• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

취약점, 잡긴 잡아야 하는데 장애요소가 많아 2015.02.05

보안업계와 소프트웨어 업계의 지속되는 신경전

새로 개정될 미국 사이버 법안은 화이트 해커의 감옥? 


[보안뉴스 주소형] 취약점이 각종 드라마들을 유발하고 있다. 주로 보안업계와 소프트웨어 시장의 입장 차이로 야기되는 일들이다.

 


과거 취약점을 찾을 때 보안 전문가와 소프트웨어 개발자에게 주어지는 환경과 보상 수위가 달랐다. 보안 전문가들은 취약점을 찾기 위한 과정에 갖가지 제약이 많아 조건이 열악한데다가 보상도 제대로 받지 못했다. 그에 비해 소프트웨어 전문가들이 취약점을 찾을 때는 비교적 활동이 자유롭고 작게나마 보상이 발생했다.


이로 인해 당시 다양한 드라마들이 발생했는데 이를 해결코자 내놓은 방안이 ‘버그바운티’ 제도다. 둘 사이의 관계를 개선하기 위해 도입한 제도인데 그것만으로는 부족한 것으로 보인다. 버그바운티가 도입된 후에도 취약점을 사이에 둔 드라마는 여전히 현재진행형이기 때문이다. 이를 살펴보기 위해 최근 발생한 세 가지 사건을 재조명했다.

 

Case 1. 두 IT 공룡의 싸움, 구글 VS 마이크로소프트

지난 1월 11일, 구글이 마이크로소프트의 취약점을 공개했다. 해당 취약점은 구글 프로젝트제로(Project Zero)가 발견한 것인데 문제는 패치가 아직 나오지 않은 상태였다는 점이다. 구글은 마이크로소프트에게 취약점을 알리고 패치 마련 시간(90일)을 주었지만 기한 내에 패치가 나오지 못한 것. 당시 마이크로소프트사는 이틀만 발표 시기를 연장해 줄 것을 요청했지만, 구글은 이를 무시한 채 발표했다고 한다.


이에 대해 마이크로소프트사는 “구글은 본인들이 취약점을 찾아냈다는 사실에 도취되어 자랑하기에 급급했던 것 같다. 결국 패치 없는 취약점 공개로 피해보는 것은 대중들이라는 것을 누구보다 잘 알만한 회사이지 않는가”라는 식의 입장을 블로그에 올렸다.


하지만 구글은 이에 그치지 않고 첫 번째 사건 발생 일주일 후에 또 다시 패치가 준비되지 않은 취약점을 공개했다. 이 사건에 제 3자인 정보보안 전문가 자바드 말릭(Javvad Malik)은 “보안시장이 유치하게 흘러가고 있다. 서로에게 득이 되지 않는 싸움을 멈추고 하루빨리 해결책을 도모해야 할 것”이라고 지적하기도 했다.


Case 2. 범죄를 포장하면 영웅?

지난 주 미묘한 거래가 성사됐다. 마스터마인드(Mastermind)로 불리는 해커조직이 러시아 데이팅 사이트인 탑페이스(Topface)를 해킹하여 2,000만명의 고객 정보를 빼냈는데 탑페이스가 이를 다시 사들인 것. 물론 그 정보를 어디에도 노출시키지 않는다는 조건 하에 말이다.


뿐만 아니라 탑페이스 드미트리 필라토브(Dmitry Filatov) 대표는 “우리는 그들이 우리의 취약점을 찾아준 것에 대해 보상을 하고 향후에도 서로 상부상조하기로 했다”고 로이터를 통해 밝혔다. 보상금액은 밝히지 않았다.


하지만 논란은 가라앉지 않고 있다. 블랙 해커들에 대한 신뢰도 때문이다. 그들은 말 그대로 블랙해커(black hats)다. 이번 사건에서만 해도 고객 이메일 주소 정보만 갖고 있다는 마스터마인드의 주장에 석연찮은 부분들이 제기되고 있기 때문이다.


이는 화이트햇과 블랙햇의 정체성을 뒤흔드는 나쁜 전례라는 시각도 있다. ‘컨설팅’과 ‘범죄’를 동일시하면 안 된다는 것. 해킹의 목적이 엄연히 다른 이들을 같은 취급을 하는 건 위험하다는 주장이다. 특히 마스터마인드의 경우 불안 요소가 많은 조직이라고 덧붙였다.


한편 이번 사건의 중심에 있는 탑페이스 대표는 자사 대처법에 대해 긍정적으로 평가하고 있는 것으로 파악됐다.


Case 3. “법도 헷갈려”

이렇게 혼란한 관계 속에 법까지 가세했다. 미국 오바마 대통령이 사이버 안보 강화를 위한 새로운 법안을 촉구했는데 이마저도 애매하다는 것. 기존에 있던 컴퓨터사기방지법(CFAA, Computer Fraud and Abuse Act)을 바탕으로 해킹 가능 영역을 규정하자는 것인데 이는 화이트 해커들의 활동 영역을 좁히는 꼴이라는 목소리가 높기 때문이다.


화이트햇 시큐리티(WhiteHat Security)사의 제레미아 그로스맨(Jeremiah Grossman) 보안 전문가는 “지금 우리가 대중과 기업들을 위해 하고 있는 활동을 불법으로 규정짓는 것과 다름없다”고 말했다.


또한 버그바운티 기업 가운데 하나인 버그크라우드(Bugcrowd)사의 조나단 크랜(Jonathan Cran) 부사장은 “해당 법안이 통과되면 한창 성장하고 있는 버그바운티 시장에 찬물을 끼얹는 꼴이다”고 염려했다.


구글과 마이스크로소프트사와의 싸움, 화이트해커와 블랙해커의 경계, 새로운 사이버 법안 등으로 사이버 시장의 혼란이 가중되고 있다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>