CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security

casaubon · 2008-04-11, 09:59 AM

CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security
March 28th, 2008 | Markets, Mobiles, Software, Tech, the Media

Daniel Eran Dilger

선정적인 오보를 일삼는 언론에 맞춰주기 위해, 별로 상관 없어 보이는 두 그룹이 실제 보안이 마이크로소프트 윈도보다 더 낫다는 맥오에스텐의 명성을 공격하기 시작했다. 이 콘테스트는 부분적으로 마이크로소프트의 후원을 받는 CanSecWest Applied Security Conference에서 열렸으며, 소니나 후지쯔 노트북보다 맥북에어가 더 빠르게 해킹당했다고 주장한다. 그런데 수 만 마일 떨어진 Swiss Federal Institute of Technology에서도 Vulnerability Numerology를 통해, 애플 운영체제가 윈도에 비해 즉각적으로 하는 취약성 패치가 더 적다고 천명했다. 하지만 금세 유명해진 이 두 기사의 전제가 틀렸다. 왜일지 알아보자.

Charlie Miller Cracks a Mac in Two Minutes at CanSecWest.
지난 해, CanSecWest 이벤트에서 보안 견구자, 조바이(Dino Dai Zovi)는 자동으로 오염된 웹사이트에 접속하도록 만든 사용자를 설정받고 나서야, 맥의 파일을 접근할 수 있었다. 올해 콘테스트의 승자는 그의 사업 파트너인 찰리 밀러(Charlie Miller)로서, 2분만에 노트북을 뚫었다고 전해진다. 그런데 조바이와 밀러 둘 다 첫 번째 날은 시스템에 접근하지 못 하였다. 첫 번째 날은 네트워크를 통산 직접적인 공격만이 허용됐었다.

하지만 두 번째 날은 이 원칙이 누그러졌고, 그 때문에 승자가 재빠르게 가려졌다. 이메일을 보내서, 사용자가 자동적으로 이 이메일을 통해 미리 설정시켜 놓은 웹서버로 링크해 들어가도록 하였던 것이다. 덕분에 빠르게 접속이 가능해졌지만, 이것만으로 헐리우드가 갖고 있는 "해커"라는 이미지에 딱 들어맞았다. 헐리우드의 해커는 키보드만 좀 두들기다보면 즉각적으로 "메인프레임"에 접속한다. 그것도 정해진 시간 안에 말이다. 자, 보다 영리한 질문을 던져 보자. 어째서 맥이 먼저 해킹당했고, 이 공격은 어째서 그렇게 빨리 이루어졌는가?

마이크로소프트가 후원하는 이벤트에서 윈도를 먼저 공격할리 없잖은가라는 정치적인 이유가 제일 쉽겠다. 게다가 실제로 그렇게 해 봤자 뉴스거리도 못된다. 공격 속도는 밀러같은 보안 연구자들의 장사와 관련이 있다. 그는 윈도-기반 시스템만큼이나 맥(그리고 아이폰)도 침입해 들어가기가 쉽다는 점을 지속적으로 분명히 밝혀왔다. 그 점에 대해서는 잠시 후에 설명하겠다.

현실에서 윈도가 수 많은 바이러스로 시달린다는 말은, 전혀 새로울 것이 없는 사실이다. 바이러스만이 아니다. 스팸이나 광고용 보트넷에서 나오는 악성 소프트웨어에 따른 전염도 상당하다. 반면 맥 시스템에는 바이러스가 없으며, 실제적으로 악성 소프트웨어나 스파이웨어, 보트넷 문제가 없다. 그러나 전문가와 연구자들, 보안 제품 영업사원들은 끊임 없이, 맥이 심각한 보안 문제를 안고있을뿐만 아니라, 윈도 PC보다 훨씬 취약성이 많기때문에 시달릴 수 있다 주장해왔다. 어떻게 이런 모순적인 개념을 조화시킬 수 있을까?

Gone in 2 minutes: Mac gets hacked first in contest - Yahoo! News
InfoWorld Publishes False Report on Mac Security

Attacking the iPhone.
밀러는 자신의 보안전문가라는 명성을 위해 열심히 노력해왔다. 보안전문가의 의미는, 눈에 띌 만한 목표를 정해서, 고도의 공격을 발견해낼 만한 능력을 보여준다는 것이다. 지난 해, 밀러는 오픈소스 Perl Compatible Regular Expression Library 소프트웨어와 관련 있는, 아이폰 취약성에 대해 묘사한 적이 있다. 이 취약성이 바로 jailbreak와 관련이 있다. 애플의 보안 장벽을 우회하여, 아이폰에 원하는 소프트웨어를 설치할 수 있게 해 주는 것이 바로 jailbreak다. 하지만 이 의미는, 전염된 사이트에 스스로 접속하게끔 하는 악성 소프트웨어를 사용자가 스스로 패치가 안 된 아이폰에 설치할 수도 있다는 잠재성을 갖는다.

그러나 아이폰 보안에 대한 그의 공격은 밀러의 악명만 높여줬을 뿐이다. 그렇게 기사가 나왔음에도 불구하고, 악성 소프트웨어 업계는 수 백만 대의 아이폰을 향해 공격하지 않았다. 어째서일까? 일단 위의 PCREL은 결국 패치가 됐다는 점을 알려드린다. 취약점이 공개된 지 불과 수 주일만에 일어난 패치였다. 악성 소프트웨어 저작자들은 아이폰 공격을 하려다가도, 금세 다시 머리를 짜야 한다는 의미다. 그것도 계속 말이다. jailbreak 커뮤니티도 계속 재작업을 해왔다. 악성도 아닌, 다만 지원을 못받는 애플리케이션 설치를 위해서 말이다.

지원받지 못하는 애플리케이션 설치를 유지하기 위한 작업만 하더라도 몇 달이 걸렸다. 아이폰의 보안 장벽을 공격하는 식으로, 아이폰에 이런 애플리케이션을 설치하는 방법을 유지해왔다. 스파이웨어와 스팸 업계가 똑같은 툴로 아이폰을 어째서 공격하지 않을까? 필자가 앞서 지적했듯, 아이폰은 악성 소프트웨어 업자들의 좋은 목표감이 되지 못한다. 그 이유는 이러하다.

보트넷 스패밍까지 돌릴 정도로 사용 기반이 아직은 그리 크지 못하다.
네트워크 업링크 속도가 너무 느려서(혹은 간헐적이어서) 스팸에 적당하지 않다.
널리 개방된 윈도와는 달리, 아이폰은 폐쇄형이기 때문에, 공개적인 침입도 재빠르게 막을 수 있다.
아이폰 소프트웨어 업데이트는 PC 업데이트에 비해 훨씬 전달하기가 쉽다.
PC와는 달리, 아이폰을 아이튠스에 연결시켜 놓고, 복구만 클릭하면, 아이폰은 즉각적으로 청소가 된다.

따라서, 아이폰 보안 문제를 찰리 밀러가 그렇게 많이 제기했음에도 불구하고, 아이폰을 실제로 노리고 한 보안 공격은 없었다. 심지어 아이폰용 바이러스가 실제로 출현한다 하더라도, 복구가 쉽고 빠르기 때문에, 피해는 제한적일 수밖에 없다. 밀러는 그동안 아이폰의 심각한 오류에 대해 꾸준히 지적해왔지만, 그런 이류와 실제 사용자들에게 중요한 위험은 별반 관계가 없다. 이론상 아이폰은 계속 침입을 당해왔지만, 실질적으로 아이폰은 침입당한 적이 없다.

Kim Zetter and the iPhone Root Security Myth
UnWired! Rick Farrow, Metasploit, and My iPhone Security Interview
About Security Update 2007-007: CVE-ID: CVE-2007-3944

The Theory of Vulnerability.
이 때문에, 아이폰 사용자들에 대한 지속적인 밀러의 경고도 별 소용이 없었다. 맥 사용자들에 대해서도 마찬가지다. 이론상의 취약점에 대해 실제로 고생하는 맥 사용자는 없다. 그러나 윈도 열광론자들은 맥 시장에서 악성 소프트웨어가 없는 이유는, 단지 맥 시장이 윈도에 비해 점유율이 낮아서일 뿐이라 계속 주장하기를 즐겨한다. 이 아이디어는 틀리기도 하고, 너무나 단순하기도 하다.

우선, 맥 시장점유율은 특정 시장에서 지속적으로 증가해왔다. 실제로 취약성을 활용할 만한 세력이 있다면, 활용해 볼 만한 정도에까지 말이다. 그랬다면 정말 문제가 심각했을 것이다. 전 PC 데스크톱과 웍스테이션, 서버에 비한 세계시장점유율은 분명 낮지만, 미국 내 애플은 판매되는 컴퓨터의 8%를 넘겼다.

더구나 애플은 기업 시장 점유율이 낮다. 즉, 미국 시장점유율 8%를 고려할 때, 가정과 소규모 사무실, 교육시장의 애플 점유율은 10~20% 정도 될 것이다. 그러나 맥용 악성 소프트웨어는 여전히 보이지 않는다. 맥은 걱정해야 할 악성 소프트웨어가 실질적으로 없으며, 안티-바이러스 프로그램을 돌리는 이들도 극소수다. 스파이웨어 클린이 있어야 할 이유가 없으며, 복구 유틸리티도 마찬가지다. 맥은 윈도 문제의 1/10만큼을 갖고 있지 않다. 실질적으로 걱정해야 할 보안 문제가 전혀 없다.

게다가 전문가들의 논리에 한 가지 더 결함이 있다. 애플이 제일 강세를 보이는 시장이야말로 악성 소프트웨어가 제일 판치는 시장이다. 누가 전문 방화벽을 깨려 시도하는가? 누가 스파이웨어를 만드는가? 맥 사용자들로부터 돈을 빼앗기가 더 쉬웠다면, 분명 맥도 스파이웨어나 명의도용의 표적이 되었을 것이다. 애플의 기존 시장기반 또한 악성 소프트웨어 업자들에 대해, 대단히 매력적이다. 그러나 바이러스는 없고, 악성 소프트웨어가 실제로 피해를 일으키는 바도 없다. 이 사실이야말로 시장점유율 문제를 갖고 주장하는 이들의 수치 맹신에 대한 진실을 더 잘 알려준다.

10 FAS: 10 - Apple’s Mac and iPhone Security Crisis

Swiss Swing and a Miss.
Swiss Federal Institute of Technology의 보고서를 살펴보자. 애플 증오자인 CNET의 조지 우(George Ou)와 같은 이들도 여기에 장단을 맞추고 있다. 스위스의 저 그룹은, 결함이 공개됐을 때의 바로 그 날, 지난 6년간 애플과 마이크로소프트가 얼마나 자주 패치를 해왔냐를 따졌다. IDG의 기사에 따르면, 그들은 이것을 0-day patch rate라 부른다.

그들의 결론은 다음과 같다. "취약성에 대해 패치를 안한 횟수는 애플이 더 높다." 덕분에 IDG 기사의 저자는 기괴한 부정으로 글을 선정적으로 만들었다. "그동안 마이크로소프트는 보안에 대해 더 많은 관심을 기울여왔다. 동 결과는 그 점을 확인시켜준다 하겠다. [마이크로소프트 보안연구부 부장인] 앤드류 커쉬만(Andrew Cushman)이 [연구 보고서 저자인] 프라이(Frei)에게 물었다. "마이크로소프트가 이 연구를 후원했나요?" 프라이의 답변이다. "본 연구는 독립 학술 연구입니다."

IDG는 마이크로소프트가 후원을 안했다는 점을 드러내고 싶었던 모양이다. 왜일까? 마이크로소프트 직원이 어째서 자기 회사가 그런 연구 보고서를 후원했으리라 생각했을까? 마이크로소프트의 마케팅 목표에 따른 "연구"를 후원하는 회사로서, 마이크로소프트가 매우 잘 알려졌기 때문이다. 그러나 이 보고서가 후원이 누구냐를 따질 정도는 아니다 보고서 자체가 무책임한 쓰레기이기 때문이다.

Vista vs Mac OS X Security: Why George Ou’s ZDNet Vulnerability Numerology is Absurd
security.itworld.com - Microsoft vs. Apple: Who patches 0-days faster?
PdfMeNot.com - 0-Day Patch Study

Why the Swiss Study was Fatally Flawed.
이 보고서가 완전히 쓸모 없는 주된 이유는, 별로 관계 없는 플랫폼끼리 "제로-데이" 패치 횟수를 비교했기 때문이다. 이것이 왜 오류인지 세 가지 이유가 있다. 다시 말하건데 "제로-데이" 패치란, 오류가 공개화되었을 때, 그 날 바로 단행하는 패치를 일컫는다.

사실 공개화되기 이전에 이미 수정이 일어나는 이론상의 침입이 많다. 물론 패치가 되기 전에 수 주일, 심지어 수 년이 걸리는 오류도 있다. "무지에 따른 보안"이라는 커튼 뒤에 숨는 것보다, 패치가 안 된 오류가 더 심각하게 들리긴 하다. 그러나 패치는 고사하고, 공개되기도 전에, 악성 소프트웨어 저작자가 발견하여 팔아치우는 오류도 많다. 즉, 제로-데이 패치란, 당사자 기업이 알고 있는 오류일 때에만 이상적이랄 수 있다. 이 보고서는, 드러나지 않았지만 발견은 된 오류를 무시하였다. 사실 그런 오류를 조사해서 규명해내기란 더 어렵다. 그렇다고 해서 덜 위험하지도 않다.

윈도는 그런 오류들로 가득하다. 발견은 됐지만, 공개가 안되고 패치도 안 된 오류들이다. 그러나 맥오에스텐은 그렇지 않다. 바이러스가 없으며, 악성 소프트웨어 문제도 없다. 하지만 이런 사실을 고려하지 않더라도, 제로-데이 패치 보고서를 주의깊게 보면, 세 가지 측면에서 매우 엉터리라는 점을 알 수 있다.

1. 특정 취약성때문에 야기된 상대적인 위협과 그 위협의 범위는 취약성을 수치로 판단하는 이들이 좋아하는 통계에서 사라져 있다. 윈도에 악명 높은 "shatter attack"이라고 있다. 윈도 아키텍쳐의 근본적인 결함을 활용하는 공격으로서, 비스타가 나와서야 드러났다. 이 오류는 단순한 버퍼 오버플로 에러가 아니다. 마이크로소프트는 윈도 NT/2000/XP를 출시할 때, 모든 서비스를 인터랙티브 데스크톱 안에 집어 넣었다. 그리고 이 서비스에게 모두 동일한 높은 권한도 주었다. 이런 허술한 디자인이 2002년 널리 보도되었으나, 여러 가지 이유로 많은 사용자가 쓰지 않는 비스타가 나올 때까지 완전히 드러난 적은 결코 없었다.

윈도 XP와 2008년 이전이 서버 버전은 여전히 이 "shatter attack"에 노출되어 있지만, "연구자"들은 이런 심각한 결함을 단순히 목록상 하나로 셌을 뿐이다. 별로 관계 없는 시스템 간에 취약성이 몇 개, 몇 개인지 세는 것이 얼마나 무책임하고 무식한 방법인지 드러내는 사례이다. 맥오에스텐은 윈도의 서비스 아키텍쳐나 shatter attack 같은 문제를 갖고 있지 않다. 잘 알려지고, 존중받는 유닉스의 이점을 누리기 때문이다.

유닉스는 수 십년 동안 학술단체가 검토, 조사하고 구축해 왔으며, 개별 유틸리티와 소프트웨어 패키지 또한 보통 공개되어 있다. 애플의 코어 OS, 다윈(Darwin)처럼 말이다. 다윈은 맥오에스텐의 기반으로서, Mach/BSD 하이브리드이다. 마이크로소프트의 윈도 커널과 코어 OS 기반은 그런 독립적인 검토와 조사를 비슷하게 하지 못한다. 제로-데이 패치의 수를 세고, 오류가 공개된 때에 나오는 패치가 나온 날짜나 추적한다고 해서, 실제 보안과는 별다른 관련이 없다. 엉뚱한 통계를 분석하는 수고를 하는 셈이다.

Mac OS X에서는 풀렸지만 윈도우즈에는 여전한 구조적 오류 다섯 가지

2. 마이크로소프트 운영체제는 완전히 폐쇄형이다. 속이 어떻게 돌아가는지 들여다볼 써드파티 연구자들은 거의 없기에, 패치되기 전에 결함을 쉽사리 발견할 수 없다. 애플 맥오에스텐의 절반도 폐새형 소스이다. 애플 또한 애플 외 누구도 알지 못하는 결함용 패치를 유사하게 출시한다. 차이점은 이렇다. 마이크로소프트가 미지의 오류용 패치를 출시할 때, 언론은 이를 치하한다. 하지만 애플이 패치를 내놓으면, 컴퓨터 전문가들은 얼마나 많으면 패치를 내놓겠냐며 혀를 찬다. 존재하는지 아무도 몰랐던 오류를 수정하는 패치인데도 말이다. 그리고 애플 소프트웨어가 문제가 많아서 패치가 나온다는 식으로 선정적인 기사를 올린다. 상당히 위선적이다. 하지만 애플이 보안 패치를 출시할 때마다 이런 일이 정확히 되풀이된다.

그러나 부정직한 Vulnerability Numerologists처럼, 스스로 작동하는 기괴한 무언가가 있다. 윈도의 오류는 언제나 윈도 커널과 셸, 그리고 핵심 번들 유틸리티 안에서만 발견되는 버그로 치장된다. 인터넷 익스플로러와 Exchange email과 같은 서버 제품군, IIS 웹서비스, 그 외 다른 소프트웨어에서 발견되는 오류는 언제나 제외다. 각 제품군은 고유의 중대한 오류를 갖고 있기에, 충분히 알려야 할 가치가 있다. 하지만 맥오에스텐과 리눅스에 대해서만은 Vulnerability Numerologists는 배포본과 관련 있는 모든 오픈소스 패키지에 보고된 오류를 모조리 다 센다. 여기에는 웹브라우저와 이메일, 웹서버, 그리고 관련있는 모든 라이브러리와 패키지를 포함한다.

물론 마이크로소프트 IIS 오류가 데스크톱 사용자에게 영향을 끼치지는 않잖겠냐는 합리적인 주장을 펼 수도 있겠다. 이 서비스를 사용하는 이들이 극히 드물기 때문이다. 그러나 PHP와 아파치, 삼바, 그 외 맥오에스텐이나 리눅스에 번들되어있는 모든 오픈소스 제품에서 발견된 모든 취약점을 탐욕스레 오류로 구성하는 "연구자"들이다. 이들은 그런 툴을 실제로 어떻게 쓰는지, 실제로 침입에 어떻게 쓰이는지는 관심을 갖지 않는다. 위선과 부정직한 이들이 모든 취약성을 몰아세우는 셈이다.

다른 측면도 있다. CanSecWest 콘테스트 승자인 밀러와 같은 보안 연구자들은 오픈소스 소프트웨어의 오류를 쉽사리 발견하고는, 아무런 보고도 않은 채, CanSecWest와 같은 이벤트 때 맥오에스텐을 수 분 내에 해킹하는 식으로 써먹을 수 있다. 밀러는 콘테스트가 열리고 밀러에게 충분한 접근권을 주기 이전부터, 자기가 무엇을 사용해 침입할지 훤히 알고 있었다.

맥오에스텐이 사용하는 오픈소스 패키지에 있는 오류를 밀러는 훤하게 알고 있었다. 문제는 이것이 실제로 맥에게 보안 문제를 일으키는 것이 아니라, 신중하게 계획된 보안 콘테스트에서만 쓸 만하다는 점이다. 밀러는 오픈소스의 약점에 집중하였지만, 실제로 그러한 개방성은 강점이다. 애플도 맥오에스텐의 모든 패키지 보안 픽스에 커뮤니티의 성과를 반영할 수 있거나 반영한다. 밀러의 공격이 오픈소스가 아닌, 애플을 겨냥한 점을 확신하지만, 그의 방법은 커뮤니티의 개방성을 활용하여 자기 주가만 높인 식이었다. 오픈소스를 욕보인 행위다.

마이크로소프트의 윈도 오류는 숨겨져 있으며, 오픈소프트웨어에서의 오류처럼 잘 알려져있지 않다. 맥오에스텐과 다른 유닉스, 리눅스 배포본을 계속 강력하게 만들어주는 커뮤니티 메커니즘이 아니다. 애플이 맥오에스텐에 있는 오픈소스 패키지를 즉각적으로 업데이트해야 한다는 연구자들의 주장이 많고, 애플의 느린 반응이 위험도를 어느 정도 노출시키는 것도 사실이다. 하지만 강력한 보안이 필요한 전문 사용자들 대다수는 스스로 더 높은 버전의 오픈소스 라이브러리와 패키지를 따로 설치할 수 있는 이들이다. 윈도 사용자들은 그렇지 않다.

오픈소스는 강력하다. 별개의 두 플랫폼 취약성 수를 세며 비교하여 0-데이 통계수치를 내는 방식은 숲 안의 나무를 숲 자체로 볼 수 없다는 점을 증명해준다.

애플의 오픈소스 공격
마이크로소프트의 이길 수 없는 전쟁

3. 스위스 보고서의 세 번째 문제는 "0-데이" 자체에 있다. 지구상에 있는 모든 오픈소스 패키지는 투명성(보안 전문가들에게 널리 개방되어있다)과 함께, 리비전 과정이 문서화되어있다. 애플도 이런 패키지를 맥오에스텐 안에 번들시켜 놓는다. "보안 연구자"들이 널리 알려진 문제 수를 계산해서 애플이 출하중인 것과 비교하는 것은 정말 쉬운 일이다. 마이크로소프트는 윈도 배포판 일부로, 오픈소스 프로젝트를 포함시키지 않기 때문에, 윈도에서 문제를 발견하고 보고하려면, 상당한 작업이 필요하다.

코드 보안과 "불분명에 따른 보안"에도 불구하고, 윈도에서 발견되는 버그는 맥오에스텐이 담고 있는 모든 오픈소스 라이브러리에서 발견되는 버그 수와 유사하다. 문제의 보고서는 이렇게 적고 있다. "마이크로소프트의 취약성은 658가지, 맥오에스텐[그리고 애플이 맥오에스텐에 출하시켜 놓은 오픈소스 프로젝트]은 738가지이다."

애플이 사용하는 오픈 소프트웨어는 애플이 패치를 내놓기 전에 이미 널리 문제를 알린다. 그러니 놀라울 것도 없다. 반면 윈도의 폐쇄형 코드의 오류는 패치되기 이전에 잘 알려지지 않는다. 발견과 보고, 패치의 타이밍을 확실히 하기 위해, 동 보고서는 취약성의 주기에 대해 네 가지 정의를 내린다.

발견시기: 오류를 처음으로 발견한 시기(폐쇄형 소스코드의 경우 내부적으로 발견한 시기)
침입시기: 바이러스나 해커 툴 등이 동 오류를 사용하여 개발될 때
공표시기: 발견된 오류를 대외적으로 발표할 때
패치시기: 해당 업체가 패치로 오류를 해결할 때

0-데이 패치는 오류가 공개된 바로 그 날 패치가 이뤄진 때이다. 벤더가 오류 발견을 스스로 하면 정말 쉬운 일이다. 따라서 0-데이 패치로 따질 때, 마이크로소프트는 엄청나게 유리해진다. 오픈소스로 노출되지 않는 오류이기 때문이다. 하지만 애프은 오픈소스를 사용하기 때문에, 써드파티가 오류를 발견하고, 애플이 공식적인 패치를 내놓기 전에, 이 오류를 발표할 기회가 많다.

스위스 보고서에서 또 한 가지 주목할 점이 있다. 써드파티가 공급한 패치를 인정하기 거부한다는 점이다. 즉, 0-데이 패치 횟수는 오류를 처음으로 발견한 회사가 누구냐를 왜곡하고 있으며, 오픈소스 프로젝트에 들어간 써드파티 패치 자체를 고려하지 않아서, 오픈소스를 다시금 왜곡시킨다. 애플이 공식적으로 패치할 때만 센 셈이다. 달리 보면, 이 보고서는 패치 정보를 사용자들이 효과적으로 활용하는지 여부는 따져보지 않은 채, 오류를 피하는 방법 등에 의한 것으로만 패치를 정의내렸다.

따라서 마이크로소프트가 취약성을 막기 위해, 특정 행위를 사용자보고 하지 말라면서, 자사 웹사이트의 Knowledge Base 글타래에 적어 놓았으면, 이 또한 "패치"로 친다는 의미다. 반대로, 애플이 뭔가 오픈소스 라이브러리를 번들시켰는데, 여기서 발견된 오류를 써드파티가 패치시킬 수 있는 경우, 이것은 패치가 아닌 셈이다. (대표적인 사례가 있다. 아이폰 libtiff 오류이다. 애플이 발표하기 전에, 커뮨티가 먼저 패치해냈다.) 그런데 이것이 다가 아니다.

The Colors of Risk.
스위스 보고서는 패치나 취약성 발견 이전 시기에, 위험을 표시하는 방법으로 세 가지 색상을 정의내렸다.

검은색 위험: 발견되고나서, 발표를 하여 일반인들이 해당 문제점을 알게 될 때까지의 시기
회색 위험: 발견되고나서, 패치되기 전, 즉, 문제점을 일반인들이 알긴 하지만, 해결책이 아직 안나온 시기
백색 위험: 패치가 나온 후부터 설치 전, 즉, 일반인들이 패치를 하지만 아직 설치하기 전 시기

이 보고서는 마이크로소프트를 폐쇄형 소스 업체로 추켜세운 뒤, 마이크로소프트의 문제를 모두 다 회색위험에다 놓았다. 하지만 PC 사용자들에게 영향을 끼치는 진짜 문제는 검은색 위험이다. 전혀 모르는 방식으로 공격을 받기 때문이다. 패치가 존재하되, 사용자들이 설치할줄 모르거나, 잘 되지도 못한 패치툴을 애써 설치하지 않으려 하는 백색 위험도 마찬가지로 위험하다. 두 문제 모두 윈도 사용자들에게 상당한 위험을 끼친다. 그러나 스위스 보고서는 오류가 일반에게 알려지고(즉, 발견될 때가 아니고, 공개화된 때를 의미한다), 패치가 언제 이루어지는지만 집중한다. 웃기는 일이다.

News Flash: Apple Better At Delivering Software Than Microsoft.
보고서가 분명히 지적하였지만, 수사아게도 IDG가 다루지 않은 내용 또한 존재한다. 애플이 보안 패치 면에서 지난 6년동안 마이크로소프트를 능가해왔다는 사실이다. 애플은 815번의 패치를, 마이크로소프트는 678번의 패치를 하였다. 마이크로소프트가 훨씬 더 거대한 보안 문제를 겪고 있으며, 더 침입할 경로도 많고, 보안 문제 때문에 실제로 겪는 손해도 많다는 점을 간안해도 이러하다. 더군다나 마이크로소프트가 자사의 "기업 고객"들에게 제공한 패치도 여기에 포함되어있다. 마이크로소프트는 패치의 수를 개선시켰지만, 애플은 훨씬 더 빠르게 대응해왔다. 지난 해만 세면, 거의 두 배를 더 많이 하였다.

IDG 기업 보고서에는 왜 이 내용이 생략되어 있을까? 마이크로소프트 듣기 좋은 소리가 아니기 때문이다. 스위스 보고서는 양사가 제공하는 운영체제의 메이저 버전 수도 지적한다. 그런데 이 보고서는 애플의 경우, 소매판매되는 버전만을 쳤고, 마이크로소프트의 경우는 서비스팩까지 메이저 리비전으로 쳤다. 메이저 리비전 횟수는 개발비가 많이 들고, 시간에 쫓기는 보안 패치를 더 내놓기 힘들게 한다는 점을 반영한다.

애플은 마이크로소프트보다 엔지니어링 팀도 훨씬 적다. 그럼에도 불구하고, 주요한 업데이트를 더 많이 내놓았다. 이를 폄하하는 것은 어처구니 없는 짓이다. 2002년 이래 양사가 내놓은 주요 업데이트 수를 센다면 애플은 아이폰용 오에스텐 업데이트를 제외시켜도 33번에 이른다. 그러나 마이크로소프트는 7회이다. 또한 윈도 서버 서비스팩도 메이저 업데이트라고 치면서, 맥오에스텐 서버의 출하는 세지도 않았다. 이런 수치까지 모두 감안한다면, 애플은 지난 6년간 66번의 메이저 업데이트를, 마이크로소프트는 7번을 하였다. 이런 것도 0-데이 패치 보고서에 올라가야하지만, 불행히도 그렇지 못하였다.

그렇다면 어째서 스위스 팀은, 맥 사용자들에게 바이러스나 악성 소프트웨어 문제가 전혀 없다는 현실을 어째서 도외시하는 선정적 보고서를 만들었을까? 애플 운영체제가 그리도 침입이 쉽다면, 당연히 문제가 많아야 할 것 아닌가? 윈도 보안은 공격해봤자 별 주목을 못받는다. 맥에 바이러스가 없으며, 윈도 플랫폼에는 현실적인 악성 소프트웨어 문제도 없다고 광고할 때, 애플이 거짓말을 한다는 주장 또한 팔리는 "뉴스"는 못된다. 그러나 진실을 믿고 싶어하지 않는 우중의 편견 조성엔 한 몫 톡톡히 한다.

IDG는 애플을 근거 없이 깎아내려서 윈도 팬들의 독자층을 확보하기 원하며, 스위스 팀은 그런 기사를 지원하기 위한 보고서를 꾸며낸다. 두 당사자 모두 완전히 대중을 홀리고 속이는 악명을 얻게 되었다.

Ten Myths of Leopard: 10 Leopard is a Vista Knockoff!: 64-bitness

How to Prove the Truth Is Wrong.
진실을 반박하는 것 자체야 너무나 쉽다. 하지만 인류는 거짓말쟁이들에게 완전히 취약한 정보 취합 메커니즘을 구축해 놓았다. 선전이나 일삼는 자들은 예전부터 오류를 지집고 들어왔다. 하지만 거짓말을 지속적으로 퍼뜨리면, 결국 양떼는 이 거짓말을 비판 없이 받아들이게 된다.

사례가 있다. 미국 대통령들이 그동안 주장한 연방정부 지출액의 현실을 비교해 보라. 공화당 우파에 따르면, 민주당의 "세금과 지출" 정책이 적자를 키웠으며, 이것이 경제 성장의 발목을 잡고, 생산성을 줄였다고 주장한다. 이 메시지를 수 십년 동안 공화당 위주의 씽크탱크들이 주입시켜왔다. 하지만 실제로 지난 수 십년동안 어느 대통령 시기에 지출액이 실제로 어떠했는지를 보면, 이들의 주장이 완전히 틀렸음을 알 수 있다.

Why Windows Enthusiasts Refute the Truth.
보안 문제를 애플이 느리게 대처해서, 맥 또한 "윈도 만큼이나 나쁘다"는 주장은 적어도 2003년 이후로 계속 여러 당사자들이 주장해왔다. 그럴듯한 이유도 아주 많다. 다음과 같다.

밀러와 같은 보안 연구자들은, 취약성 발견에 대해 선정적으로 일을 해야 직업을 유지할 수 있다.
스위스 그룹과 같은 씽크탱크는 선정적인 보고서를 올려야 관심을 끌어모을 수 있다.
명성갖고 먹고 사는 칼럼니스트와 전문가들 또한 통계적으로 오류를 스스로 만들어내서 지실을 외면하고, 마이크로소프트로부터 직접 후원을 받는 단체들은 윈도가 그리 심하게 보안문제를 겪지는 않는다는 보고서를 올린다.

아무튼 윈도는 심각한 보안 오류를 안고 있으며, 앞으로도 겪게 되리라는 사실만은 남아있다. 마이크로소프트가 윈도 비스타에서 개선시킨 보안성은 상당하지만, 여러 사용자 입장에서는 이론상 개선일 뿐이다. 하드웨어 사양때문에 비스타를 사용할 수도 없는 이들이 많으며, "일단 두고보자"는 식의 기업 고객들도 비스타로 업그레이드하고 있지 않다. 이들 역시 지출이나 라이센스를 늘리고 있지 않다. 문제많은 SP1 출시 이후로 더 상황은 안좋아졌다.

What Needs To Happen Around Here.
90년대동안 마이크로소프트는 단기적인 이윤만을 좇았다. 그리고 실제상의 보안 문제를 도외시한 채, 운영체제를 허술하게 구축시켜 놓았다. 또한 일찌기 전례가 없는 최악의 보안 문제를 퍼뜨리고서도, 딱히 고쳐야 할 필요성도 느끼지 않았다. 마이크로소프트는 대단히 많은 문제를 일으키고도, 마치 문제가 존재하지 않는 양 행세하고싶어한다. 이 점을 보안 연구자들도 인정해야 한다.

마이크로소프트는 윈도 사용자들을 위해, 스스로 자기 돈을 들여서 보안 문제를 해결해야지, 비스타를 비싼 값에 팔아서 문제를 해결하려한다. 지난 10년동안 커지기만 한 문제점들을 대거 고쳤다고 하는 비스타이다. 하지만 비스타도 그리 잘 돌아가지는 않는다.

거대 언론은 마이크로소프트로부터 받는 막대한 광고수입보다는, 사실을 말해야 하고, 독자들에게 정보를 주어야 한다. 모든 뉴스 기사마다 마이크로소프트에게 충성을 선언하여 광고비를 받는 것이어서는 안된다. 하지만 거대 언론은 필자같은, 좋은 기술과 공정경쟁에 왜곡된 사람의 말을 들어야 할 이유가 없다. 당연하다. 필자는 소비자와 협력업체, 기술 그 자체로 봐서도 전혀 좋지 않은 마이크로소프트의 범죄적인 행위에 반대한다.

What do you think? I really like to hear from readers. Comment in the Forum or email me with your ideas.

Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Submit to Reddit or Slashdot, or consider making a small donation supporting this site. Thanks!

CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security

casaubon · 2008-04-11, 10:02 AM

Mac Shot First: 10 Reasons Why CanSecWest Targets Apple
March 29th, 2008 | Journal, Markets, Mobiles, Software, Tech, the Media

Daniel Eran Dilger

CanSecWest 보안 콘테스트에서 흘러나오는 소식들이 단순한 "맥이 먼저 뚫렸다" 류의 헤드라인 이상으로 기사를 채우고 있다. 이 콘테스트는 세 시스템을 같은 선상에 놓고 경쟁시킨 콘테스트가 아니다. 왜인지 알아보자.

CanSecWest 콘테스트는 보안 전문가들로 구성되어 있으며, 이들은 각기 다른 배경과 다른 동기를 갖고 있고, 맥오에스텐과 윈도 비스타, 유분투 리눅스의 결함을 찾는 제각기의 식견을 갖고 있다. 그런데 CanSecWest 콘테스트는 세 시스템의 결함을 드러내기 위한 레벨 콘테스트가 아니라, 각자 선택한 플랫폼을 목표로, 연구자들의 지식과 능력에 보다 초점을 맞춘 콘테스트였을 따름이다.

CanSecWest와 소프트웨어의 취약성에 대해 알아둬야 할 10가지 사실

1. 맥에서 발견된 침투경로는 CanSecWest와 같은 콘테스트 외에는 거의 가치가 없다. 시장이 형성되어있지를 않으니 찰리 밀러(Charlie Miller)의 침입을 사 줄 사람이 없다. 윈도 영역에서는 이런 침투로를 판매하는 시장이 존재한다. (발견되고, 비공개됐다가 "0-day"로 공개되지만, 패치가 안된다.) 스패머와 보트넷 저작자들, 명의도용자들이 먹고 살아야 하기 때문이다. 그러나 맥에서 돌아가는 어두운 세계의 악성 소프트웨어는 없다. 게다가 그런 소프트웨어에 대한 수요도 없다. 또한 한 번 발견된 침투로도, 몇 주일 지나면 패치가 되기에, 언론에서야 많이들 떠들지만, 실제상으로는 윈도에서처럼 그 어떠한 재앙적인 결과가 나올 수 없다.

CanSecWest는 이론상으로나 존재하는 맥에 대한 공격이 어떨지를 디자인한, 통제된 결과물에 불과하다. 물론 그것도 인위적인 콘테스트가 아니라 실제로 그런 이벤트를 받쳐줄 만한 시장이 존재한다는 가정 하에서이다. IT 언론은이 이벤트가 늘상 일어나는 윈도 PC에 대한 공격과 동일선상에 서 있는 양 보도해왔다. 윈도 영역에서는 실제로 피해를 입히고, 시간과 수고를 들여야 하며, 퍼포먼스나 떨어뜨리는 안티-바이러스 소프트웨어를 항상 돌려야 한다. 이 점이 잘못 퍼졌다. 위선적이기도 하다.

2. CanSecWest 콘테스트는 윈도보다, 다른 플랫폼의 보안 문제에 초점을 두려는 의도가 역력하다. 기업 사용자들은 리눅스 상에서 훨씬 더 거대한 이론상의 보안 위험을 겪을 수 있다는 주제의 연구를 마이크로소프트가 지속적으로 지원해 왔다. 또한 마이크로소프트는 보안이 형편없다는 명성과, 윈도 보안 위기가 야기한 분명한 현실을 가리기 위해 엄청난 노력을 기울여 왔다. 그러기 위해서는 일단 헤드라인부터 자극적으로 올리는 편이 최고다.

임무는 완료는 되었다. 윈도 영역에서 실제로 활동하는 바이러스와 악성 소프트웨어때문에 일어나는 수 십억 달러 어치의 손실에도 붉하고, CanSecWest는 맥이 윈도보다 보안이 덜하다고 발표하였으며, 유치한 언론과 우매한 대중은 엄연한 현실을 일개 선정적인 콘테스트가 공식적으로 부인했다고 믿어버렸다.

[업데이트: CanSecWest 콘테스트를 만든 관계자들의 동기를 두 가지 방식으로 설명할 수는 있다. 언론이 할 수 없는 단순한 마케팅 메시지를 마이크로소프트가 최대화시켰다는 것이다. 마이크로소프트 보안 그룹부장인 제프 존스(Jeff Jones)는 맥오에스텐 크랙에 대해 이런 블로그를 올렸다.

"'저 컴퓨터를 해킹하라'식의 콘테스트는 별로 신경쓰지 않는다. 해킹을 당하지 않는다고 해서, 깰 수 없는 것도 아니다. 또한 해킹을 당했다고 해도, 그 또한 이미 알고있는 사실이 드러난 것 뿐이다. 어떠한 머신도, 조건만 잘 갖춰진다면 깰 수 있다. 그러니 PWN 2 OWN 결과를 너무 깊게 들여다보시지 발기를. 나도 안 그런다."

이 블로그 제목은 "보안은 단순하지 않다. 그러니 쓸데 없는 점을 맞추려고 단순화시키면 안된다"로 되어 있다. 그런데 그는 이런 말도 덧붙였다. "일단 말했으니 말인데, 맥오에스텐 광고는 좀 너무하지 않나. 수 백만 달러를 들여서 윈도 비스타의 보안 개선을 공개적으로 비웃는 광고라서이다. 그런 맥오에스텐이 이런 시기에 CanSecWest 콘테스트에서 첫 번째로 뚫렸다니, 좀 아이러닉하다."

그런데 언론은 그의 블로그 마지막 줄만을 보도하였다. 게다가 존스의 애플 광고 '겟 어 맥'이 '너무하지 않나'라는 코멘트는 별 근거도 없는 말이었다. 윈도 팬들이야 이런 말을 들으면 열 받을 만하다. 하지만 그들은 반박을 안한다. 애플이 "수 백만 달러를 들여서 공개적으로 윈도 비스타의 보안 개선을 비웃는다"고 말하는 것도, 실제로는 정확하지 않고, 공정하지도 않다.

Jeff Jones Security Blog : Mac OS X Security - Reality Check #2]

3. 콘테스트는 일단 맥북 에어라는 브랜드 이름에 관심을 집중시켰다. 하지만 다른 플랫폼용으로 쓴 다른 두 대의 노트북은 업체만 밝혔을 뿐이다. 정말 제일 선정적인 헤드라인이 아닐 수 없다. 윈도와 맥오에스텐의 보안 문제를 다루면서, 애플의 최신예 노트북이 뭔가 특별한 보안문제가 있는 양 말했기 때문이다. 일단 애플은 급히 '겟 어 맥' 광고를 하나 더 만들어서, "나는 맥, 비스타는 저속해(dreadful)"이라 말이라도 해 줘서 균형을 맞춰야겠다.

4. 맥 침입은 찰리 밀러가 들어올 때 이미 해 두었던 무언가였다. 그가 가진 이 기술은 콘테스트 이기기 외에는 도무지 쓸모가 없다. 그것도 첫 번째 날, 원격으로 했더라면, 1만 달러가 아닌, 2만 달러를 벌었을 것이다. 그의 침입이 어느 정도의 가치를 가진지는 그 자신이 잘 알고 있을 것이다. 그는 보안 전문가이다.

[업데이트: 필자가 모순적인 개념을 만들었다고 생각하는 분들이 계신데, 그렇지 않다. 독자, Don Bach가 한 링크를 보내왔다. 이 링크는 밀러의 인터뷰 기사였다. 그 기사에서 밀러는 콘테스트에서 자신이 사용한 맥오에스텐 침입로에 대해 이렇게 말했다. "3주일 전에 앉아서, 링 안으로 모자 던지기를 하고 싶어했습니다. 며칠 지나고나자 뭔가 보이더군요. 나무지는 그 침입로를 찾아내서 테스트했습니다. 그게 다 합쳐서 1주일 쯤 걸렸을 겁니다."

밀러는 일단, 애플이 업데이트시키지 않은 FOSS 코드를 통해 침입로를 발견하는 일이 얼마나 쉬울지를 드러내고자 하는 말을 하였다. 하지만 그와 동시에, 밀러는 이미 그 방법을 알고나서, 맥을 목표로 한 침입로를 발견하기 위해, 수 많은 동료들 이상으로 정치적인 동기를 갖고 있었다. 기사의 나머지 부분은 위, 존스의 코멘트로 채워져 있었지, 별 다른 내용이 없었다. Softpedia는 부끄러운 줄 알라.

Microsoft Finds Irony in Mac OS X Getting Hacked Before Vista SP1 - Courtesy of Jeff Jones, Strategy Director in the Microsoft Security Technology Unit - Softpedia ]

5. 비스타 머신 크랙을 한 연구자는, SP1 설치가 되었는지를 기대하지 못했다. IDG, 로버트 맥밀란(Robert McMillan)의 기사에 따르면, 그 사실을 몰라서 그는 허둥댔다. 그러니 2등보다 밀러가 준비를 훨씬 잘한 셈이다. 이 또한 맥오에스텐에 대한 부정적인 인식을 훨씬 뛰어 넘는, 밀러에 대한 긍정적인 인상이다.

우연히도, 지난 해, 애플은 이 콘테스트 직전에 맥오에스텐을 업데이트시켰다. 작년 콘테스트도 여러 가지 유사 침입로를 밝히는 콘테스트였다. 올해, 콘테스트 하루 전에 업데이트를 시킨 곳은 Mozilla였다. 모질라는 Firefox를 2.0.013으로 업데이트시켜서, 유분투 설치본을 공격할지 모르는 곳의 오류를 수정하였다.

CanSecWest가 열린 날은 각 기업이 보안 업데이트를 내놓는 날과 관계가 있다. 콘테스트에 커다란 충격을 줄 만한 변수이지, 각 플랫폼의 보안에 전체적으로 뭔가 있다는 의미가 아니다. 비스타 SP1(비스타가 나온지 1년 후에야 나왔다)의 출시 이전에 콘테스트가 열렸다면 어땠을까? 2007년 내내 비스타를 사용하는 사용자들의 실제 규모를 반영시키지 않았을까? SP1을 설치한 비스타 사용자들은 얼마 되지 않는다.

IT Pro Portal에서 스티브 골드(Steve Gold)가 이런 불만을 말하였다. "SP1로 야기한 마이크로소프트의 문제는 히드로 공항 5번 터미널의 BAA 문제에 버금가지만, 전세계적인 규모이죠. BAA처럼, 문제를 해결하기 위해 수 개월은 걸리지만, 보통은 해결을 못합니다. 알려진 문제점 목록만 봐도 휘둥그레질 정도에요."

이번 주 초, CanSecWest 콘테스트가 열리기 하루 전, 스튜어트 존스턴(Stuart Johnston)이 PC World에서 이런 관측을 하였다. "윈도 비스타 SP1 나올 때가 (거의) 되었다. SP1은 573가지의 버그를 고쳤으며, 2007년 초 나올 때 이후 쌓인 패치를 갖고 있으며, 퍼포먼스도 어느 정도 개선시켰다. SP1을 설치하기 권장하지만, 일단은 여러 가지 사소한 문제들이 해결된 다음에 설치하시기 바란다."

비스타 SP1도 역시나, 바로 설치하라고 권장하기는 멀다는 얘기다. 비스타 테스트 머신에 SP1을 설치한 CanSecWest 콘테스트가 과연, 비스타 사용자의 상대적인 보안에 대해 어느 정도나 말하고 있을까?

Vista, MacBook Out–Only Linux Left in Hacking Contest - Yahoo! News
ITProPortal.com - Vista SP1 - I’m losing what little hair I have left…
PC World - Vista Service Pack 1: 573 Fixes in Limbo

6. 밀러는 사파리에 관련이 있는 무언가를 해킹했다 보도하였지만, 그 구체적인 방법은 공개가 안 되었다. 이것이 실제 애플 코드의 취약점이건 아니건, FOSS 라이브러리에 대한 복사-붙이기 식의 공격이 밀러의 PCREL 침입이었다. (혹은 PCREL이 패치된 다음 다른 연구자가 발견한 libtiff 침입일 수도 있겠다.) 텔넷 원격 로그인을 연 다음, 어떻게 연구자에게 계정을 주었는지도 여전히 알려져 있지 않다. 즉, 지금까지 알려진 사실은 애플 코드와는 거의 관련이 없다. 물론 맥오에스텐의 일부를 구성하는 FOSS 코드 버전에 애플의 책임이 있는 것은 사실이다.

우연인지 모르겠지만, PCREL과 libtiff 취약점은 모두, 지원받지 못하는 소프트웨어를 아이폰에 설치하기 위해 보안을 우회하는 방법에도 쓰인다. 두 가지 방법 모두 이제까지 어떠한 피해를 입힌 적이 없으며, 발견되자마자 몇 주일 뒤에 패치가 되었다.

[업데이트: Daring Fireball의 존 그루버(John Gruber)는 이렇게 말한다. "콘테스트의 침입은, WebKit의 자바스크립트 엔진이 사용하는 PCRE regex 라이브러리의 오버플로(overflow) 버그의 도움을 받았다." 즉, 밀러는 지난 가을, 아이폰에 대한 공격방법을 재사용했다는 의미이며, 그가 PCREL에 대해 상당히 많은 지식을 갖췄다는 뜻이기도 하다. 새로운 버그를 규정지었으니 말이다. 그루버에 따르면, WebKit의 JavaScriptCore에 바로 이 문제가 이슈화되었다고 한다. 즉, 이번 콘테스트는 오픈소스 개발 프로젝트를 며칠 정도 밀러가 앞서나갈 수 있다는 점을 보여준 것에 불과하다는 얘기다. 맥과 윈도, 리눅스 간의 플랫폼 보안 문제와는 큰 상관이 없다는 의미이기도 하다.

Changeset 31388 - WebKit - Trac via Daring Fireball.]

윈도 사용자들에게 영향을 끼치는 보안 문제는 결함 발견만이 아니라, 바이러스, 스파이웨어, 광고용 소프트웨어, 악성 소프트웨어 개발에도 실질적으로 쓰인다. 더구나 실제로 존재하는 채치로 업데이트가 바로 바로 되는 머신은 많지 않고, 이 때문에, 취약성 있는 보트넷이 다른 시스템에도 새로운 공격을 뿌린다. 이 두 가지 문제점이 윈도의 보안 위기를 심화시킨다.

마이크로소프트를 고생시키는, 끊임 없는 파괴적이고 악랄한 보안 문제의 규모와, 이론일 뿐인 맥오에스텐에 대한 공격을 비교해 보면, 참 차이가 크다. 90년대에 스스로 만들어낸 문제점을 마이크로소프트는 현재 거의 해결할 수가 없다는 점때문에, 마이크로소프트로서는 두 가지 선택밖에 없다. 비스타에서 보안 문제를 최대한 해결하는 것이 하나이다. 그러나 윈도 사용자 대부분이 비스타를 사용하지 않기로 하였다. 다른 하나는, 그런 문제가 실제로 존재하지 않으며, 보안이 높다는 다른 플랫폼이 실제로는 이론상 더 심각한 위험을 안고있다면서, 사실을 오도하는 마케팅 술수를 뿌리는 것이다.

7. "리눅스를 크랙할 수 있는 참가자들은 콘테스트를 이기기 위해 필요한 침입 코드 개발을 하고싶어하지 않았다." 위에 인용한 IDG 기사에 나와 있는 말이다. 왜일까? 리눅스가 해킹하기 쉽다는 사실을 증명할 정치적인 동기가 부족해서가 아닐까? 1만 달러를 받을 수 있다고 해서, 자기의 취약점을 1만 달러에 팔고싶어하지 않았다는 의미이기도 하다.

8. 침입점이나 취약성은 "맥과 윈도, 리눅스" 고유의 침입지점이나 취약성이 아니다. 오히려 크로스 플랫폼적인 위협이다. 올해, 비스타는 Adobe Flash와 관계가 있는 결함을 사용하여 크랙이 되었다. 자바에서 발견되는 취약점과 일반적인 브라우저의 오류, 다른 공용 코드 구현이 의미하는 바는 다음과 같다. 이번 콘테스트는 선택한 플랫폼을 공격하기 위해, 취약지점을 미리 지정받아서 치른 콘테스트다. 과거 밀러는 이 원칙을 통해, 애플에 대한 FOSS 취약성을 적용시켜왔다. 똑같은 방식으로 FOSS 취약성 전문가들은 자신들이 발견한 취약지점을 윈도용 스패머들에게도 판매할 수 있다.

발견된 오류를 이렇게 잘 활용할 수 있다. 즉, 한 드라마같은 콘테스트에서 각 플랫폼의 전체적인 보안이 어느 정도인지 경험적으로 내보내는 것이 아니라, 발견자에게 제일 높은 상금이 돌아갈 만하게, 그 취약점을 사용하는 것이다. 현실적으로도 발견된 오류는 스파이웨어와 광고용 소프트웨어, 그 외 바이러스가 종종 뿌리는 악성 소프트웨어 툴을 만들기 위해, 윈도 시장과 직접 연결된다.

9. 밀러는 애플 플랫폼 보안을 깎아내리기 위해 평생을 노력해왔다고 자타가 계속 주장해왔다. 현재 그러한 노력과 시도가 돈이 될 만한 시장은 CanSecWest 뿐이다. 지난 해, 밀러의 파트너이자 같은 회사에서 근무하는 이가 똑같은 방식으로 콘테스트에서 이겼었다. 둘 다 맥이 더 침입하기 쉬웠다고 계속 주장한다. 그리고 이들의 발언은 항상 언론의 구미를 당긴다.

업데이트가 안 된 FOSS 침입 전문가라면, 분명 자기 침입로를 스패머들에게 파매해온 동료, 별다른 동기가 없는 동료와 함께, FOSS의 이미지를 나쁘게만드는 데에 흥미가 없는 리눅스 전문가들을 이길 수 있다. 그리고 CanSecWest과 같은 대회에서 쉽게 이길 수 있다. 오픈소스의 애플 배포본 오류를 드러내면서 말이다. 하지만 다시 말하건데, CanSecWest와 같은 콘테스트는 맥오에스텐과 윈도, 리눅스에 대한 지식과 식견, 동기보다 더 많은 사실을 알려준다.

10. 애플이 오픈소스를 사용하기에, 밀러와 같은 연구자들이 침입로를 발견하기 더 쉬워졌다. FOSS 프로젝트 패치를 하였지만, 애플 배포본으로서 업데이트를 하지 않은 이들도 포함이다. 필자는 어제 기사에서, 애플이 비판을 받는 영역에 속하긴 하되, 애플도 FOSS 컴퍼넌트의 업데이트를 최신으로 유지시켜야 하리라고 지적하였다. 물론 FOSS같은 소프트웨어 업데이트를 항상 최신 버전으로 사용하는 것과 관련된 문제점도 물론 존재한다. 취약점을 패치하긴 하지만, 새로움때문에 다른 문제점을 야기할 수 있어서이다.

기업 전산실 인력들도 패치가 실제로 무엇을 하는지, 취약점 이외에 다른 문제를 일으키지는 않는지를 확인한 후에야, 주요 소프트웨어의 패치를 단행한다. 애플의 FOSS 배포본도 그런 확인 과정이 필요하다. FOSS 프로젝트 패치는 빨라질 수 있되, 오히려 안좋아질 수도 있다. 소프트웨어 업데이트가 매일마다 일어나는 것도 짜증날 것이다. 애플의 유료 고객들은 "잘 돌아가기만 하면 되는" 소프트웨어를 요구한다. 리눅스 영역의 "스스로 해결"주의와는 사못 다른 접근 방식이다.

오픈소스 컴퍼넌트가 최신 버전으로 올라갈 때마다 애플도 최신 배포본을 만들어내야 한다고 비판하는 것은 너무나 단순하다. 애플도 주의를 기울여서 개선시켜야 할 특정 경우는 당연히 존재하지만, 오픈소스 라이브러리 버전이 올라갈 때마다 애플도 버전에 맞춰야 한다는 식의 무조건적인 비판은 버전 관리를 전혀 모르는 무식의 발로라 할 수 있다.

Apple Patches Faster than Microsoft Because it Patches More than Microsoft.
자, 이제 다른 주제이다. 애플은 OS 소프트웨어의 패치를 마이크로소프트보다 자주하는 편이다. 애플의 패치 횟수는 역시 애플의 취약성과 관련있다는 스위스의 모 연구결과에 따르면 그러하다. 애플은 운영체제 자체도 보다 빠르게 개선시킨다. 맥오에스텐 데스크톱과 서버 제품군(아이폰은 포함시키지 않았다)은 66번의 업데이트를 하였고, 윈도 데스크톱과 서버 제품군은 6년동안 7번의 서비스팩을 출시하였다. '오류의 일반 공개에 맞춰서, 패치를 더 빠르게, 많이 하는'이를 완전히 비트는 언론도 여전했다.

선정적인 헤드라인으로 뒤덮인 언론, 그리고 보다 복잡한 현실보다, 듣고 싶어하는 것만 듣고 즐기는 우중들에게 있어서, CanSecWest는 조커로 작용한다. 그러나 우리들은 고려할 만한 사실을 더 많이 알고 있다.

맥 보안에 대한 공격. 어디까지 진실일까

What do you think? I really like to hear from readers. Comment in the Forum or email me with your ideas.

Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Submit to Reddit or Slashdot, or consider making a small donation supporting this site. Thanks!

Mac Shot First: 10 Reasons Why CanSecWest Targets Apple

casaubon · 2008-04-11, 10:04 AM

CanSecWest: Countering Misinformation
posted by Thom Holwerda on Sun 30th Mar 2008 20:35

이제는 모두들 아실 텐데, CanSecWest 컨퍼런스는 PWN to OWN 콘테스트를 위한 무대였다. 각기 윈도 비스타와 유분투 리눅스, 맥오에스텐을 운영하는 세 대의 노트북을 갖다 놓고, 각 컴퓨터를 해킹하고, 0-day code execution vulnerability를 사용하여 각 머신에 있는 파일 콘텐트를 읽어들이는 것이 목표였다. 첫 번째 날은 물리적 접속 없이, 네트워크 상의 머신공격만 가능했다. 두 번째 날은 사용자 인터렉션(웹사이트 방문이나 이메일 개봉)이 허용됐다. 세 번째, 마지막 날은 써드파티 애플리케이션이 추가되었다. 1등에게는 각 머신마다 동일한 상금이 부여되었다. 여러분이 아시다시피 맥이 두 번째 날, 첫 번째로 해킹되었다. 사용자가 웹사이트를 방문해야했고, 그 때 해킹이 이루어졌다. 비스타는 어도비 Flash 안에 있는 보안 구멍을 사용하여 해킹이 되었고, 유분투 머신은 전혀 해킹이 안 되었다.

--------------------------------------------------------------------------------

"Countering misinformation, 1/2"

이 콘테스트는 당연히 인터넷의 관심을 끌어모았다. OSNews도 이 콘테스트에 전적인 관심을 기울였다. OSNews에서는 필자가 OSNews 기사로서, 제한된 지면에 구체적인 사항을 모두 집어 넣기 위해 노력하였다. 그런데 오늘 아침, 누군가가 Roughly Drafted라는 애플-위주의 웹사이트(상당한 주목을 받는 곳이다)의 기사 링크를 보내왔다. 이곳 역시 이번 콘테스트에 대한 기사를 올렸다. 제목은 "Mac Shot First: 10 Reasons Why CanSecWest Targets Apple"이며, 상당한 사실 오류와 함께, 잘못된 정보가 다른 형태로 들어 있었다. 이에 필자는 대응할 필요를 느꼈다.

동 기사에서 쓴 10가지 이유를 각각 손대 보겠다. 순서는 원 기사의 순서를 따른다.

1. 맥에서 발견된 침투경로는 CanSecWest와 같은 콘테스트 외에는 거의 가치가 없다.

이 기사에 올라온 10가지 이유중에 제일 현실감 있는 이유이다. 사실 합리적인 이유이기도 하다. 실제로 맥용 침입 경로를 판매할 만한 시장은 (그의 시점에서) 거의 존재하지 않는다. 악성 소프트웨어 저작자들이 사용하기에 애플 사용자 기반이 극히 적어서이다. 그 뿐이다. 복잡한 이유를 댈 것 없다. 악성 소프트웨어 저작자들은 쉽게 돈을 벌려 하며, 90% 쪽 시장을 위주로 하는 편이 5%보다야 훨씬 합리적이다.

그러나 그렇다고 해서, 콘테스트 승자가 발견한 침입로하고는 별 관계가 없는 것 또한 사실이다. 보안 구멍은 보안 구멍이되, 고쳐야 할 보안 구멍이다. 침입 경로에 대한 구체적인 사항은 애플에게 전달됐으며, 공개가 되진 않았다. 애플이 이를 해결할 것이다. 따라서 이 침입이 맥오에스텐의 실질 보안에는 거의 영향을 끼치지 못할 것이다. 물론 이론상 존재하는 보안 문제라 해서 무시해도 된다는 말은 아니다. 주목해야 한다.

2. CanSecWest 콘테스트는 윈도보다, 다른 플랫폼의 보안 문제에 초점을 두려는 의도가 역력하다.

필자가 "검정 헬리콥터"라 즐겨 부르는 것이 있다. 일반적으로는 음모론이라 불린다. Roughly Drafted는 CanSecWest 컨퍼런스(혹은 콘테스트) 운영자들이 어느 정도 반-애플, 친-마이크로소프트라는 이미지를 주려 노력한다. 하지만 실제로 그렇다는 증거는 없다. 마이크로소프트의 "Get the facts"라는 대실패 광고가 마치 전혀 상관이 없다는 듯이 밝히는지 확신 못하겠다.

Roughly Drafted는 CanSecWest는 맥이 윈도보다 보안이 덜하다고 발표하였다는듯한 이미지를 주려 노력하기도 하였다. 호기심나는 방식이다. 승자를 발표한 오리지날 발표문을 보시라. 그러면 그런 주장을 한 적이 없다는 점을 알 수 있다. 동 콘테스트의 마지막 발표 기사 또한 그런 주장을 하지 않았다. 달리 말해서, Roughly Drafted는 CanSecWest의 신뢰성을 떨어뜨리기 위해 잘못된 정보를 뿌리고 있다.

3. 콘테스트는 일단 맥북 에어라는 브랜드 이름에 관심을 집중시켰다.

Roughly Drafted는 맥북 에어 이름만 명시됐으며, 다른 노트북은 브랜드 이름 외에 알려진 바가 없다 주장하였다. Roughly Drafted에 따르면, 제일 선정적인 헤드라인이라고 한다. 다시 말하지만 이 역시 잘못된 정보다. 콘테스트 규칙 페이지를 가면 브랜드와 사용한 노트북의 사양이 나온다. ("VAIO VGN-TZ37CN running Ubuntu 7.10, Fujitsu U810 running Vista Ultimate SP1, MacBook Air running OSX 10.5.2").

4. 맥 침입은 찰리 밀러가 들어올 때 이미 해 두었던 무언가였다.

좀 당혹해 한 주장이다. 당연히 밀러 마음 속에는 방법이 있었을 터이다! 즉, 관계 없는 주장이다. 상금을 타기 위해, 비스타나 유분투 노트북 해킹을 하려 들어간 이들도 똑같은 생각을 가질 것 아니겠는가. 그것이 이번 콘테스트의 목표이다. 새롭고 알려지지 않은 침입로를 찾고, 실질 피해가 일어나기 전에, 관련 업체가 찾아 고치는 것이다.

하다못해 스쿼시 게임이라도 참여한다면, 실제로 경기를 하기 전에, 적에 대해 공부하고, 연습이라도 해야 하잖겠는가?

5. 비스타 머신 크랙을 한 연구자는, SP1 설치가 되었는지를 기대하지 못했다. IDG, 로버트 맥밀란(Robert McMillan)의 기사에 따르면, 그 사실을 몰라서 그는 허둥댔다.

윈도 비스타의 첫 번째 서비스팩(SP1)은 올해 3월 18일에 나왔다. 콘테스트 규칙은 노트북이 "제일 최근의 업데이트와 패치가 설치되어 있음"을 명시하고 있다. 세 운영체제 모두 말이다. 비스타 머신을 크랙한 연구자가 SP1을 보고 놀란다면, 그는 아마 규칙을 제대로 읽지 않았거나, 뉴스를 안 봤을 것이다.

Roughly Drafted는 비스타 노트북이 비스타를 사용하는 사용자들의 실제 규모를 반영시키지 않았다고 말한다. 도대체 포인트를 어째서 꺾을까? 비스타 SP1이 나온 며칠 뒤, 전체적인 보안 픽스와 함께 Safari 3.1이 나왔다. 2007년에 쓰이는 사파리를 반영하지 못했으니, 제외시키기라도 해야 했을까?

기본적으로 이런 테스트나 시합의 기본 사양은 최신 버전에 완전한 업데이트와 패치이다. 모든 플랫폼에 동일하게 적용시킨다. 콘테스트 참여자 모두는 이 점을 알 수 있다.

"Countering misinformation, 2/2"

6. 밀러는 사파리에 관련이 있는 무언가를 해킹했다 보도하였지만, 그 구체적인 방법은 공개가 안 되었다

Safari는 맥오에스텐의 기본 일부이다. 말하자면, 주된 공격 목표이다. 유분투의 파이어폭스, 비스타의 인터넷 익스플로러 7과 마찬가지이다. 제일 약한 부분이라 하더라도, 사슬은 사슬이다. 그리고 그 제일 약한 부분이 브라우저라면, 운영체제 역시 불안하다는 의미다. 원격 코드실행과 권한 확장이 있었으며, 이것이 커널에서인지, 혹은 사파리, 혹은 폴더 아이콘의 56번째 픽셀이나 15번째 행에서 일어났는지는 관계가 없다. 윈도 XP에 대한 큰 보안 위협 다수는 인터넷 익스플로러나 아웃룩 익스프레스와 관련이 있다. 익스플로러와 관계 있다고 해서 윈도와 상관이 없는가?

기사의 업데이트 부분을 보면, Roughly Drafted는 존 그루버(John Gruber)가 WebKit의 자바스크립트 엔진이 사용하는 라이브러리를 활용했으리고 한 주장을 실어 놓았다. "즉, 이번 콘테스트는 오픈소스 개발 프로젝트를 며칠 정도 밀러가 앞서나갈 수 있다는 점을 보여준 것에 불과하다는 얘기다. 맥과 윈도, 리눅스 간의 플랫폼 보안 문제와는 큰 상관이 없다는 의미이기도 하다." 다시 말하건데, 약한 부분과 사슬을 생각해 보시라. 자기 운영체제에 포함시키기로 결정한 당사자는 애플이다. 애플의 책임이다. 원 개발자들로부터 나온 패치를 빠르게 통합시켜야 할 곳도 애플이다. 애플이 이것을 못맞춰주면, 그것은 애플의 잘못이다.

7. "리눅스를 크랙할 수 있는 참가자들은 콘테스트를 이기기 위해 필요한 침입 코드 개발을 하고싶어하지 않았다."

Roughly Drafted의 말을 인용한다. "왜일까? 리눅스가 해킹하기 쉽다는 사실을 증명할 정치적인 동기가 부족해서가 아닐까? 1만 달러를 받을 수 있다고 해서, 자기의 취약점을 1만 달러에 팔고싶어하지 않았다는 의미이기도 하다."

처음으로 모순되는 말을 하고 있다. Roughly Drafted는 맥 침입로가 안쓰이는 이유는 맥 사용자 기반이 너무나 적어서라 해놓고서, 맥의 가정용 운영체제 기반은 현금 받고 팔기에 더욱 더 적어서이리라고 주장한다. 유분투를 끌어내리기도 전에, 자기 스스로가 너무나 모순되고 있다.

하지만 7번 이유의 제일 큰 문제가 이것은 아니다. 원래의 IDG 기사를 잘못인용한 문제가 제일 크다. 원래 기사는 실제로 이렇게 쓰여 있다.

"TippingPoint의 보안책임 관리자인 테리 포슬롭(Terri Forslof)에 따르면, 리눅스 크랙을 하려 노력하였지만, 참가자 누구도 해낼 수가 없었다고 한다. 그녀의 말이다. '잘 안됐다는 점이 놀랍더군요.' 그녀에 따르면, 400명의 참가자들 중 일부가 리눅스 운영체제의 버그를 발견하긴 했지만, 콘테스트를 이기려고 침입용 코드를 제작하고 싶어하지 않은 이들이 다수였다고 한다."

정치적인 동기는 전혀 없다. 침입로 판매 건도 없다. 전혀 없다. 분명히 쓰여 있는 내용은 유분투 버그를 발견한 일부(several)의 참가자들이며, 그들이 침입 코드 제작을 하고싶어하지 않았다는 점 뿐이다. 이런 주장을 갖고, 별다른 근거나 인터뷰 없이 저런 이유를 만들어낸다.

8. 침입점이나 취약성은 "맥과 윈도, 리눅스" 고유의 침입지점이나 취약성이 아니다. 오히려 크로스 플랫폼적인 위협이다.

이 이유는 상당히 합리적이다. 하지만 사실의 맥락과는 완전히 동떨어진다. 윈도 비스타는 WebKit을 내장시키지 않는다. 유분투도 마찬가지다. 맥오에스텐만은 내장한다. 따라서 이 침입로는 전혀 크로스-플랫폼이 아니다. 윈도용 사파리, 혹은 유분투용 Konqueror를 설치해야 크로스 플랫폼이 될지도 모른다. 두 번째 날 콘테스트 규칙을 보면, 기본 설치만 사용하도록 되어 있다. 분명하다. 이 규칙과도 부합되지 않는 이유다. (세 번째 날은 써드파티 애플리케이션이 허용되었다.)

설사 크로스-플랫폼이라 하더라도, 저 이유를 그대로 받아들이기는 너무 약하다. "남들도 똑같다!"는 식의 억지춘향이기 때문이다. 원래 부모로부터 뭔가를 더 얻기 위해 아이들이 자주 벌이는 짓이다. 쟤는 과자 두 개에 우유인데, 전 과자가 하나 뿐이에요. 나도 두 개 먹어야겠어요. 쟤도 두 개 먹으니까요! 윈도ㅔ 침입로가 존재한다는 사실이 맥오에스텐의 책임을 없애주지 못한다는 의미다. 다른 운영체제도 마찬가지다. 침입로가 여러분 플랫폼에 있으면, 있는 것이다.

9. 밀러는 애플 플랫폼 보안을 깎아내리기 위해 평생을 노력해왔다고 자타가 계속 주장해왔다. 현재 그러한 노력과 시도가 돈이 될 만한 시장은 CanSecWest 뿐이다.

Roughly Drafted는 밀러가 사용한 침입로가 아웃데이트된 FOSS 코드라고 한다. 즉, "맥오에스텐과 윈도, 리눅스에 대한 지식과 식견, 동기보다 더 많은 사실을 알려준다"고 한다. 밀러가 손쉽게 한 이유는 그가 보안 전문가이면서, "자기 침입로를 스패머들에게 파매해온 동료, 별다른 동기가 없는 동료와 함께, FOSS의 이미지를 나쁘게만드는 데에 흥미가 없는 리눅스 전문가들"과 싸워야 했기 때문이란다.

리눅스 쪽 사람들 얘기부터 해 보자. 리눅스 개발자들은 언제나 FOSS 이미지를 흐려왔다. 커널 버그 데이터베이스를 열어본 다음에, 커널 메일링 리스트를 따라가 보시라. 유분투의 LaunchPad, GNOME의 Bugzilla를 볼 수 있다. 이들이 FOSS 이미지를 정말로, 정말로 망치고 있다. 계속 버그와 보안 위협을 보고하기 때문이다. 더해서 필자는 2만 달러나 1만 달러, 5천 달러에 관심이 없는 리눅스 전문가들이 상당수 존재한다는 말을 믿기 힘들다.

윈도 쪽 사람들 얘기를 해 보자. 콘테스트 전개 과정은 Roughly Drafted 생각과 사못 달랐다. 스패머들에게 고가로 팔 침입로를 찾아내기에 정신이 없었다고 말하는데, 그렇다면 이들이 비스타를 어째서 세 번째 날에 해킹하였을까? 세 번째 날 상금은 5000달러에 불과했다. 그것도 모든 머신에 설치된 Flash를 이용한 침입이었다. 수많은 윈도에 설치되어 있는 Flash의 거대한 보안 구멍 이야기이다. Roughly Drafted 말을 따르자면, 확실히 돈 가치가 있는 구멍이다. 하지만 윈도 쪽 사람들은 5000달러만 받기로 결정내렸다.

10. 애플이 오픈소스를 사용하기에, 밀러와 같은 연구자들이 침입로를 발견하기 더 쉬워졌다.

사실이 아니다. 밀러와 같은 연구자들은 오픈소스 소프트웨어를 통해 침입로를 발견할 수 있지만, 그 이유는 오픈소스 소프트웨어의 개방성 그 자체때문이 아니다. 애플이 오픈소스 소프트웨어 프로젝트의 최신 패치를 게을리 해서다. 설사 Roughly Drafted의 말이 맞다 하더라도, 애플은 패치를 내놓기 전에, 수 많은 테스트를 해야 한다. 알려진 공격로가 계속 열려있으리라는 의미다. 즉, 맥오에스텐의 보안이 더 불안해진다는 얘기이기도 하다. 밀러와 같은 영리한 사람들이 큰 상금을 받을 기회이기도 하지만 말이다.

애플이 오픈소스 소프트웨어를 통합시킨 이유는, 그 만큼 소요 인력을 줄일 수 있기 때문이다. 즉, 비용절감이라는 합리적 이유때문이라는 의미다. 그러나 이 또한 애플에게 새로운 문제를 야기할 수 있다. 그 중 하나가 보안 문제다. 이런 구조적인 보안 문제는 애플의 통제 밖에 있다. 윈도에서 발견되는 보안 침입로보다 덜 심각하다거나, 관계가 별로 없다는 의미가 아니다.

Conclusion

필자가 이 반박글을 쓰기로 한 이유는 애플을 떨어뜨리기 위해서가 아니다. 필자가 교회나 마이크로소프트로부터 봉급을 받아서도 아니다. 필자가 이 글을 쓴 이유는 잘못된 정보가 걷잡을 수 없이 퍼지기 때문이다. 이는 CanSecWest와 조직위원들의 신뢰도를 공격할 만한, 도를 넘는 일이다. Roughly Drafted와 같은 웹사이트들이 미리 만들어준 것처럼, 애플도 'Get the facts' 광고 캠페인을 할 필요까지는 없다.

보통 필자는 이런 류의 기사를 무시하지만, 쉽게 반박할 수 있는 잘못된 정보일 경우, 반박해야 할 필요성을 느낀다. 더군다나 Roughly Drafted를 여러 맥-위주의 커뮤니티들이 좋은 소스로 인용하는 광경을 보면 더욱 더 그러하다. 필자를 믿어달라. 이런 기사는 Roughly Drafted에 올라오는 여러 가지 잘못된 정보로 점철된 기사의 한 종류일 뿐이다.

여러분 입맛껏 다루시면 되겠다.

--------------------------------------------------------------------------------
If you would like to see your thoughts or experiences with technology published, please consider writing an article for OSNews.

( Original story URL at CanSecWest: Countering Misinformation )

© 2007 OSNews LLC 1997-2008. All Rights Reserved. OSNews and the OSNews logo are trademarks of OSNews.
All trademarks, icons, and logos shown or mentioned in this web site are the property of their respective owners.
Reproduction of OSNews stories is permitted only with explicit authorization from OSNews. Reproductions must be properly credited.

eric-144 · 2008-04-11, 11:56 PM

정말 잘읽었읍니다.
휴! 정말.. 꿈 꾼사람 보다 해몽하는 사람들이 더 무서워서..
어디까지가 진실이고 누가 더 사실에 가까울까요?
확실한건 완벽이란 없겠죠?
기사 나오고.. 패치 업된듯 하던데요.. 어제 업한거 같은 기억이..
사실이 뭐라고 해도.. 왜 그렇게 비스타는 정이 안가는지..참나..

campari · 2008-04-13, 09:24 PM

아직 보안 업데이트 나오지 않았지 않나요?
비스타는 저번주에 10여개나 뜨면서 패치가 되었다던데...

casaubon · 2008-04-15, 09:56 AM

Thom Holwerda of OSNews Calls “Mac Shot First” Misinformation and Slander. Oops!
March 31st, 2008 | Journal, Markets, Software, Tech, the Media

Daniel Eran Dilger

"맥을 먼저 공격한 10가지 이유" 기사에 대응하여, OSNews의 홀워다(Thom Holwerda)가 "CanSecWest: 잘못된 정보에 맞선다"라는 반박글을 올렸다. 그는 필자의 기사가 "잘못된 정보가 걷잡을 수 없이" 퍼뜨린다 하였다. 하지만 그는 필자가 제기한 주안점 중 아무 것도 해명을 하지 못하였으며, 오히려 필자가 제기한 여러 가지 사실을 수정하기보다는, 필자를 더럽히려는 의도마저 무색해져버렸다. 그는 틀렸다. 왜인지 알아보자.

CanSecWest: 잘못된 정보에 맞선다
맥을 먼저 공격한 10가지 이유

홀워타가 무엇을 왜곡했는지 알아보기 전에, 블로거와 거대언론의 선정성 보도를 촉발시킨 CanSecWest 이벤트에 대해 OSNews에 그가 어떤 기사를 썼는지를 보자. 그는 심지어 Swiss Federal Institute of Technology의 0-데이 연구보고서도 한데 묶으려 노력했었다.

맥 보안에 대한 공격. 어디까지 진실일까

OSNews가 어째서 필자를 두고 중상모략을 벌였을까? 다음 글은 훨워다가 어떤 실수를 저지르고, 어떤 주장을 잘못했는지를 알아본다. 또한 동의하지 않을 때 어떻게 해야 효율적으로 할 수 있는지 윤곽을 그려주고, 논리 오류로 빠지기가 얼마나 쉬운지도 보여준다.

How to Disagree
Fallacy - Wikipedia

OSNews: Please Issue a Correction.

안녕하세요, 하월다씨.

필자가 RoughlyDrafted의 기사를 씁니다. "CanSecWest: 잘못된 정보에 맞선다"란 글에서 당신은 제가 이번 콘테스트를 잘못 이해하고 있으며, 근거 없이 중상모략했다고 했습니다. 문제는 당신이 필자의 글과 필자에 대해 제대로 되씹지 않았다는 데에 있으며, 제 글의 주안점을 이해하지 않는 듯 보인다는 데에 있습

2008-04-11, 09:59 AM	#1
casaubon Moderator Registered: Sep 2001 My Mac: MacBook Air Posts: 2,106 오프라인	맥 보안에 대한 공격. 어디까지 진실일까 CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security March 28th, 2008 \| Markets, Mobiles, Software, Tech, the Media Daniel Eran Dilger 선정적인 오보를 일삼는 언론에 맞춰주기 위해, 별로 상관 없어 보이는 두 그룹이 실제 보안이 마이크로소프트 윈도보다 더 낫다는 맥오에스텐의 명성을 공격하기 시작했다. 이 콘테스트는 부분적으로 마이크로소프트의 후원을 받는 CanSecWest Applied Security Conference에서 열렸으며, 소니나 후지쯔 노트북보다 맥북에어가 더 빠르게 해킹당했다고 주장한다. 그런데 수 만 마일 떨어진 Swiss Federal Institute of Technology에서도 Vulnerability Numerology를 통해, 애플 운영체제가 윈도에 비해 즉각적으로 하는 취약성 패치가 더 적다고 천명했다. 하지만 금세 유명해진 이 두 기사의 전제가 틀렸다. 왜일지 알아보자. Charlie Miller Cracks a Mac in Two Minutes at CanSecWest. 지난 해, CanSecWest 이벤트에서 보안 견구자, 조바이(Dino Dai Zovi)는 자동으로 오염된 웹사이트에 접속하도록 만든 사용자를 설정받고 나서야, 맥의 파일을 접근할 수 있었다. 올해 콘테스트의 승자는 그의 사업 파트너인 찰리 밀러(Charlie Miller)로서, 2분만에 노트북을 뚫었다고 전해진다. 그런데 조바이와 밀러 둘 다 첫 번째 날은 시스템에 접근하지 못 하였다. 첫 번째 날은 네트워크를 통산 직접적인 공격만이 허용됐었다. 하지만 두 번째 날은 이 원칙이 누그러졌고, 그 때문에 승자가 재빠르게 가려졌다. 이메일을 보내서, 사용자가 자동적으로 이 이메일을 통해 미리 설정시켜 놓은 웹서버로 링크해 들어가도록 하였던 것이다. 덕분에 빠르게 접속이 가능해졌지만, 이것만으로 헐리우드가 갖고 있는 "해커"라는 이미지에 딱 들어맞았다. 헐리우드의 해커는 키보드만 좀 두들기다보면 즉각적으로 "메인프레임"에 접속한다. 그것도 정해진 시간 안에 말이다. 자, 보다 영리한 질문을 던져 보자. 어째서 맥이 먼저 해킹당했고, 이 공격은 어째서 그렇게 빨리 이루어졌는가? 마이크로소프트가 후원하는 이벤트에서 윈도를 먼저 공격할리 없잖은가라는 정치적인 이유가 제일 쉽겠다. 게다가 실제로 그렇게 해 봤자 뉴스거리도 못된다. 공격 속도는 밀러같은 보안 연구자들의 장사와 관련이 있다. 그는 윈도-기반 시스템만큼이나 맥(그리고 아이폰)도 침입해 들어가기가 쉽다는 점을 지속적으로 분명히 밝혀왔다. 그 점에 대해서는 잠시 후에 설명하겠다. 현실에서 윈도가 수 많은 바이러스로 시달린다는 말은, 전혀 새로울 것이 없는 사실이다. 바이러스만이 아니다. 스팸이나 광고용 보트넷에서 나오는 악성 소프트웨어에 따른 전염도 상당하다. 반면 맥 시스템에는 바이러스가 없으며, 실제적으로 악성 소프트웨어나 스파이웨어, 보트넷 문제가 없다. 그러나 전문가와 연구자들, 보안 제품 영업사원들은 끊임 없이, 맥이 심각한 보안 문제를 안고있을뿐만 아니라, 윈도 PC보다 훨씬 취약성이 많기때문에 시달릴 수 있다 주장해왔다. 어떻게 이런 모순적인 개념을 조화시킬 수 있을까? Gone in 2 minutes: Mac gets hacked first in contest - Yahoo! News InfoWorld Publishes False Report on Mac Security Attacking the iPhone. 밀러는 자신의 보안전문가라는 명성을 위해 열심히 노력해왔다. 보안전문가의 의미는, 눈에 띌 만한 목표를 정해서, 고도의 공격을 발견해낼 만한 능력을 보여준다는 것이다. 지난 해, 밀러는 오픈소스 Perl Compatible Regular Expression Library 소프트웨어와 관련 있는, 아이폰 취약성에 대해 묘사한 적이 있다. 이 취약성이 바로 jailbreak와 관련이 있다. 애플의 보안 장벽을 우회하여, 아이폰에 원하는 소프트웨어를 설치할 수 있게 해 주는 것이 바로 jailbreak다. 하지만 이 의미는, 전염된 사이트에 스스로 접속하게끔 하는 악성 소프트웨어를 사용자가 스스로 패치가 안 된 아이폰에 설치할 수도 있다는 잠재성을 갖는다. 그러나 아이폰 보안에 대한 그의 공격은 밀러의 악명만 높여줬을 뿐이다. 그렇게 기사가 나왔음에도 불구하고, 악성 소프트웨어 업계는 수 백만 대의 아이폰을 향해 공격하지 않았다. 어째서일까? 일단 위의 PCREL은 결국 패치가 됐다는 점을 알려드린다. 취약점이 공개된 지 불과 수 주일만에 일어난 패치였다. 악성 소프트웨어 저작자들은 아이폰 공격을 하려다가도, 금세 다시 머리를 짜야 한다는 의미다. 그것도 계속 말이다. jailbreak 커뮤니티도 계속 재작업을 해왔다. 악성도 아닌, 다만 지원을 못받는 애플리케이션 설치를 위해서 말이다. 지원받지 못하는 애플리케이션 설치를 유지하기 위한 작업만 하더라도 몇 달이 걸렸다. 아이폰의 보안 장벽을 공격하는 식으로, 아이폰에 이런 애플리케이션을 설치하는 방법을 유지해왔다. 스파이웨어와 스팸 업계가 똑같은 툴로 아이폰을 어째서 공격하지 않을까? 필자가 앞서 지적했듯, 아이폰은 악성 소프트웨어 업자들의 좋은 목표감이 되지 못한다. 그 이유는 이러하다. 보트넷 스패밍까지 돌릴 정도로 사용 기반이 아직은 그리 크지 못하다. 네트워크 업링크 속도가 너무 느려서(혹은 간헐적이어서) 스팸에 적당하지 않다. 널리 개방된 윈도와는 달리, 아이폰은 폐쇄형이기 때문에, 공개적인 침입도 재빠르게 막을 수 있다. 아이폰 소프트웨어 업데이트는 PC 업데이트에 비해 훨씬 전달하기가 쉽다. PC와는 달리, 아이폰을 아이튠스에 연결시켜 놓고, 복구만 클릭하면, 아이폰은 즉각적으로 청소가 된다. 따라서, 아이폰 보안 문제를 찰리 밀러가 그렇게 많이 제기했음에도 불구하고, 아이폰을 실제로 노리고 한 보안 공격은 없었다. 심지어 아이폰용 바이러스가 실제로 출현한다 하더라도, 복구가 쉽고 빠르기 때문에, 피해는 제한적일 수밖에 없다. 밀러는 그동안 아이폰의 심각한 오류에 대해 꾸준히 지적해왔지만, 그런 이류와 실제 사용자들에게 중요한 위험은 별반 관계가 없다. 이론상 아이폰은 계속 침입을 당해왔지만, 실질적으로 아이폰은 침입당한 적이 없다. Kim Zetter and the iPhone Root Security Myth UnWired! Rick Farrow, Metasploit, and My iPhone Security Interview About Security Update 2007-007: CVE-ID: CVE-2007-3944 The Theory of Vulnerability. 이 때문에, 아이폰 사용자들에 대한 지속적인 밀러의 경고도 별 소용이 없었다. 맥 사용자들에 대해서도 마찬가지다. 이론상의 취약점에 대해 실제로 고생하는 맥 사용자는 없다. 그러나 윈도 열광론자들은 맥 시장에서 악성 소프트웨어가 없는 이유는, 단지 맥 시장이 윈도에 비해 점유율이 낮아서일 뿐이라 계속 주장하기를 즐겨한다. 이 아이디어는 틀리기도 하고, 너무나 단순하기도 하다. 우선, 맥 시장점유율은 특정 시장에서 지속적으로 증가해왔다. 실제로 취약성을 활용할 만한 세력이 있다면, 활용해 볼 만한 정도에까지 말이다. 그랬다면 정말 문제가 심각했을 것이다. 전 PC 데스크톱과 웍스테이션, 서버에 비한 세계시장점유율은 분명 낮지만, 미국 내 애플은 판매되는 컴퓨터의 8%를 넘겼다. 더구나 애플은 기업 시장 점유율이 낮다. 즉, 미국 시장점유율 8%를 고려할 때, 가정과 소규모 사무실, 교육시장의 애플 점유율은 10~20% 정도 될 것이다. 그러나 맥용 악성 소프트웨어는 여전히 보이지 않는다. 맥은 걱정해야 할 악성 소프트웨어가 실질적으로 없으며, 안티-바이러스 프로그램을 돌리는 이들도 극소수다. 스파이웨어 클린이 있어야 할 이유가 없으며, 복구 유틸리티도 마찬가지다. 맥은 윈도 문제의 1/10만큼을 갖고 있지 않다. 실질적으로 걱정해야 할 보안 문제가 전혀 없다. 게다가 전문가들의 논리에 한 가지 더 결함이 있다. 애플이 제일 강세를 보이는 시장이야말로 악성 소프트웨어가 제일 판치는 시장이다. 누가 전문 방화벽을 깨려 시도하는가? 누가 스파이웨어를 만드는가? 맥 사용자들로부터 돈을 빼앗기가 더 쉬웠다면, 분명 맥도 스파이웨어나 명의도용의 표적이 되었을 것이다. 애플의 기존 시장기반 또한 악성 소프트웨어 업자들에 대해, 대단히 매력적이다. 그러나 바이러스는 없고, 악성 소프트웨어가 실제로 피해를 일으키는 바도 없다. 이 사실이야말로 시장점유율 문제를 갖고 주장하는 이들의 수치 맹신에 대한 진실을 더 잘 알려준다. 10 FAS: 10 - Apple’s Mac and iPhone Security Crisis Swiss Swing and a Miss. Swiss Federal Institute of Technology의 보고서를 살펴보자. 애플 증오자인 CNET의 조지 우(George Ou)와 같은 이들도 여기에 장단을 맞추고 있다. 스위스의 저 그룹은, 결함이 공개됐을 때의 바로 그 날, 지난 6년간 애플과 마이크로소프트가 얼마나 자주 패치를 해왔냐를 따졌다. IDG의 기사에 따르면, 그들은 이것을 0-day patch rate라 부른다. 그들의 결론은 다음과 같다. "취약성에 대해 패치를 안한 횟수는 애플이 더 높다." 덕분에 IDG 기사의 저자는 기괴한 부정으로 글을 선정적으로 만들었다. "그동안 마이크로소프트는 보안에 대해 더 많은 관심을 기울여왔다. 동 결과는 그 점을 확인시켜준다 하겠다. [마이크로소프트 보안연구부 부장인] 앤드류 커쉬만(Andrew Cushman)이 [연구 보고서 저자인] 프라이(Frei)에게 물었다. "마이크로소프트가 이 연구를 후원했나요?" 프라이의 답변이다. "본 연구는 독립 학술 연구입니다." IDG는 마이크로소프트가 후원을 안했다는 점을 드러내고 싶었던 모양이다. 왜일까? 마이크로소프트 직원이 어째서 자기 회사가 그런 연구 보고서를 후원했으리라 생각했을까? 마이크로소프트의 마케팅 목표에 따른 "연구"를 후원하는 회사로서, 마이크로소프트가 매우 잘 알려졌기 때문이다. 그러나 이 보고서가 후원이 누구냐를 따질 정도는 아니다 보고서 자체가 무책임한 쓰레기이기 때문이다. Vista vs Mac OS X Security: Why George Ou’s ZDNet Vulnerability Numerology is Absurd security.itworld.com - Microsoft vs. Apple: Who patches 0-days faster? PdfMeNot.com - 0-Day Patch Study Why the Swiss Study was Fatally Flawed. 이 보고서가 완전히 쓸모 없는 주된 이유는, 별로 관계 없는 플랫폼끼리 "제로-데이" 패치 횟수를 비교했기 때문이다. 이것이 왜 오류인지 세 가지 이유가 있다. 다시 말하건데 "제로-데이" 패치란, 오류가 공개화되었을 때, 그 날 바로 단행하는 패치를 일컫는다. 사실 공개화되기 이전에 이미 수정이 일어나는 이론상의 침입이 많다. 물론 패치가 되기 전에 수 주일, 심지어 수 년이 걸리는 오류도 있다. "무지에 따른 보안"이라는 커튼 뒤에 숨는 것보다, 패치가 안 된 오류가 더 심각하게 들리긴 하다. 그러나 패치는 고사하고, 공개되기도 전에, 악성 소프트웨어 저작자가 발견하여 팔아치우는 오류도 많다. 즉, 제로-데이 패치란, 당사자 기업이 알고 있는 오류일 때에만 이상적이랄 수 있다. 이 보고서는, 드러나지 않았지만 발견은 된 오류를 무시하였다. 사실 그런 오류를 조사해서 규명해내기란 더 어렵다. 그렇다고 해서 덜 위험하지도 않다. 윈도는 그런 오류들로 가득하다. 발견은 됐지만, 공개가 안되고 패치도 안 된 오류들이다. 그러나 맥오에스텐은 그렇지 않다. 바이러스가 없으며, 악성 소프트웨어 문제도 없다. 하지만 이런 사실을 고려하지 않더라도, 제로-데이 패치 보고서를 주의깊게 보면, 세 가지 측면에서 매우 엉터리라는 점을 알 수 있다. 1. 특정 취약성때문에 야기된 상대적인 위협과 그 위협의 범위는 취약성을 수치로 판단하는 이들이 좋아하는 통계에서 사라져 있다. 윈도에 악명 높은 "shatter attack"이라고 있다. 윈도 아키텍쳐의 근본적인 결함을 활용하는 공격으로서, 비스타가 나와서야 드러났다. 이 오류는 단순한 버퍼 오버플로 에러가 아니다. 마이크로소프트는 윈도 NT/2000/XP를 출시할 때, 모든 서비스를 인터랙티브 데스크톱 안에 집어 넣었다. 그리고 이 서비스에게 모두 동일한 높은 권한도 주었다. 이런 허술한 디자인이 2002년 널리 보도되었으나, 여러 가지 이유로 많은 사용자가 쓰지 않는 비스타가 나올 때까지 완전히 드러난 적은 결코 없었다. 윈도 XP와 2008년 이전이 서버 버전은 여전히 이 "shatter attack"에 노출되어 있지만, "연구자"들은 이런 심각한 결함을 단순히 목록상 하나로 셌을 뿐이다. 별로 관계 없는 시스템 간에 취약성이 몇 개, 몇 개인지 세는 것이 얼마나 무책임하고 무식한 방법인지 드러내는 사례이다. 맥오에스텐은 윈도의 서비스 아키텍쳐나 shatter attack 같은 문제를 갖고 있지 않다. 잘 알려지고, 존중받는 유닉스의 이점을 누리기 때문이다. 유닉스는 수 십년 동안 학술단체가 검토, 조사하고 구축해 왔으며, 개별 유틸리티와 소프트웨어 패키지 또한 보통 공개되어 있다. 애플의 코어 OS, 다윈(Darwin)처럼 말이다. 다윈은 맥오에스텐의 기반으로서, Mach/BSD 하이브리드이다. 마이크로소프트의 윈도 커널과 코어 OS 기반은 그런 독립적인 검토와 조사를 비슷하게 하지 못한다. 제로-데이 패치의 수를 세고, 오류가 공개된 때에 나오는 패치가 나온 날짜나 추적한다고 해서, 실제 보안과는 별다른 관련이 없다. 엉뚱한 통계를 분석하는 수고를 하는 셈이다. Mac OS X에서는 풀렸지만 윈도우즈에는 여전한 구조적 오류 다섯 가지 2. 마이크로소프트 운영체제는 완전히 폐쇄형이다. 속이 어떻게 돌아가는지 들여다볼 써드파티 연구자들은 거의 없기에, 패치되기 전에 결함을 쉽사리 발견할 수 없다. 애플 맥오에스텐의 절반도 폐새형 소스이다. 애플 또한 애플 외 누구도 알지 못하는 결함용 패치를 유사하게 출시한다. 차이점은 이렇다. 마이크로소프트가 미지의 오류용 패치를 출시할 때, 언론은 이를 치하한다. 하지만 애플이 패치를 내놓으면, 컴퓨터 전문가들은 얼마나 많으면 패치를 내놓겠냐며 혀를 찬다. 존재하는지 아무도 몰랐던 오류를 수정하는 패치인데도 말이다. 그리고 애플 소프트웨어가 문제가 많아서 패치가 나온다는 식으로 선정적인 기사를 올린다. 상당히 위선적이다. 하지만 애플이 보안 패치를 출시할 때마다 이런 일이 정확히 되풀이된다. 그러나 부정직한 Vulnerability Numerologists처럼, 스스로 작동하는 기괴한 무언가가 있다. 윈도의 오류는 언제나 윈도 커널과 셸, 그리고 핵심 번들 유틸리티 안에서만 발견되는 버그로 치장된다. 인터넷 익스플로러와 Exchange email과 같은 서버 제품군, IIS 웹서비스, 그 외 다른 소프트웨어에서 발견되는 오류는 언제나 제외다. 각 제품군은 고유의 중대한 오류를 갖고 있기에, 충분히 알려야 할 가치가 있다. 하지만 맥오에스텐과 리눅스에 대해서만은 Vulnerability Numerologists는 배포본과 관련 있는 모든 오픈소스 패키지에 보고된 오류를 모조리 다 센다. 여기에는 웹브라우저와 이메일, 웹서버, 그리고 관련있는 모든 라이브러리와 패키지를 포함한다. 물론 마이크로소프트 IIS 오류가 데스크톱 사용자에게 영향을 끼치지는 않잖겠냐는 합리적인 주장을 펼 수도 있겠다. 이 서비스를 사용하는 이들이 극히 드물기 때문이다. 그러나 PHP와 아파치, 삼바, 그 외 맥오에스텐이나 리눅스에 번들되어있는 모든 오픈소스 제품에서 발견된 모든 취약점을 탐욕스레 오류로 구성하는 "연구자"들이다. 이들은 그런 툴을 실제로 어떻게 쓰는지, 실제로 침입에 어떻게 쓰이는지는 관심을 갖지 않는다. 위선과 부정직한 이들이 모든 취약성을 몰아세우는 셈이다. 다른 측면도 있다. CanSecWest 콘테스트 승자인 밀러와 같은 보안 연구자들은 오픈소스 소프트웨어의 오류를 쉽사리 발견하고는, 아무런 보고도 않은 채, CanSecWest와 같은 이벤트 때 맥오에스텐을 수 분 내에 해킹하는 식으로 써먹을 수 있다. 밀러는 콘테스트가 열리고 밀러에게 충분한 접근권을 주기 이전부터, 자기가 무엇을 사용해 침입할지 훤히 알고 있었다. 맥오에스텐이 사용하는 오픈소스 패키지에 있는 오류를 밀러는 훤하게 알고 있었다. 문제는 이것이 실제로 맥에게 보안 문제를 일으키는 것이 아니라, 신중하게 계획된 보안 콘테스트에서만 쓸 만하다는 점이다. 밀러는 오픈소스의 약점에 집중하였지만, 실제로 그러한 개방성은 강점이다. 애플도 맥오에스텐의 모든 패키지 보안 픽스에 커뮤니티의 성과를 반영할 수 있거나 반영한다. 밀러의 공격이 오픈소스가 아닌, 애플을 겨냥한 점을 확신하지만, 그의 방법은 커뮤니티의 개방성을 활용하여 자기 주가만 높인 식이었다. 오픈소스를 욕보인 행위다. 마이크로소프트의 윈도 오류는 숨겨져 있으며, 오픈소프트웨어에서의 오류처럼 잘 알려져있지 않다. 맥오에스텐과 다른 유닉스, 리눅스 배포본을 계속 강력하게 만들어주는 커뮤니티 메커니즘이 아니다. 애플이 맥오에스텐에 있는 오픈소스 패키지를 즉각적으로 업데이트해야 한다는 연구자들의 주장이 많고, 애플의 느린 반응이 위험도를 어느 정도 노출시키는 것도 사실이다. 하지만 강력한 보안이 필요한 전문 사용자들 대다수는 스스로 더 높은 버전의 오픈소스 라이브러리와 패키지를 따로 설치할 수 있는 이들이다. 윈도 사용자들은 그렇지 않다. 오픈소스는 강력하다. 별개의 두 플랫폼 취약성 수를 세며 비교하여 0-데이 통계수치를 내는 방식은 숲 안의 나무를 숲 자체로 볼 수 없다는 점을 증명해준다. 애플의 오픈소스 공격 마이크로소프트의 이길 수 없는 전쟁 3. 스위스 보고서의 세 번째 문제는 "0-데이" 자체에 있다. 지구상에 있는 모든 오픈소스 패키지는 투명성(보안 전문가들에게 널리 개방되어있다)과 함께, 리비전 과정이 문서화되어있다. 애플도 이런 패키지를 맥오에스텐 안에 번들시켜 놓는다. "보안 연구자"들이 널리 알려진 문제 수를 계산해서 애플이 출하중인 것과 비교하는 것은 정말 쉬운 일이다. 마이크로소프트는 윈도 배포판 일부로, 오픈소스 프로젝트를 포함시키지 않기 때문에, 윈도에서 문제를 발견하고 보고하려면, 상당한 작업이 필요하다. 코드 보안과 "불분명에 따른 보안"에도 불구하고, 윈도에서 발견되는 버그는 맥오에스텐이 담고 있는 모든 오픈소스 라이브러리에서 발견되는 버그 수와 유사하다. 문제의 보고서는 이렇게 적고 있다. "마이크로소프트의 취약성은 658가지, 맥오에스텐[그리고 애플이 맥오에스텐에 출하시켜 놓은 오픈소스 프로젝트]은 738가지이다." 애플이 사용하는 오픈 소프트웨어는 애플이 패치를 내놓기 전에 이미 널리 문제를 알린다. 그러니 놀라울 것도 없다. 반면 윈도의 폐쇄형 코드의 오류는 패치되기 이전에 잘 알려지지 않는다. 발견과 보고, 패치의 타이밍을 확실히 하기 위해, 동 보고서는 취약성의 주기에 대해 네 가지 정의를 내린다. 발견시기: 오류를 처음으로 발견한 시기(폐쇄형 소스코드의 경우 내부적으로 발견한 시기) 침입시기: 바이러스나 해커 툴 등이 동 오류를 사용하여 개발될 때 공표시기: 발견된 오류를 대외적으로 발표할 때 패치시기: 해당 업체가 패치로 오류를 해결할 때 0-데이 패치는 오류가 공개된 바로 그 날 패치가 이뤄진 때이다. 벤더가 오류 발견을 스스로 하면 정말 쉬운 일이다. 따라서 0-데이 패치로 따질 때, 마이크로소프트는 엄청나게 유리해진다. 오픈소스로 노출되지 않는 오류이기 때문이다. 하지만 애프은 오픈소스를 사용하기 때문에, 써드파티가 오류를 발견하고, 애플이 공식적인 패치를 내놓기 전에, 이 오류를 발표할 기회가 많다. 스위스 보고서에서 또 한 가지 주목할 점이 있다. 써드파티가 공급한 패치를 인정하기 거부한다는 점이다. 즉, 0-데이 패치 횟수는 오류를 처음으로 발견한 회사가 누구냐를 왜곡하고 있으며, 오픈소스 프로젝트에 들어간 써드파티 패치 자체를 고려하지 않아서, 오픈소스를 다시금 왜곡시킨다. 애플이 공식적으로 패치할 때만 센 셈이다. 달리 보면, 이 보고서는 패치 정보를 사용자들이 효과적으로 활용하는지 여부는 따져보지 않은 채, 오류를 피하는 방법 등에 의한 것으로만 패치를 정의내렸다. 따라서 마이크로소프트가 취약성을 막기 위해, 특정 행위를 사용자보고 하지 말라면서, 자사 웹사이트의 Knowledge Base 글타래에 적어 놓았으면, 이 또한 "패치"로 친다는 의미다. 반대로, 애플이 뭔가 오픈소스 라이브러리를 번들시켰는데, 여기서 발견된 오류를 써드파티가 패치시킬 수 있는 경우, 이것은 패치가 아닌 셈이다. (대표적인 사례가 있다. 아이폰 libtiff 오류이다. 애플이 발표하기 전에, 커뮨티가 먼저 패치해냈다.) 그런데 이것이 다가 아니다. The Colors of Risk. 스위스 보고서는 패치나 취약성 발견 이전 시기에, 위험을 표시하는 방법으로 세 가지 색상을 정의내렸다. 검은색 위험: 발견되고나서, 발표를 하여 일반인들이 해당 문제점을 알게 될 때까지의 시기 회색 위험: 발견되고나서, 패치되기 전, 즉, 문제점을 일반인들이 알긴 하지만, 해결책이 아직 안나온 시기 백색 위험: 패치가 나온 후부터 설치 전, 즉, 일반인들이 패치를 하지만 아직 설치하기 전 시기 이 보고서는 마이크로소프트를 폐쇄형 소스 업체로 추켜세운 뒤, 마이크로소프트의 문제를 모두 다 회색위험에다 놓았다. 하지만 PC 사용자들에게 영향을 끼치는 진짜 문제는 검은색 위험이다. 전혀 모르는 방식으로 공격을 받기 때문이다. 패치가 존재하되, 사용자들이 설치할줄 모르거나, 잘 되지도 못한 패치툴을 애써 설치하지 않으려 하는 백색 위험도 마찬가지로 위험하다. 두 문제 모두 윈도 사용자들에게 상당한 위험을 끼친다. 그러나 스위스 보고서는 오류가 일반에게 알려지고(즉, 발견될 때가 아니고, 공개화된 때를 의미한다), 패치가 언제 이루어지는지만 집중한다. 웃기는 일이다. News Flash: Apple Better At Delivering Software Than Microsoft. 보고서가 분명히 지적하였지만, 수사아게도 IDG가 다루지 않은 내용 또한 존재한다. 애플이 보안 패치 면에서 지난 6년동안 마이크로소프트를 능가해왔다는 사실이다. 애플은 815번의 패치를, 마이크로소프트는 678번의 패치를 하였다. 마이크로소프트가 훨씬 더 거대한 보안 문제를 겪고 있으며, 더 침입할 경로도 많고, 보안 문제 때문에 실제로 겪는 손해도 많다는 점을 간안해도 이러하다. 더군다나 마이크로소프트가 자사의 "기업 고객"들에게 제공한 패치도 여기에 포함되어있다. 마이크로소프트는 패치의 수를 개선시켰지만, 애플은 훨씬 더 빠르게 대응해왔다. 지난 해만 세면, 거의 두 배를 더 많이 하였다. IDG 기업 보고서에는 왜 이 내용이 생략되어 있을까? 마이크로소프트 듣기 좋은 소리가 아니기 때문이다. 스위스 보고서는 양사가 제공하는 운영체제의 메이저 버전 수도 지적한다. 그런데 이 보고서는 애플의 경우, 소매판매되는 버전만을 쳤고, 마이크로소프트의 경우는 서비스팩까지 메이저 리비전으로 쳤다. 메이저 리비전 횟수는 개발비가 많이 들고, 시간에 쫓기는 보안 패치를 더 내놓기 힘들게 한다는 점을 반영한다. 애플은 마이크로소프트보다 엔지니어링 팀도 훨씬 적다. 그럼에도 불구하고, 주요한 업데이트를 더 많이 내놓았다. 이를 폄하하는 것은 어처구니 없는 짓이다. 2002년 이래 양사가 내놓은 주요 업데이트 수를 센다면 애플은 아이폰용 오에스텐 업데이트를 제외시켜도 33번에 이른다. 그러나 마이크로소프트는 7회이다. 또한 윈도 서버 서비스팩도 메이저 업데이트라고 치면서, 맥오에스텐 서버의 출하는 세지도 않았다. 이런 수치까지 모두 감안한다면, 애플은 지난 6년간 66번의 메이저 업데이트를, 마이크로소프트는 7번을 하였다. 이런 것도 0-데이 패치 보고서에 올라가야하지만, 불행히도 그렇지 못하였다. 그렇다면 어째서 스위스 팀은, 맥 사용자들에게 바이러스나 악성 소프트웨어 문제가 전혀 없다는 현실을 어째서 도외시하는 선정적 보고서를 만들었을까? 애플 운영체제가 그리도 침입이 쉽다면, 당연히 문제가 많아야 할 것 아닌가? 윈도 보안은 공격해봤자 별 주목을 못받는다. 맥에 바이러스가 없으며, 윈도 플랫폼에는 현실적인 악성 소프트웨어 문제도 없다고 광고할 때, 애플이 거짓말을 한다는 주장 또한 팔리는 "뉴스"는 못된다. 그러나 진실을 믿고 싶어하지 않는 우중의 편견 조성엔 한 몫 톡톡히 한다. IDG는 애플을 근거 없이 깎아내려서 윈도 팬들의 독자층을 확보하기 원하며, 스위스 팀은 그런 기사를 지원하기 위한 보고서를 꾸며낸다. 두 당사자 모두 완전히 대중을 홀리고 속이는 악명을 얻게 되었다. Ten Myths of Leopard: 10 Leopard is a Vista Knockoff!: 64-bitness How to Prove the Truth Is Wrong. 진실을 반박하는 것 자체야 너무나 쉽다. 하지만 인류는 거짓말쟁이들에게 완전히 취약한 정보 취합 메커니즘을 구축해 놓았다. 선전이나 일삼는 자들은 예전부터 오류를 지집고 들어왔다. 하지만 거짓말을 지속적으로 퍼뜨리면, 결국 양떼는 이 거짓말을 비판 없이 받아들이게 된다. 사례가 있다. 미국 대통령들이 그동안 주장한 연방정부 지출액의 현실을 비교해 보라. 공화당 우파에 따르면, 민주당의 "세금과 지출" 정책이 적자를 키웠으며, 이것이 경제 성장의 발목을 잡고, 생산성을 줄였다고 주장한다. 이 메시지를 수 십년 동안 공화당 위주의 씽크탱크들이 주입시켜왔다. 하지만 실제로 지난 수 십년동안 어느 대통령 시기에 지출액이 실제로 어떠했는지를 보면, 이들의 주장이 완전히 틀렸음을 알 수 있다. Why Windows Enthusiasts Refute the Truth. 보안 문제를 애플이 느리게 대처해서, 맥 또한 "윈도 만큼이나 나쁘다"는 주장은 적어도 2003년 이후로 계속 여러 당사자들이 주장해왔다. 그럴듯한 이유도 아주 많다. 다음과 같다. 밀러와 같은 보안 연구자들은, 취약성 발견에 대해 선정적으로 일을 해야 직업을 유지할 수 있다. 스위스 그룹과 같은 씽크탱크는 선정적인 보고서를 올려야 관심을 끌어모을 수 있다. 명성갖고 먹고 사는 칼럼니스트와 전문가들 또한 통계적으로 오류를 스스로 만들어내서 지실을 외면하고, 마이크로소프트로부터 직접 후원을 받는 단체들은 윈도가 그리 심하게 보안문제를 겪지는 않는다는 보고서를 올린다. 아무튼 윈도는 심각한 보안 오류를 안고 있으며, 앞으로도 겪게 되리라는 사실만은 남아있다. 마이크로소프트가 윈도 비스타에서 개선시킨 보안성은 상당하지만, 여러 사용자 입장에서는 이론상 개선일 뿐이다. 하드웨어 사양때문에 비스타를 사용할 수도 없는 이들이 많으며, "일단 두고보자"는 식의 기업 고객들도 비스타로 업그레이드하고 있지 않다. 이들 역시 지출이나 라이센스를 늘리고 있지 않다. 문제많은 SP1 출시 이후로 더 상황은 안좋아졌다. What Needs To Happen Around Here. 90년대동안 마이크로소프트는 단기적인 이윤만을 좇았다. 그리고 실제상의 보안 문제를 도외시한 채, 운영체제를 허술하게 구축시켜 놓았다. 또한 일찌기 전례가 없는 최악의 보안 문제를 퍼뜨리고서도, 딱히 고쳐야 할 필요성도 느끼지 않았다. 마이크로소프트는 대단히 많은 문제를 일으키고도, 마치 문제가 존재하지 않는 양 행세하고싶어한다. 이 점을 보안 연구자들도 인정해야 한다. 마이크로소프트는 윈도 사용자들을 위해, 스스로 자기 돈을 들여서 보안 문제를 해결해야지, 비스타를 비싼 값에 팔아서 문제를 해결하려한다. 지난 10년동안 커지기만 한 문제점들을 대거 고쳤다고 하는 비스타이다. 하지만 비스타도 그리 잘 돌아가지는 않는다. 거대 언론은 마이크로소프트로부터 받는 막대한 광고수입보다는, 사실을 말해야 하고, 독자들에게 정보를 주어야 한다. 모든 뉴스 기사마다 마이크로소프트에게 충성을 선언하여 광고비를 받는 것이어서는 안된다. 하지만 거대 언론은 필자같은, 좋은 기술과 공정경쟁에 왜곡된 사람의 말을 들어야 할 이유가 없다. 당연하다. 필자는 소비자와 협력업체, 기술 그 자체로 봐서도 전혀 좋지 않은 마이크로소프트의 범죄적인 행위에 반대한다. What do you think? I really like to hear from readers. Comment in the Forum or email me with your ideas. Like reading RoughlyDrafted? Share articles with your friends, link from your blog, and subscribe to my podcast! Submit to Reddit or Slashdot, or consider making a small donation supporting this site. Thanks! CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security __________________ FAQ casaubon 님께서 2008-04-13 07:24 PM 에 수정하셨습니다..

2008-04-11, 10:04 AM	#3
casaubon Moderator Registered: Sep 2001 My Mac: MacBook Air Posts: 2,106 오프라인	CanSecWest: 잘못된 정보에 맞선다 CanSecWest: Countering Misinformation posted by Thom Holwerda on Sun 30th Mar 2008 20:35 이제는 모두들 아실 텐데, CanSecWest 컨퍼런스는 PWN to OWN 콘테스트를 위한 무대였다. 각기 윈도 비스타와 유분투 리눅스, 맥오에스텐을 운영하는 세 대의 노트북을 갖다 놓고, 각 컴퓨터를 해킹하고, 0-day code execution vulnerability를 사용하여 각 머신에 있는 파일 콘텐트를 읽어들이는 것이 목표였다. 첫 번째 날은 물리적 접속 없이, 네트워크 상의 머신공격만 가능했다. 두 번째 날은 사용자 인터렉션(웹사이트 방문이나 이메일 개봉)이 허용됐다. 세 번째, 마지막 날은 써드파티 애플리케이션이 추가되었다. 1등에게는 각 머신마다 동일한 상금이 부여되었다. 여러분이 아시다시피 맥이 두 번째 날, 첫 번째로 해킹되었다. 사용자가 웹사이트를 방문해야했고, 그 때 해킹이 이루어졌다. 비스타는 어도비 Flash 안에 있는 보안 구멍을 사용하여 해킹이 되었고, 유분투 머신은 전혀 해킹이 안 되었다. -------------------------------------------------------------------------------- "Countering misinformation, 1/2" 이 콘테스트는 당연히 인터넷의 관심을 끌어모았다. OSNews도 이 콘테스트에 전적인 관심을 기울였다. OSNews에서는 필자가 OSNews 기사로서, 제한된 지면에 구체적인 사항을 모두 집어 넣기 위해 노력하였다. 그런데 오늘 아침, 누군가가 Roughly Drafted라는 애플-위주의 웹사이트(상당한 주목을 받는 곳이다)의 기사 링크를 보내왔다. 이곳 역시 이번 콘테스트에 대한 기사를 올렸다. 제목은 "Mac Shot First: 10 Reasons Why CanSecWest Targets Apple"이며, 상당한 사실 오류와 함께, 잘못된 정보가 다른 형태로 들어 있었다. 이에 필자는 대응할 필요를 느꼈다. 동 기사에서 쓴 10가지 이유를 각각 손대 보겠다. 순서는 원 기사의 순서를 따른다. 1. 맥에서 발견된 침투경로는 CanSecWest와 같은 콘테스트 외에는 거의 가치가 없다. 이 기사에 올라온 10가지 이유중에 제일 현실감 있는 이유이다. 사실 합리적인 이유이기도 하다. 실제로 맥용 침입 경로를 판매할 만한 시장은 (그의 시점에서) 거의 존재하지 않는다. 악성 소프트웨어 저작자들이 사용하기에 애플 사용자 기반이 극히 적어서이다. 그 뿐이다. 복잡한 이유를 댈 것 없다. 악성 소프트웨어 저작자들은 쉽게 돈을 벌려 하며, 90% 쪽 시장을 위주로 하는 편이 5%보다야 훨씬 합리적이다. 그러나 그렇다고 해서, 콘테스트 승자가 발견한 침입로하고는 별 관계가 없는 것 또한 사실이다. 보안 구멍은 보안 구멍이되, 고쳐야 할 보안 구멍이다. 침입 경로에 대한 구체적인 사항은 애플에게 전달됐으며, 공개가 되진 않았다. 애플이 이를 해결할 것이다. 따라서 이 침입이 맥오에스텐의 실질 보안에는 거의 영향을 끼치지 못할 것이다. 물론 이론상 존재하는 보안 문제라 해서 무시해도 된다는 말은 아니다. 주목해야 한다. 2. CanSecWest 콘테스트는 윈도보다, 다른 플랫폼의 보안 문제에 초점을 두려는 의도가 역력하다. 필자가 "검정 헬리콥터"라 즐겨 부르는 것이 있다. 일반적으로는 음모론이라 불린다. Roughly Drafted는 CanSecWest 컨퍼런스(혹은 콘테스트) 운영자들이 어느 정도 반-애플, 친-마이크로소프트라는 이미지를 주려 노력한다. 하지만 실제로 그렇다는 증거는 없다. 마이크로소프트의 "Get the facts"라는 대실패 광고가 마치 전혀 상관이 없다는 듯이 밝히는지 확신 못하겠다. Roughly Drafted는 CanSecWest는 맥이 윈도보다 보안이 덜하다고 발표하였다는듯한 이미지를 주려 노력하기도 하였다. 호기심나는 방식이다. 승자를 발표한 오리지날 발표문을 보시라. 그러면 그런 주장을 한 적이 없다는 점을 알 수 있다. 동 콘테스트의 마지막 발표 기사 또한 그런 주장을 하지 않았다. 달리 말해서, Roughly Drafted는 CanSecWest의 신뢰성을 떨어뜨리기 위해 잘못된 정보를 뿌리고 있다. 3. 콘테스트는 일단 맥북 에어라는 브랜드 이름에 관심을 집중시켰다. Roughly Drafted는 맥북 에어 이름만 명시됐으며, 다른 노트북은 브랜드 이름 외에 알려진 바가 없다 주장하였다. Roughly Drafted에 따르면, 제일 선정적인 헤드라인이라고 한다. 다시 말하지만 이 역시 잘못된 정보다. 콘테스트 규칙 페이지를 가면 브랜드와 사용한 노트북의 사양이 나온다. ("VAIO VGN-TZ37CN running Ubuntu 7.10, Fujitsu U810 running Vista Ultimate SP1, MacBook Air running OSX 10.5.2"). 4. 맥 침입은 찰리 밀러가 들어올 때 이미 해 두었던 무언가였다. 좀 당혹해 한 주장이다. 당연히 밀러 마음 속에는 방법이 있었을 터이다! 즉, 관계 없는 주장이다. 상금을 타기 위해, 비스타나 유분투 노트북 해킹을 하려 들어간 이들도 똑같은 생각을 가질 것 아니겠는가. 그것이 이번 콘테스트의 목표이다. 새롭고 알려지지 않은 침입로를 찾고, 실질 피해가 일어나기 전에, 관련 업체가 찾아 고치는 것이다. 하다못해 스쿼시 게임이라도 참여한다면, 실제로 경기를 하기 전에, 적에 대해 공부하고, 연습이라도 해야 하잖겠는가? 5. 비스타 머신 크랙을 한 연구자는, SP1 설치가 되었는지를 기대하지 못했다. IDG, 로버트 맥밀란(Robert McMillan)의 기사에 따르면, 그 사실을 몰라서 그는 허둥댔다. 윈도 비스타의 첫 번째 서비스팩(SP1)은 올해 3월 18일에 나왔다. 콘테스트 규칙은 노트북이 "제일 최근의 업데이트와 패치가 설치되어 있음"을 명시하고 있다. 세 운영체제 모두 말이다. 비스타 머신을 크랙한 연구자가 SP1을 보고 놀란다면, 그는 아마 규칙을 제대로 읽지 않았거나, 뉴스를 안 봤을 것이다. Roughly Drafted는 비스타 노트북이 비스타를 사용하는 사용자들의 실제 규모를 반영시키지 않았다고 말한다. 도대체 포인트를 어째서 꺾을까? 비스타 SP1이 나온 며칠 뒤, 전체적인 보안 픽스와 함께 Safari 3.1이 나왔다. 2007년에 쓰이는 사파리를 반영하지 못했으니, 제외시키기라도 해야 했을까? 기본적으로 이런 테스트나 시합의 기본 사양은 최신 버전에 완전한 업데이트와 패치이다. 모든 플랫폼에 동일하게 적용시킨다. 콘테스트 참여자 모두는 이 점을 알 수 있다. "Countering misinformation, 2/2" 6. 밀러는 사파리에 관련이 있는 무언가를 해킹했다 보도하였지만, 그 구체적인 방법은 공개가 안 되었다 Safari는 맥오에스텐의 기본 일부이다. 말하자면, 주된 공격 목표이다. 유분투의 파이어폭스, 비스타의 인터넷 익스플로러 7과 마찬가지이다. 제일 약한 부분이라 하더라도, 사슬은 사슬이다. 그리고 그 제일 약한 부분이 브라우저라면, 운영체제 역시 불안하다는 의미다. 원격 코드실행과 권한 확장이 있었으며, 이것이 커널에서인지, 혹은 사파리, 혹은 폴더 아이콘의 56번째 픽셀이나 15번째 행에서 일어났는지는 관계가 없다. 윈도 XP에 대한 큰 보안 위협 다수는 인터넷 익스플로러나 아웃룩 익스프레스와 관련이 있다. 익스플로러와 관계 있다고 해서 윈도와 상관이 없는가? 기사의 업데이트 부분을 보면, Roughly Drafted는 존 그루버(John Gruber)가 WebKit의 자바스크립트 엔진이 사용하는 라이브러리를 활용했으리고 한 주장을 실어 놓았다. "즉, 이번 콘테스트는 오픈소스 개발 프로젝트를 며칠 정도 밀러가 앞서나갈 수 있다는 점을 보여준 것에 불과하다는 얘기다. 맥과 윈도, 리눅스 간의 플랫폼 보안 문제와는 큰 상관이 없다는 의미이기도 하다." 다시 말하건데, 약한 부분과 사슬을 생각해 보시라. 자기 운영체제에 포함시키기로 결정한 당사자는 애플이다. 애플의 책임이다. 원 개발자들로부터 나온 패치를 빠르게 통합시켜야 할 곳도 애플이다. 애플이 이것을 못맞춰주면, 그것은 애플의 잘못이다. 7. "리눅스를 크랙할 수 있는 참가자들은 콘테스트를 이기기 위해 필요한 침입 코드 개발을 하고싶어하지 않았다." Roughly Drafted의 말을 인용한다. "왜일까? 리눅스가 해킹하기 쉽다는 사실을 증명할 정치적인 동기가 부족해서가 아닐까? 1만 달러를 받을 수 있다고 해서, 자기의 취약점을 1만 달러에 팔고싶어하지 않았다는 의미이기도 하다." 처음으로 모순되는 말을 하고 있다. Roughly Drafted는 맥 침입로가 안쓰이는 이유는 맥 사용자 기반이 너무나 적어서라 해놓고서, 맥의 가정용 운영체제 기반은 현금 받고 팔기에 더욱 더 적어서이리라고 주장한다. 유분투를 끌어내리기도 전에, 자기 스스로가 너무나 모순되고 있다. 하지만 7번 이유의 제일 큰 문제가 이것은 아니다. 원래의 IDG 기사를 잘못인용한 문제가 제일 크다. 원래 기사는 실제로 이렇게 쓰여 있다. "TippingPoint의 보안책임 관리자인 테리 포슬롭(Terri Forslof)에 따르면, 리눅스 크랙을 하려 노력하였지만, 참가자 누구도 해낼 수가 없었다고 한다. 그녀의 말이다. '잘 안됐다는 점이 놀랍더군요.' 그녀에 따르면, 400명의 참가자들 중 일부가 리눅스 운영체제의 버그를 발견하긴 했지만, 콘테스트를 이기려고 침입용 코드를 제작하고 싶어하지 않은 이들이 다수였다고 한다." 정치적인 동기는 전혀 없다. 침입로 판매 건도 없다. 전혀 없다. 분명히 쓰여 있는 내용은 유분투 버그를 발견한 일부(several)의 참가자들이며, 그들이 침입 코드 제작을 하고싶어하지 않았다는 점 뿐이다. 이런 주장을 갖고, 별다른 근거나 인터뷰 없이 저런 이유를 만들어낸다. 8. 침입점이나 취약성은 "맥과 윈도, 리눅스" 고유의 침입지점이나 취약성이 아니다. 오히려 크로스 플랫폼적인 위협이다. 이 이유는 상당히 합리적이다. 하지만 사실의 맥락과는 완전히 동떨어진다. 윈도 비스타는 WebKit을 내장시키지 않는다. 유분투도 마찬가지다. 맥오에스텐만은 내장한다. 따라서 이 침입로는 전혀 크로스-플랫폼이 아니다. 윈도용 사파리, 혹은 유분투용 Konqueror를 설치해야 크로스 플랫폼이 될지도 모른다. 두 번째 날 콘테스트 규칙을 보면, 기본 설치만 사용하도록 되어 있다. 분명하다. 이 규칙과도 부합되지 않는 이유다. (세 번째 날은 써드파티 애플리케이션이 허용되었다.) 설사 크로스-플랫폼이라 하더라도, 저 이유를 그대로 받아들이기는 너무 약하다. "남들도 똑같다!"는 식의 억지춘향이기 때문이다. 원래 부모로부터 뭔가를 더 얻기 위해 아이들이 자주 벌이는 짓이다. 쟤는 과자 두 개에 우유인데, 전 과자가 하나 뿐이에요. 나도 두 개 먹어야겠어요. 쟤도 두 개 먹으니까요! 윈도ㅔ 침입로가 존재한다는 사실이 맥오에스텐의 책임을 없애주지 못한다는 의미다. 다른 운영체제도 마찬가지다. 침입로가 여러분 플랫폼에 있으면, 있는 것이다. 9. 밀러는 애플 플랫폼 보안을 깎아내리기 위해 평생을 노력해왔다고 자타가 계속 주장해왔다. 현재 그러한 노력과 시도가 돈이 될 만한 시장은 CanSecWest 뿐이다. Roughly Drafted는 밀러가 사용한 침입로가 아웃데이트된 FOSS 코드라고 한다. 즉, "맥오에스텐과 윈도, 리눅스에 대한 지식과 식견, 동기보다 더 많은 사실을 알려준다"고 한다. 밀러가 손쉽게 한 이유는 그가 보안 전문가이면서, "자기 침입로를 스패머들에게 파매해온 동료, 별다른 동기가 없는 동료와 함께, FOSS의 이미지를 나쁘게만드는 데에 흥미가 없는 리눅스 전문가들"과 싸워야 했기 때문이란다. 리눅스 쪽 사람들 얘기부터 해 보자. 리눅스 개발자들은 언제나 FOSS 이미지를 흐려왔다. 커널 버그 데이터베이스를 열어본 다음에, 커널 메일링 리스트를 따라가 보시라. 유분투의 LaunchPad, GNOME의 Bugzilla를 볼 수 있다. 이들이 FOSS 이미지를 정말로, 정말로 망치고 있다. 계속 버그와 보안 위협을 보고하기 때문이다. 더해서 필자는 2만 달러나 1만 달러, 5천 달러에 관심이 없는 리눅스 전문가들이 상당수 존재한다는 말을 믿기 힘들다. 윈도 쪽 사람들 얘기를 해 보자. 콘테스트 전개 과정은 Roughly Drafted 생각과 사못 달랐다. 스패머들에게 고가로 팔 침입로를 찾아내기에 정신이 없었다고 말하는데, 그렇다면 이들이 비스타를 어째서 세 번째 날에 해킹하였을까? 세 번째 날 상금은 5000달러에 불과했다. 그것도 모든 머신에 설치된 Flash를 이용한 침입이었다. 수많은 윈도에 설치되어 있는 Flash의 거대한 보안 구멍 이야기이다. Roughly Drafted 말을 따르자면, 확실히 돈 가치가 있는 구멍이다. 하지만 윈도 쪽 사람들은 5000달러만 받기로 결정내렸다. 10. 애플이 오픈소스를 사용하기에, 밀러와 같은 연구자들이 침입로를 발견하기 더 쉬워졌다. 사실이 아니다. 밀러와 같은 연구자들은 오픈소스 소프트웨어를 통해 침입로를 발견할 수 있지만, 그 이유는 오픈소스 소프트웨어의 개방성 그 자체때문이 아니다. 애플이 오픈소스 소프트웨어 프로젝트의 최신 패치를 게을리 해서다. 설사 Roughly Drafted의 말이 맞다 하더라도, 애플은 패치를 내놓기 전에, 수 많은 테스트를 해야 한다. 알려진 공격로가 계속 열려있으리라는 의미다. 즉, 맥오에스텐의 보안이 더 불안해진다는 얘기이기도 하다. 밀러와 같은 영리한 사람들이 큰 상금을 받을 기회이기도 하지만 말이다. 애플이 오픈소스 소프트웨어를 통합시킨 이유는, 그 만큼 소요 인력을 줄일 수 있기 때문이다. 즉, 비용절감이라는 합리적 이유때문이라는 의미다. 그러나 이 또한 애플에게 새로운 문제를 야기할 수 있다. 그 중 하나가 보안 문제다. 이런 구조적인 보안 문제는 애플의 통제 밖에 있다. 윈도에서 발견되는 보안 침입로보다 덜 심각하다거나, 관계가 별로 없다는 의미가 아니다. Conclusion 필자가 이 반박글을 쓰기로 한 이유는 애플을 떨어뜨리기 위해서가 아니다. 필자가 교회나 마이크로소프트로부터 봉급을 받아서도 아니다. 필자가 이 글을 쓴 이유는 잘못된 정보가 걷잡을 수 없이 퍼지기 때문이다. 이는 CanSecWest와 조직위원들의 신뢰도를 공격할 만한, 도를 넘는 일이다. Roughly Drafted와 같은 웹사이트들이 미리 만들어준 것처럼, 애플도 'Get the facts' 광고 캠페인을 할 필요까지는 없다. 보통 필자는 이런 류의 기사를 무시하지만, 쉽게 반박할 수 있는 잘못된 정보일 경우, 반박해야 할 필요성을 느낀다. 더군다나 Roughly Drafted를 여러 맥-위주의 커뮤니티들이 좋은 소스로 인용하는 광경을 보면 더욱 더 그러하다. 필자를 믿어달라. 이런 기사는 Roughly Drafted에 올라오는 여러 가지 잘못된 정보로 점철된 기사의 한 종류일 뿐이다. 여러분 입맛껏 다루시면 되겠다. -------------------------------------------------------------------------------- If you would like to see your thoughts or experiences with technology published, please consider writing an article for OSNews. ( Original story URL at CanSecWest: Countering Misinformation ) © 2007 OSNews LLC 1997-2008. All Rights Reserved. OSNews and the OSNews logo are trademarks of OSNews. All trademarks, icons, and logos shown or mentioned in this web site are the property of their respective owners. Reproduction of OSNews stories is permitted only with explicit authorization from OSNews. Reproductions must be properly credited. __________________ FAQ

2008-04-11, 11:56 PM	#4
eric-144 Member Registered: Mar 2008 My Mac: iMac G4, Macbook Pro 2.2, MacBook Black(for wife) Ipod 5.5G 80g Posts: 46 오프라인	정말 잘읽었읍니다. 휴! 정말.. 꿈 꾼사람 보다 해몽하는 사람들이 더 무서워서.. 어디까지가 진실이고 누가 더 사실에 가까울까요? 확실한건 완벽이란 없겠죠? 기사 나오고.. 패치 업된듯 하던데요.. 어제 업한거 같은 기억이.. 사실이 뭐라고 해도.. 왜 그렇게 비스타는 정이 안가는지..참나.. __________________ 항상 갈등.... 맥 새로 나올때 마다 사야 하나 말아야 하나..

2008-04-13, 09:24 PM	#5
campari Senior Member Registered: Apr 2007 My Mac: iMAC CD 2.0 20", MBP C2D 2.4 15", Mac Pro 2.8(8 core), Cinema 23",Samsung 305T Plus, iPOD Touch 16G, ^_____________^ Posts: 266 오프라인	아직 보안 업데이트 나오지 않았지 않나요? 비스타는 저번주에 10여개나 뜨면서 패치가 되었다던데... __________________ 항상 피사체를 바라보는 눈빛으로...