부분은 GNU/리눅스, BSD, 그 외 다른 오픈소스 프로젝트들이 공유하고 있다. 아파치나 OpenSSH, GCC를 생각해 보시라.

그러나 마이크로소프트는 알려져 있는 윈도소프트웨어의 결함을 해결하는 패치에만 신경쓴다. 마이크로소프트 외부에서는 누구도 핵심 수준까지 코드를 열람할 수 없다.

XP와 비스타의 NT Kernel은 완전히 폐쇄적이며, 발견되지 않은 구멍으로 가득 차 있다. 또한 유닉스처럼 수 십년 동안 여러 다른 팀들의 검토를 거쳐 나온 것도 아니다.

더해서 윈도 사용자들은 아파치나 OpenSSH, GCC와 같은 프로젝트로부터 전혀 혜택을 누릴 수가 없다. 마이크로소프트가 스스로 폐쇄형 버전을 작성하고 있기 때문이다. 마이크로소프트 IIS 웹서버에서 나오는 모든 것에서부터, RPC와 컴파일러에 이르기까지, 마이크로소프트는 공유나 개방과는 전혀 거리가 멀게 작업해왔다.

Microsoft’s Massive Security Problem.
마이크로소프트의 보안 문제는 무능력한 게으름의 소산이다. 10년도 더 됐다. 하지만 그러한 결함은 지금까지도 영향을 끼치고 있으며, 마이크로소프트가 책임을 져야 한다. 이런 보안도 안 갖춰진 소프트웨어를 매년마다 수 백억 달러씩 판매해왔기 때문이다. 마이크로소프트는 위험이 불거질 때까지 윈도를 방치시키다시피 하였다.

공해 회사 변호사들이 일자리를 얻을 때가 되잖았나 싶을 정도다.

마이크로소프트가 돈을 주고 고용한 보안 전문가들은 마이크로소프트가 개선을 이뤘다고 지적하기에 바쁘다. 물론 개선은 있었다. 마이크로소프트에게 재빠르게 면죄를 해 주었기 때문이다. 하지만 오늘도 여전히 윈도 PC 스팸봇에서 나오는 스팸으로 우리의 메일함은 가득차있다.

게다가 마이크로소프트는 아직도 사용자의 편리함과 보안 간에 어떤 균형을 맞춰야 할지를 이해하지 못한 듯 하다. 모든 보안 문제를 해결했다 주장하는 비스타에서도 마찬가지다. 이는 더 큰 문제다.

Super Users and the Vistapocalypse.
비스타가 어째서 아직도 보안이 허술한지 Object Development Labs의 글렌 마샬(Glenn Marshall)이 설명을 보내왔다.

"맥은 기본적으로 수퍼유저로 돌아가지 않습니다. 즉, 소프트웨어를 루트 암호 없이 설치할 수 없다는 의미죠. 그러나 윈도는 기본적으로 수퍼유저 상태에서 돌아갑니다. 은행이 열려 있는 것이나 마찬가지에요. 오에스텐은 물론 인터넷이 사용하는 다른 오에스도 이렇지는 않아요."

"제가 볼 때, 무엇보다도 이 점때문에 맥은 안전합니다. 왜 이 점을 널리 밝히지 않는지 궁금할 정도더군요. 집단소송 전문 변호사들도 왜 이 점을 밝히려들지 않는지 궁금합니다만, 소송은 또 다른 얘기가 되겠습니다."

"공정하게 말씀드리자면, 악성 소프트웨어는 사용자 파일을 지울 수 있습니다. 당연히 악성이죠. 그런데 주안점은, 일반적으로 악성 소프트웨어는 파일을 지우기보다는 스스로를 설치하여서, 운영체제를 휘젓고 다니기 시작하죠."

"마이크로소프트는 비스타에 이르러서야, 이 점을 생각하기 시작했습니다. 하지만 제가 얘기해 본 비스타를 쓰는 사람들 모두 관리자(수퍼유저)로 비스타를 돌리더군요. '그 상태로 나옵니다' 하면서 말이죠."

"마이크로소프트가 "생각하기" 시작했다는 것 자체가 비스타로서는 '개선'인 셈입니다. 이 때문에 비스타의 히스테리에 가까운 경고 메세지는 악명 높죠. 오에스텐의 암호 요구 방식과는 대조를 이룹니다. (애플 광고에서 나온 대로이다. [Cancel or Allow.])

"소매용 비스타(할머니라도 살 수 있는 비스타를 말합니다)도 관리자 모드로 돌아갈지는 꼭 확신할 수 없습니다만, 암호를 넣어야 했다는 말은 들은 바가 없습니다. 아직도 여전하다는 얘기겠죠. 아직도요."

"은행문은 완전히 열려있는데, 누군가 은행 문 앞에 서서, 당신보도 '은행에 들어가려 하시는군요. 들어가겠습니까?'하고 묻는 것이나 마찬가지입니다. '예'라고 답하면, 당신이 스키-마스크를 썼는지, 혹은 커다란 빈 가방이 있는지 상관 안한 채로 들여보내게 됩니다."

"더 자세한 부분은 뉴욕타임즈의 데이비드 포그가 설명을 해 놓았더군요."

Recruiting Windows PCs for Botnets.
독자, Tristan의 글이다.

"앞서 언급한 모든 이유때문에 맥의 보안이 훨씬 더 뛰어나다는 점만은 완전히 동의합니다. 하지만 그렇다고 해서 맥의 적은 시장점유율이 아무런 관련이 없다고까지는 나아가지 못하겠습니다. 시장점유율이 낮으니 그 만큼 목표가 못 되는 것이죠. 인용하신 고링도 그렇게 말했습니다. 맥을 '목표'로 한 악성 소프트웨어가 적은 이유는, '아마 실제로 쓰는 맥이 더 적어서이리라'고요."

"주안점은 아마도라고 한 부분입니다. 확실하다는 얘기는 아니죠. 저 또한 20여년 가까운 맥의 '파워 유저'였습니다. 윈도와 솔라리스, 리눅스도 일 때문에 주로 사용하고 있죠. (현재는 일하는 도중에 맥북프로의 Paralles로 윈도를 돌리는 중입니다. :-) )"

"작업용 윈도 머신에서는 언제나 악성 소프트웨어나 웜, 바이러스가 넘쳐납니다. 하지만 그 어느 것도 사용자를 목표로 삼은 것은 없습니다. 제 경험상, 그런 코드의 절대 다수는 컴퓨터에 botnet을 설치하거나, 데이터 제거, 혹은 60초마다 재부팅 등을 시킬 뿐입니다."

"저도 최근, 비보호 VNC 서버를 통해 부주의하게 저 자신을 노출시킨 덕에, 제 맥에 대해 공격을 시도한 바 있는데요. 그렇다고 해서 맥오에스텐이 보안이 미진하다는 얘기가 아니죠. (제가 워낙에 노출이 되어 있었고, 그에 따라 일어난 결과이지, 맥과는 상관이 없습니다.) 하지만 공격의 성격 자체를 가지고 시끄럽게들 말하죠. 스크립트나 작성할 줄 아는 초딩들이 수 만 명은 됩니다. 이들이 자기네 컴퓨터를 개조하는 스크립트를 다운로드하거나 작성해서 스스로 botnet을 만들죠."

"그들은 신용카드 내역을 얻으려는 것도 아닙니다. 그저 열려 있는 포트를 찾아 IP 어드레스를 찾아 헤매는 스크립트일 뿐이죠. VNC 서버를 겨냥한 것에게 공격을 받은 적이 있어요. DOS 명령을 하나 내리더니, 한 FTP 서버로부터 웜을 다운로드받은 다음 실행시키더군요. 윈도 명령에 반응하지 않기 때문에 실행이 안 되던 것이 분명했습니다."

"무슨 일이 일어나고 있는지 깨닫기 전에는 몇 주일에 며칠씩 계속 재시도를 하더군요. 반복만 계속 해댑니다. 제 컴퓨터에 VNC 서버가 있어서 뭔가가 접속을 했다는 사실을 사람이 발견하기 전까지는 계속 그댈였어요."

"개별 공격을 하지는 않습니다. 특정 종류의 머신이나 운영체제, 사용자들을 찾아다니죠. 그저 여러 가지 게임을 즐길 뿐입니다. 인터넷 상의 컴퓨터 중 95% 가량이 윈도입니다. 윈도를 겨냥해야 botnet 스크립트를 돌릴 곳이 많아지죠."

"botnet을 대량 살포하려면, 물량이 중요합니다. 여러분이 작성한 스크립트의 목표를 살펴 보기만 해도, 물량이 중요해요. 줄이자면, 맥이 윈도보다 훨씬 보안이 갖춰졌다는 말에 동의합니다. 기사에 나온 이유 덕분이죠. 하지만 맥 시장점유율과 관련이 없다는 의견은 비현실적입니다."

Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast!

Did I miss any details?

Readers Write: IDG’s False Report on Mac Security

2007-04-21, 09:30 AM	#17
casaubon Moderator Registered: Sep 2001 My Mac: MacBook Air Posts: 2,108 오프라인	InfoWorld의 맥 보안 헛발질 InfoWorld Publishes False Report on Mac Security Saturday, April 21, 2007 인포월드에 기고하는 낸시 고링(Nancy Gohring)이 어제, 맥 보안에 대한 잘못된 보고서를 썼다. 이 보고서는 원래 캐나다 밴쿠버에서 열린 CanSecWest 컨퍼런스 기사였다. 그녀가 인포월드 헤드라인을 직접 쓴 것 같아보이지는 않는다. 헤드라인은 이렇게 되어 있다. "콘테스트의 일부로서 맥을 원격으로 깨뜨리는 것으로 오에스텐의 보안 오류를 밝혀내는 자"가 콘테스트 승리자라고 쓰여 있는데, 틀리다. 맞지 않다. 헤드라인을 누가 썼든지 간에, 이 헤드라인이 4월 20일 이벤트를 다룬 것이 맞다면, 고링의 기사가 원격이 아닌 로컬이었음을 분명히 지적하겠다. 윈도를 악명높게 만든 원격 침범과, 애플리케이션으로서 로컬 침범은 엄연히 다르다. 고링은 "무선 접속 포인트를 통해 두 대의 맥에 접근하기를 실시하였으며, 맥에는 돌아가는 프로그램이 없었다. 하지만 누구도 성공하지 못하여서, 주최측이 이메일을 통한 URL로서 브라우저를 통해 접속하는 행위를 허용시켰다."라고 썼다. 사파리 상에서 보안오류가 있는 이메일 URL을 열면 애플에게 문제를 자동보고하도록 되어 있다. 즉, 원격 침입은 없었다. 선정적 저널리즘이다. 더군다나 컴퓨팅에 권위가 나름 있다는 인포월드의 IDG가 이 정도다. Gohring's Mac Security Myths. 원격 침범 문제는 논외로 치더라도, 사용자가 로컬 상에서 하는 행위와 외부에서 하는 행위는 잘 구분해 주어야 한다. 고링의 기사는 맥 보안에 대한 여러가지 미신에 대해 다루고 있다. 고링은 동 보안 컨퍼런스의 주최자인 드라고스 류이유(Dragos Ruiu)의 말을 인용한다. "너무나 보안이 좋다면서 오에스텐을 돌리는 이를 굉장히 많이들 보게 되죠. 하지만 솔직히 말씀드리건데, 보안에 훨씬 더 신경을 많이 쓰는 곳은 애플보다 마이크로소프트입니다." 물론 마이크로소프트가 응당 그래야 할 이유가 있다. 워낙에 윈도 플랫폼이 보안의 악명세를 떨치기 때문이다. 마이크로소프트는 윈도 보안 위기에 대해 완전히 눈막음을 취할 뿐이고, 심해지고 나서야 겨우 보안 문제에 대한 대처를 시작하였다. Microsoft’s Security Embarrassment. 원래 윈도 디자인은 고립된 사무실 환경용 디자인이었다. 고립된 사무실이라면 보안 문제가 일어날 리 없다. 하지만 맥오에스텐은 유닉스 기반이며, 유닉스는 인터넷 개발과 함께 까다로운 보안 규격에 맞춰가며 자라났다. 유닉스의 보안은 수십년 동안 전문가들이 연구해온 성과라 볼 수 있다. 몇 년 전까지만 해도, 마이크로소프트는 로컬 네트워크 브로드캐스트 트래픽용으로 쓰기 위해 여러가지 포트를 열어둔 채로 윈도를 판매해왔다. 컴퓨터를 LAN 매니저 네트워크상에서 테스트용으로 쓸 요량이라면야 그것도 괜찮다. 마이크로소프트의 비보안, 폐쇄형 SMB 프로토콜을 통한 파일 교환도 괜찮다. 그러나 이를 인터넷에 노출시키면, 스팸이 밀어닥치는 데에 몇 분 안 걸린다. IE 브라우저에서 아웃룩 메일에 이르기까지, 마이크로소프트 애플리케이션은 악성 소프트웨어를 받아들이고 뿌리는 데에 특화된 것인양 비쳐진다. 게다가 윈도 시스템 자체의 보안 역시 해를 거듭할수록 더 악화되어갔다. 세계에 퍼져있는 스팸의 절대다수는 보트로 작동하는 윈도 PC가 배포한다. Consumer Reports의 보도에 따르면, 윈도의 안타이바이러스/악성소프트웨어/스파이웨어 치료는 90억 달러 어치의 문제다. Mac OS X and Security. 그에 반해, 맥오에스텐에는 실질적인 바이러스가 현재 전혀 없다. 전염이 불가능하다는 얘기는 아니다. 또한 애플은 마이크로소프트의 ActiveX처럼 네이티브로 프로그램을 돌리는 웹브라우저를 선보이지도 않았고, 자동적으로 첨부파일을 실행시키는 이메일 프로그램을 만들지도 않았다. 운영체제 자체도 여러가지 포트를 닫은 상태로 출하하였다. 2003년 전까지 마이크로소프트는 보안 문제에 대해 거의 무시로 일관해왔었다. 소위 보안 전문가라는 류이유가 주장하는 로컬 접속을 통한 사파리의 취약성과, 지난 10년 동안 마이크로소프트가 보여온 무능과 무시를 비교해 보시라. 보안 문제에 대해 마이크로소프트가 더 신경을 쓴다는 발언도 보면 참 괴상하다. 맥오에스텐이 보안 문제에 대해 무적이라며 짜증나게 주장할뿐만 아니라, 드보락에게 분노의 편지를 열심히 보내는 Artie McStrawman도 마찬가지다. The Mac Minority Malware Myth 고링은 맥 보안의 미신을 이렇게 설명한다. "그동안 해커들과 악성 코드가 맥을 목표로 삼지 않은 이유는, 역사적으로 작성자들이 윈도 머신만을 목표로 삼았기 때문이다. 하지만 실제로 쓰이는 맥이 그만큼 더 적어서인 부분도 있다. 즉, 널리 쓰이는 PC에 비해 악성 코드의 잠재적인 충격도 그 만큼 약하다." 맥이 전세계에서 팔려 나가는 PC의 2%에 불과하다는 점만은 사실이다. 맥이 보통 널리 퍼지기보다는, 진하게 퍼진다는 점 또한 맞다. 더구나 맥은 전세계적으로 배포되는 컴퓨터도 아니다. 가령, 맥으로 가득찬 학교는 많다. 더군다나 학교는 보안 결함을 활용하기에 아주 좋은 장소다. 학교에서 먼저 맥의 결함을 발견해 볼 만하다. 그러나 그런 일은 없었다. 맥 바이러스도 나타나지 않았다. 실질적인 맥 바이러스는 존재하지 않는다. 가정과 교육시장, 전문 사용자 시장에 있어서의 애플 시장점유율은 기존 기반에서 상당부분을 차지한다. 역시 목표로 삼기에 훌륭한 가정용으로서도 많다. 그래도 악성 소프트웨어나 침범은 일반적으로 일어나지 않았고, 바이러스 역시 안 생겨났다. 애플의 온라인스토어를 보자. 특히 아이튠스 스토어를 볼 때, 이곳은 맥오에스텐 서버와 엑스서브, 웹오브젝트를 돌리는 곳이다. 이제까지 보안 결함 문제가 나온 적이 있는가? 물론 그런 적이 없다! 아이튠스 스토어를 공격목표로 삼은 적은 꽤 있다. 그 때문에 애플도 아이튠스 보수(補修)를 정기적으로 행한다. 어째서 맥은 해킹의 표적이 아닐까? 맥이 많이 없어서라는 이유는 비웃음을 받을 만하다. 수 천만 대의 PC가 스스로 악성 코드를 뿌리는 이유는 PC가 많이 퍼져서가 아니다. 윈도 보안이 그 만큼 안 좋아서이다. 그 때문에 PC는 손쉬운 목표가 되어왔다. 단순히 새로운 컴퓨터를 한 대 인터넷에 연결만 시켜 놓아도, 한 시간 이내에 감염이 재빠르게 일어난다. BSD와 리눅스를 돌리는 가정용 라우터와 OS/2를 돌리는 PBX 수 천만 대 역시 전혀 바이러스가 없다. 즉, 컴퓨터의 물량이 문제가 아니다. 얼마나 침입이 쉬운가에 따르는 품질이 문제다. 이 주제에 대해 혼란스러워 하는 보안 전문가라면, 스스로 알아보는 편이 나을 것이다. IDG의 인포월드 자신이야말로 쓰레기 정보를 뿌리고 다니니, 인포월드는 아무래도 이름을 추측월드로 바꿔야 할 성 싶다. 예전의 범선이 해적에게 유명했던 이유는 범선이 많아서가 아니었다. 범선이 가치가 높아서였다. 마찬가지다. 원격으로 쉽사리 맥이 침범해 들어갈 수 있다면, 교육기관처럼 맥이 넘치는 환경에서도 쉽사리 해커들이 맥을 조절할 수 있을 것이다. 아이튠스 스토어 서버도 아주 좋은, 그리고 쉬운 목표감이 될 법 하다. Why Macs Aren’t Sending You Spam 맥이 마술처럼 보안 문제에 결백하지는 않다. 바이러스가 없는, 악성 소프트웨어가 거의 없는 이유는 다음의 이유들이 한 데 어우러져서다. 애플은 제품 디자인에 있어서 보안 문제에 책임을 진다. 지난 10년간 마이크로소프트는 보안 문제에 심각하게 대처해오지 않았다. 문제점이 생기면, 애플은 즉각 문제 해결에 나선다. 그 다음에는 간단하고 자동화된 소프트웨어 업데이트 시스템을 통하여, 사용자들이 시스템을 항상 최신 상태로 유지하게 도와준다. 그러나 마이크로소프트의 업데이트 시스템은 문제도 많고, 짜증나게 하며, 오히려 Windows Genuine Advantage라는 DRM 시스템을 트로이의 목마식으로 집어 넣으려 한다. 맥오에스텐의 핵심 소프트웨어는 오픈소스 커뮤니티의 보안 검증을 거친다. 반면 윈도의 핵심 코드는 폐쇄적이고 닫혀 있으며, 보안 문제를 감추고 있다. 불행히도, 이런 방식은 보안 전문가들의 연구마저 가로막고 있다. 그러면서도 시스템을 공격하는 악성 소프트웨어를 멈추지 못하는 형편이다. 애플은 잠재적으로 침입 경로가 될 수 있는 것의 소스를 공개하였다. 그 예로 네트워크 발견 코드인 Bonjour가 있다. 이로써 보안 연구자들이 오류를 찾을 수 있게 되었다. 맥 사용자들 스스로가 좋은 소프트웨어를 권장하는 공동체를 구성한다. 윈도 세계에서 소프트웨어는, 사용자가 무엇을 설치하는지 잘 모르는 상태에서, 자기가 고르지도 않은 소프트웨어를 사용하도록 되어 있다. 루이유의 맥 침입 콘테스트가 드러낸 진짜 미신은 따로 있다. 엘리트 해커들이 명성을 좇아 시스템을 공격한다는 미신이다. Security Focus가 지적하듯, 단순하게 명예를 얻을 수 있다거나, 노트북을 상품으로 받을 수 있어서라는 이유는 미신일 따름이다. 루이유는 상금을 만 달러로 올리고, 문턱을 낮춘 후에서야 원격도 아닌, 로컬로 URL을 보냈다. 그렇게 한 뒤에야 수상자가 나왔다. 보안 전문가들의 말을 듣기 바란다. 해커들은 명예를 좇지 않는다. 돈 때문에 보안 시스템을 침범할 뿐이다. 다른 사업세계와 마찬가지로, 우선은 과실이 어느 정도나 익었느냐가 먼저다. 컴퓨팅 세계에 있어서, 윈도 PC를 주로 침범하는 이유는 윈도 PC가 널리 퍼져서가 아니다. 침입이 쉽고, 그럴 만한 가치(스팸 발송 통로)가 있기 때문이다. Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Did I miss any details? http://www.roughlydrafted.com/RD/RDM...19B6FF352.html __________________ FAQ

2007-04-22, 05:13 AM	#18
firemanx Veteran Member Registered: Feb 2006 My Mac: iMac Intel Core Duo 20", MacBook 2.0 White, iPod Video 30G Posts: 616 오프라인	결국 집구석(집구조)가 좋은 것이죠. 보통 이것을 시스템이나 프레임이라고 표현들을 하긴 하는데요. OSX의 하드웨어적, 소프트웨어적, 그리고 그것을 통합해 나가는 운영체제 전반에 대한 관리와 매니지먼트(온라인 업데이트나 기업방침, 기타 유기적인 사업전반)등이 한꺼번에 잘 맞물려 돌아가기 때문이라는 결론을 내리고 싶습니다. 어떠한 결과가 나타나는 것이, 단일하거나 혹은 제한적인 원인 때문에 일어나기도 하지만, 매우 복잡한 원인에 의해서도 발생하는 시스템일 수도 있잖습니까? 저는 별로 어렵거나 복잡한 추론이 필요없이 깔끔하게 전체적으로 맞물려 돌아가는 운영체제와 하드웨어 전반의 심리스(seamless)한 구조 때문일 것이라는 추측을 합니다. __________________ 맥도리의 블로그 : http://macdory.blogspot.com

2007-04-24, 06:59 PM	#19
casaubon Moderator Registered: Sep 2001 My Mac: MacBook Air Posts: 2,108 오프라인	InfoWorld의 헛발질, 독자들이 답하다 Readers Write: IDG’s False Report on Mac Security Monday, April 23, 2007 먼저 CanSecWest의 맥 깨기, “PWN to Own” 콘테스트가 열렸다. 그리고 이를 보도한 IDG의 InfoWorld는 사실을 다루지 않았다. 또한 여러 사이트들이 이 기사를 인용하면서 미신을 부추겼다. 실제로 무슨 일이 일어났는지는 전혀 지적하지 않은 채로 말이다. 심지어 CanSecWest 측도 이 주제에 대해서는 조용하다. 실제로 어떤 조건을 양보했는지, 그로 인해 어떤 결과가 나왔는지? InfoWorld나 Computerworld 외 다른 IDG 잡지들의 독자들이 낸시 고링(Nancy Gohring)의 잘못된, 그리고 미완성된 기사도 모르는 사실을 지적하였다. Speaking From The Ars. Ars Technica의 찰스 제이드(Charles Jade)는 다른 새로운 사실 추가 없이 IDG의 보도문만을 인용하였다. 제이드는 심지어 이런 대회에 내걸린 만 달러의 상금이 맥 보안의 조류를 뒤바꾸리라고까지 주장하였다. 윈도 스타일의 보안 문제를 해결할 인센티브가 마련됐다는 뜻이었다. 침입에 성공한 공로로 상금을 내렸다. 그리고는 보안 문제에 더 신경쓰라고 애플에게 알린다? 그렇게 되면 침범할 가능성, 즉, 그 시장 자체가 축소되어버린다. 어떻게 그런 콘테스트가 존재할까? 당연히 정 반대다. 소프트웨어 버그를 찾기 위해 프리랜서를 고용하는 개발사가 있다고 해 보자. 버그를 발견하여 치료방법까지 알려야 상금을 내릴 만 하다. 그렇다면 그 소프트웨어에는 버그가 더 많을까? Who’s Exploit Was It Anyway? CanSecWest는 세부사항 대부분을 비밀에 부치고 있다. 콘라트 퀼티-하퍼(Conrad Quilty-Harper)의 Endgadget 기사에 따르면, 정보가 없는 추측이라는 사실을 소개하지 않은 채로 간결하게 나온 부분만을 다뤘다. 이 기사가 맥을 크랙시키는 데에 9시간이 걸렸다는 정보도 담고 있기는 하지만, 그 전에, 하루 내내, 24시간에 걸친 노력이 무위로 돌아갔다는 지적은 하지 않고 있다. 바로 그 점때문에 CanSectWest 측은 보안 기준을 스스로 낮추었다. 맥오에스텐을 원격으로 해킹해들어가는 대신, 콘테스트 참여자들은 각자 웹브라우저에 로컬 유저로 들어가서 URL로 링크를 보낼 수 있었다. 밀실을 여는 대회가 열린다고 해 보자. 여는 데에 계속 실패하자, 전화선이 주어진다. 이 전화는 내부에 있는 이와 연결되어 있으며, 전화로 문을 열 수 있는지 알아보고, 문을 열게 된다. 기준을 낮춘 정도가 아니다. 침입이 아니라 아예 협력이다. What Did They Crack? 위 Engadget 기사에 댓글을 단 "YankInOz"라는 독자가 있다. 그는 이 '해킹'이 더 이상 쓰이지 않는, 오래된 자바 루틴이었다고 한다. 또한 이런 침입은 파이어폭스나 카미노, 사파리에서 쉽게 찾을 수 있다고도 덧붙였다. Slashdot의 한 익명의 독자는 이 침입이 자바스크립트 루틴이라고도 하였다. 썬의 자바와 넷스케이프의 자바스크립트는 이름 말고는 공통된 부분이 거의 없다. 그러나 둘 다 써드파티 브라우저 플러그인으로 존재하며, 사파리에 특화된 기능은 아니다. 자바이건, 자바스크립트이건, "맥에 특화된 침입"은 아닌 셈이다. Third Party Issues. 수많은 '보안 전문가'들이 이해하지 못해 보이는 사실도 한 가지 있다. 소프트웨어 설치가 보안 수준을 바꾼다는 것이다. 맥은 업데이트를 통해 보안을 지키는데, 소프트웨어 설치, 그리고 새로운 서비스의 개설이 이뤄지면 애플이 통제하지 않는 구멍이 생길 수는 있다. 그런데 바로 그 때문에 마이크로소프트 윈도에 보안 문제가 생겨난다. 몇 년 전에서야 보안 문제에 대처할 수 밖에 없는 상황이 된 것은 물론 마이크로소프트 책임이다. 게다가 마이크로소프트는 자신이 해결할 수 없는 문제까지 해결해야 할 지경에 처하였다. 윈도용 써드 파티 소프트웨어들이 문제다. 이들이 마이크로소프트의 노력을 무색하게 만들기 때문이다. 물론 맥에서도 똑같은 원칙이 적용된다. 파일 공유를 위해 마이크로소프트 윈도용 SMB 프로토콜을 켤 경우, 비보안 네트워크 상에서 윈도 PC와 똑같은 비보안 환경을 맥에도 들여놓게 된다. 부트캠프나 Parallels를 통해 윈도를 설치했다면, 당연히 애플의 범위를 벗어나게 된다. 바이러스에 걸릴 수 있다는 의미다. 심지어 맥 상에서 맥용 마이크로소프트 오피스를 사용하는 경우도, 짜증나는 오피스용 매크로바이러스가 맥으로 들어올 수 있다. Updating Third Party Problems. 자바나 여러가지 다른 오픈소스 소프트웨어를 맥오에스텐의 일부로 제공하기 때문에, 이 소프트웨어 패치의 책임은 애플에게 있다. 이 때문에 애플은 맥오에스텐에 포함시키는 소프트웨어에 선별을 기한다. 책임을 지기 때문이다. 애플이 정기적으로 선보이는 소프트웨어 보안패치도 외부 프로젝트에서 나오는 경우가 많다. 가장 최근의 2007-004 패치도 GNU tar와 BSD의 lukemftpd FTP 서버, MIT의 Kerberos 수정을 포함하고 있다. 맥에 번들된 모든 소프트웨어의 보안 업데이트는 애플 책임이다. 이 사실 때문에 스스로 리눅스를 꾸리는 것보다 맥오에스텐이 한 층 더 매력적이다. 수 백여 여러가지 다른 프로젝트에서 나오는 코드를 포함해도, 끊임 없이 업데이트와 패치를 애플이 해 주기 때문이다. 스스로의 버전 패키지를 설치한 다음에, 매우 복잡해진 소프트웨어와 보안의 과학을 일일이 책임져야 할 상황을 생각해 보시라. 가정에서 제작한 타이어를 차에 갖다 붙이는 것에 비유할 수 있다. 함몰됐다고 해서 포드사에 대고 타이어를 요구할 수 없다. 스스로 사제 타이어로 위험에 노출시켰기 때문이다. Lying about Security With “Vulnerability Counts.” 이와 동시에, 주요 언론사들 대부분은 특정 플랫폼에 보도된 취약성이나 침입의 횟수를 갖고 보안과 연결짓는다. 이는 솔직하지 못한 처사다. 칼럼니스트들이야 무식하달 수 있다. 그런데 전문가들도 다수가 거짓말을 하고 있다. 자기들도 그 사실을 알고 있음은 물론이다. 최근 마이크로소프트는 윈도에 스스로 조성한 보안 재앙을 넌지시 맥과 리눅스에게 넘기는 식으로, 최신 유행을 갈아탔다. 리눅스와 맥이 잠재적인 구멍이 너무나 많다. 오픈소스 유닉스 세계에서 보도된 구멍이 워낙 많고, 패치도 많아서이다. 그래서 보안 문제가 더 심각하다는 식이다. 그런데 그것이야말로 보안이 활성화되어있다는 소식이다! 군대가 눈에 보인다고 해서, 안보가 불안하다는 말과 다를 바 없다. 여러가지 전염인자를 두고 투병을 하니, 그 환자의 면역 시스템 자체가 별로이리라는 말과도 같다. What Did CanSecWest Prove? CanSecWest는 마이크로소프트가 후원하는 곳이다. 게다가 일부러 맥의 보안을 더럽히려 노력하였다. IDG의 헤드라인까지 올릴 정도이니, 일단은 성공한 셈이다. 그렇다면 이 CanSecWest가 실제로 증명한 것은 무엇인가? 정기적으로 한 사이트에 자동 방문하도록 '사용자'가 프로그래밍한 브라우저의 결함을 이용하였는데, 상당히 처절한 느낌이 든다. 더군다나 이런 인위적인 우회로도 제한적이었다. 이 주제에 대한 거의 모든 보도문은 실제로 어느 정도의 공격까지가 허용되었는지 언급하지 않고 있다. IDG의 기사는 이 공격이 "원격"이 아니었을뿐만 아니라, 공격자가 거의 모든 것을 할 수 있도록 허용되었음을 분명히 주장하고 있다. 물론 사실은 아니다. Weren’t There Two Macs? 주최측 웹사이트에서 보면, 맥이 두 대 동원되었는데, 각각 규칙은 서로 달랐다. 첫 번째 맥에서 이기기 위해, 크래커는 "기본 사용자의 홈에서 설명에 따라"야 했다. 달리 말해서, 제한적인 로컬 사용자 권리를 가진 채 접근하였다는 의미다. 두 번째 맥을 이기기 위해, 참여자는 "파일시스템 루트의 설명을 따를" 필요가 있었다. (관리자 자격이 필요하다.) 맥 두 대 모두 포기해 버린 셈이다. 이래서야 실질적인 침입이 아니다. 하지만 사용자 권리를 갖고 하루 내내 시도하였지만, 직접 맥을 깨뜨릴 수가 없었다. 그래서 주최측은 조건을 낮춘다. 사용자에게 URL을 콘테스트 관리자에게 보낼 수 있도록 하고, 이 관리자는 그 URL을 서버에 올려 놓아, 맥북프로 두 대를 동원하여 자동적으로 웹 사이트를 방문하여, 등록한 URL을 "클릭"하도록 시켰다. 조디 포스터의 "패닉룸"을 재현한 것과 마찬가지다. "안녕하세요, 패닉룸 안이죠?! 이제는 나와도 됩니다!" 문이 열린다. "아 하! 문을 깼군요!" Getting To The Root of Things. Dino Dai Zovi의 공격은 자동화된 브라우저 액션을 통한 자바 루틴인 것으로 파악된다. 그래도 그는 사용자 수준의 파일만 접근 가능했다. 사실 이 정도도 패치시킬 필요가 있는 중대한 오류랄 수 있다. 그러나 시스템에 접근하고 싶다하여, 누구나 특정 사용자의 파일에 접근하기 위해 Rube Goldberg 이벤트를 설정할 것 같지는 않다. 진정한 공격자라면 차라리 랩톱 사용자를 습격하거나, 사무실을 직접 침입, 사용자를 납치한 다음, 총을 겨누고 암호를 대라 할 것이다. 물론 이 말 자체도 웃기기는 마찬가지다. 윈도 바이러스와 웜, 스파이웨어 사업에서 쓰이는 침입 방법은 악성 소프트웨어를 관리자로 설치시키는 방식이다. 즉, 보통은 윈도의 레지스트리에 명령문을 숨기고, 악성 코드를 재설치하게 되는데, 이 때에는 사용자와 시스템, 혹은 활성화된 보안 소프트웨어 뒤에서 재설치가 이뤄진다. 그렇게 장악한 컴퓨터를 스팸 발신지로 쓰게 되니, 공격에 시간을 들일 가치는 있다. 게다가 대량으로 설치하려면, 원격 설치를 쉽게 해야 할 필요가 있다. 즉, 루트를 재빠르게 장악해야 한다. 바로 위와 같은 일들이 윈도 PC에서는 늘상 일어난다. 그러나 CanSecWest의 맥은 33시간동안 그런 일이 일어나지 않았다. 맥에 침입하기 위해 대회 규정을 낮춰야 할 정도였다. "규칙을 검토하기 위해, 첫 번째 박스는 오류를 필요로 하였다. 공격자가 사용자 수준의 권리를 갖고 셸을 얻을 수 있도록 하는 오류다. 두 번째 박스도 같은 권리와 함께, 공격자에게 루트를 제공하였다." Nancy Gohring, You Are Coming to a Sad Realization. Cancel or Allow? 두 번째 단계는 일어나지도 않았다. 누구도 만 달러의 상금(그리고 노트북)에도 불구하고 맥의 루트 권한을 가질 수 없었다. 윈도 PC에서는 가능한 수 천 개의 알려진 구멍도 소용이 없었다. 윈도에서는 브라우저 링크, 혹은 사용자가 단순히 방문한 것만 갖고도 코드를 심어 소프트웨어를 설치한다. 그러나 맥오에스텐은 설치하려는 소프트웨어에 사용자의 인증을 요구하도록 되어 있다. 윈도는 그런 기능이 없다. 심지어 "새롭고 개선되었다"는 비스타도 인증을 물어보지 않는다. 계속 허용을 클릭하실 것이냐 묻다가, 결국 허용을 클릭하게만든다. 허용하겠냐는 대화상자가 떴을 때, 대부분의 사용자는 허용을 해 버린다. 레지스트리에 기술적인 뭔가를 허용시키는 것이다. Oops, You Forgot to Include the Critical, Pertinent Facts. 고링은 이 점을 언급하지 않았고, IDG 또한 헤드라인을 수정하지 않았으며, IDG의 모든 웹은 맥도 더 이상 안전하지 않다느 식의 똑같은 기사를 올려댔다. 사실이 될 수 없다. 이들 모두, 루트 침입은 없었으며, 원격 침입도 없었고, 악성 소프트웨어 설치나, 바이러스 설치가 전혀 없었다는 사실을 빠뜨렸다. 그래놓고서 애플보고 플랫폼의 보안에 노력을 더 하라느니 설교를 늘여놓았다. Open vs Proprietary. 해결책 중 하나는 오픈소스 개발자들의 여러 팀들과의 협동이다. 맥오에스텐 보안 소프트웨어에 필요한 상당부분은 GNU/리눅스, BSD, 그 외 다른 오픈소스 프로젝트들이 공유하고 있다. 아파치나 OpenSSH, GCC를 생각해 보시라. 그러나 마이크로소프트는 알려져 있는 윈도소프트웨어의 결함을 해결하는 패치에만 신경쓴다. 마이크로소프트 외부에서는 누구도 핵심 수준까지 코드를 열람할 수 없다. XP와 비스타의 NT Kernel은 완전히 폐쇄적이며, 발견되지 않은 구멍으로 가득 차 있다. 또한 유닉스처럼 수 십년 동안 여러 다른 팀들의 검토를 거쳐 나온 것도 아니다. 더해서 윈도 사용자들은 아파치나 OpenSSH, GCC와 같은 프로젝트로부터 전혀 혜택을 누릴 수가 없다. 마이크로소프트가 스스로 폐쇄형 버전을 작성하고 있기 때문이다. 마이크로소프트 IIS 웹서버에서 나오는 모든 것에서부터, RPC와 컴파일러에 이르기까지, 마이크로소프트는 공유나 개방과는 전혀 거리가 멀게 작업해왔다. Microsoft’s Massive Security Problem. 마이크로소프트의 보안 문제는 무능력한 게으름의 소산이다. 10년도 더 됐다. 하지만 그러한 결함은 지금까지도 영향을 끼치고 있으며, 마이크로소프트가 책임을 져야 한다. 이런 보안도 안 갖춰진 소프트웨어를 매년마다 수 백억 달러씩 판매해왔기 때문이다. 마이크로소프트는 위험이 불거질 때까지 윈도를 방치시키다시피 하였다. 공해 회사 변호사들이 일자리를 얻을 때가 되잖았나 싶을 정도다. 마이크로소프트가 돈을 주고 고용한 보안 전문가들은 마이크로소프트가 개선을 이뤘다고 지적하기에 바쁘다. 물론 개선은 있었다. 마이크로소프트에게 재빠르게 면죄를 해 주었기 때문이다. 하지만 오늘도 여전히 윈도 PC 스팸봇에서 나오는 스팸으로 우리의 메일함은 가득차있다. 게다가 마이크로소프트는 아직도 사용자의 편리함과 보안 간에 어떤 균형을 맞춰야 할지를 이해하지 못한 듯 하다. 모든 보안 문제를 해결했다 주장하는 비스타에서도 마찬가지다. 이는 더 큰 문제다. Super Users and the Vistapocalypse. 비스타가 어째서 아직도 보안이 허술한지 Object Development Labs의 글렌 마샬(Glenn Marshall)이 설명을 보내왔다. "맥은 기본적으로 수퍼유저로 돌아가지 않습니다. 즉, 소프트웨어를 루트 암호 없이 설치할 수 없다는 의미죠. 그러나 윈도는 기본적으로 수퍼유저 상태에서 돌아갑니다. 은행이 열려 있는 것이나 마찬가지에요. 오에스텐은 물론 인터넷이 사용하는 다른 오에스도 이렇지는 않아요." "제가 볼 때, 무엇보다도 이 점때문에 맥은 안전합니다. 왜 이 점을 널리 밝히지 않는지 궁금할 정도더군요. 집단소송 전문 변호사들도 왜 이 점을 밝히려들지 않는지 궁금합니다만, 소송은 또 다른 얘기가 되겠습니다." "공정하게 말씀드리자면, 악성 소프트웨어는 사용자 파일을 지울 수 있습니다. 당연히 악성이죠. 그런데 주안점은, 일반적으로 악성 소프트웨어는 파일을 지우기보다는 스스로를 설치하여서, 운영체제를 휘젓고 다니기 시작하죠." "마이크로소프트는 비스타에 이르러서야, 이 점을 생각하기 시작했습니다. 하지만 제가 얘기해 본 비스타를 쓰는 사람들 모두 관리자(수퍼유저)로 비스타를 돌리더군요. '그 상태로 나옵니다' 하면서 말이죠." "마이크로소프트가 "생각하기" 시작했다는 것 자체가 비스타로서는 '개선'인 셈입니다. 이 때문에 비스타의 히스테리에 가까운 경고 메세지는 악명 높죠. 오에스텐의 암호 요구 방식과는 대조를 이룹니다. (애플 광고에서 나온 대로이다. [Cancel or Allow.]) "소매용 비스타(할머니라도 살 수 있는 비스타를 말합니다)도 관리자 모드로 돌아갈지는 꼭 확신할 수 없습니다만, 암호를 넣어야 했다는 말은 들은 바가 없습니다. 아직도 여전하다는 얘기겠죠. 아직도요." "은행문은 완전히 열려있는데, 누군가 은행 문 앞에 서서, 당신보도 '은행에 들어가려 하시는군요. 들어가겠습니까?'하고 묻는 것이나 마찬가지입니다. '예'라고 답하면, 당신이 스키-마스크를 썼는지, 혹은 커다란 빈 가방이 있는지 상관 안한 채로 들여보내게 됩니다." "더 자세한 부분은 뉴욕타임즈의 데이비드 포그가 설명을 해 놓았더군요." Recruiting Windows PCs for Botnets. 독자, Tristan의 글이다. "앞서 언급한 모든 이유때문에 맥의 보안이 훨씬 더 뛰어나다는 점만은 완전히 동의합니다. 하지만 그렇다고 해서 맥의 적은 시장점유율이 아무런 관련이 없다고까지는 나아가지 못하겠습니다. 시장점유율이 낮으니 그 만큼 목표가 못 되는 것이죠. 인용하신 고링도 그렇게 말했습니다. 맥을 '목표'로 한 악성 소프트웨어가 적은 이유는, '아마 실제로 쓰는 맥이 더 적어서이리라'고요." "주안점은 아마도라고 한 부분입니다. 확실하다는 얘기는 아니죠. 저 또한 20여년 가까운 맥의 '파워 유저'였습니다. 윈도와 솔라리스, 리눅스도 일 때문에 주로 사용하고 있죠. (현재는 일하는 도중에 맥북프로의 Paralles로 윈도를 돌리는 중입니다. :-) )" "작업용 윈도 머신에서는 언제나 악성 소프트웨어나 웜, 바이러스가 넘쳐납니다. 하지만 그 어느 것도 사용자를 목표로 삼은 것은 없습니다. 제 경험상, 그런 코드의 절대 다수는 컴퓨터에 botnet을 설치하거나, 데이터 제거, 혹은 60초마다 재부팅 등을 시킬 뿐입니다." "저도 최근, 비보호 VNC 서버를 통해 부주의하게 저 자신을 노출시킨 덕에, 제 맥에 대해 공격을 시도한 바 있는데요. 그렇다고 해서 맥오에스텐이 보안이 미진하다는 얘기가 아니죠. (제가 워낙에 노출이 되어 있었고, 그에 따라 일어난 결과이지, 맥과는 상관이 없습니다.) 하지만 공격의 성격 자체를 가지고 시끄럽게들 말하죠. 스크립트나 작성할 줄 아는 초딩들이 수 만 명은 됩니다. 이들이 자기네 컴퓨터를 개조하는 스크립트를 다운로드하거나 작성해서 스스로 botnet을 만들죠." "그들은 신용카드 내역을 얻으려는 것도 아닙니다. 그저 열려 있는 포트를 찾아 IP 어드레스를 찾아 헤매는 스크립트일 뿐이죠. VNC 서버를 겨냥한 것에게 공격을 받은 적이 있어요. DOS 명령을 하나 내리더니, 한 FTP 서버로부터 웜을 다운로드받은 다음 실행시키더군요. 윈도 명령에 반응하지 않기 때문에 실행이 안 되던 것이 분명했습니다." "무슨 일이 일어나고 있는지 깨닫기 전에는 몇 주일에 며칠씩 계속 재시도를 하더군요. 반복만 계속 해댑니다. 제 컴퓨터에 VNC 서버가 있어서 뭔가가 접속을 했다는 사실을 사람이 발견하기 전까지는 계속 그댈였어요." "개별 공격을 하지는 않습니다. 특정 종류의 머신이나 운영체제, 사용자들을 찾아다니죠. 그저 여러 가지 게임을 즐길 뿐입니다. 인터넷 상의 컴퓨터 중 95% 가량이 윈도입니다. 윈도를 겨냥해야 botnet 스크립트를 돌릴 곳이 많아지죠." "botnet을 대량 살포하려면, 물량이 중요합니다. 여러분이 작성한 스크립트의 목표를 살펴 보기만 해도, 물량이 중요해요. 줄이자면, 맥이 윈도보다 훨씬 보안이 갖춰졌다는 말에 동의합니다. 기사에 나온 이유 덕분이죠. 하지만 맥 시장점유율과 관련이 없다는 의견은 비현실적입니다." Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Did I miss any details? Readers Write: IDG’s False Report on Mac Security __________________ FAQ

글타래 옵션
프린트 메일