• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

취약점을 알려줘도 아랑곳하지 않은 구글, ‘뭇매’ 2015.05.19

“구글에게는 충분한 시간을 줬지만...”


[보안뉴스 주소형] 사용자의 개인정보 보호 및 보안강화를 목적으로 둔 구글 프로젝트 제로(Google Project Zero)팀이 최근 뭇매를 맞고 있다. 다른 벤더들로부터 소프트웨어에 취약점이 있다는 사실을 통보받고 90일이 넘도록 패치 가능여부 조차 신경 쓰지 않은 상황이 알려졌기 때문이다.  

 


지난주 금요일, 폴란드의 취약점 연구회사인 시큐리티 엑스플로레이션(Security Exploration)이 구글 클라우드 소프트웨어 안에 패치 되지 않은 채로 방치된 취약점들을 세세하게 공개했다. 구글에게 해당 사실을 알렸지만 시간이 지나도 응답이 없어 결국 이를 밝힌 것으로 알려졌다.


취약점은 구글의 앱 엔진(GAE, Google App Engine) 소프트웨어 안에서 발견된 것으로  자바 런타임(Java Runtime Environment) 샌드박스에서 많은 정보들을 모을 때 사용되는 자바 샌드박스(Java sandbox)를 완벽하게 탈출할 수 있다. “이들은 샌드박스된 자바 환경에서 OS 샌드박스 및 RPC 서비스에 대한 공격을 연구할 때도 도움이 될 것이다”라고 시큐리티 엑스플로레이션의 아담 고우디악(Adam Gowdiak) CEO가 설명했다.


뿐만 아니라 시큐리티 엑스플로레이션사는 해당 취약점이 구글 앱 엔진에서 자바 보안 샌드박스를 어떻게 우회하여 익스플로잇 되는지 개념증명도 공개했다.


구글 앱 엔진은 기업들이 클라우드 안에서 애플리케이션을 사용하고 실행시키는 서비스를 총괄하는 플랫폼이다.


사실 이렇게 시큐리티 엑스플로레이션이 패치되지 않은 해당 취약점을 밝힌 것은 이번이 두 번째다. 지난해 12월에도 자바 시큐리티 샌드박스를 피할 수 있는 22개의 취약점을 포함하여 총 31개의 소프트웨어 보안취약점을 공개한 바 있다.  


구글은 이에 대해 3월 중순에서야 패치를 완료했다고 고우디악 CEO는 말했다. 뒤이어 3월과 4월 사이에 시큐리티 엑스플로레이션사는 추가적으로 10개의 취약점을 발견하여 구글에게 통보했고 그 중 7개는 이번에 공개된 것이라고 덧붙였다.


“이번에 발표된 보안 취약점들이 결합되면 상당히 위험해질 수 있다. 각기 취약점 하나하나는 심각해보이지 않을 수 있지만 이들을 조합시키면 이야기가 달라진다”라고 고우디악 CEO는 설명했다.


그래도 시큐리티 엑스플로레이션은 구글을 배려했다고 주장했다. 해당 취약점들을 공개하기 전에 당장 패치가 되지 않아도 괜찮은지 테스트까지 거친 것으로 전해졌다. 이로 인해 기업들이 소프트웨어 벤더들로부터 모든 보호를 받을 수 있는 여부도 확인했다고 한다.


소프트웨어 제품의 버그를 공개하는 가장 안전한 방법이 벤더들에게 고칠 기회를 제공하고 나서라는 것이 중론이다. 물론 여기에서도 어느 정도의 시간을 주었는지 등과 같은 논란의 여지가 있기는 하다.


구글은 이를 90일로 규정했다. 그런데 (적어도 최근에는) 해당 기간을 회사들의 마음대로 바꾸는 경우가 나타나고 있다.


지난 1월, 마이크로소프트에서 신뢰할 수 있는 컴퓨터(Trustworthy Computing)부서의 크리스 베츠(Chris Betz) 선임 연구원은 구글이 마이크로소프트 제품의 결점을 일부러 패치 튜스데이 이틀 전에 발표했다.


물론 기한을 정하는 것이 어떤 면에서는 좋은 정책이기는 하나, 구글은 해당 결점에 대해 어떻게 패치하는지 알면서도 공개한 것이다. “원칙보다는 ‘니네 걸렸어!’ 심보에 가깝다. 그로 인한 가장 고통 받는 것은 고객들임에도 불구하고 말이다”라고 베츠 연구원을 말했다. 그렇게 방어막이 마련되지 않은 채로 취약점이 공개된다.


비난이 잇따르자 구글은 이러한 발표 정책을 조금 유연하게 조정했다. 특정 케이스에 한해 벤더들에게 90일 이상의 기한을 준다는 것이다. 하지만 구글은 이에 대해 특정 케이스를 구분 짓는 기준이나 구체적인 조건 등을 제시하지 않는 등 아직까지는 정확한 입장을 밝히지 않은 상황이다.


시큐리티 엑스플로레이션에 의해 최근 밝혀진 취약점을 구글이 어떻게 보고 있는지는 불명확하다. 지난 12월에 시큐리티 엑스플로레이션이 해당 취약점을 찾아 구글에 알리자, 구글은 해당 계정을 중단시키고 취약점을 찾아준 댓가로 5만불을 포상금으로 지급하기도 했지만 그 다음 조치는 아직까지도 감감무소식이기 때문이다. 


고우디악 CEO는 구글에게 해당 취약점이 맞는지 여부에 대해 대답할 수 있는 기한을 3주나 주었다고 말했다. “구글에게 취약점에 대해 설명할 수 있는 모든 문서와 코드 개념증명에 대한 모든 자료를 제출한 상태입니다.”


고우디악 CEO는 패치가 되지 않은 취약점을 발표하기까지 기다릴 만큼 기다린 후에 내린 결정이라고 거듭 강조했다. “만약 취약점을 벤더들에게 확인받고 패치가 되고 있다는 소식을 들었다면 우리는 기다렸을 것이다. 그런데 어떻게 진행되고 있는지조차 확인할 수 없어 발표하게 된 것이다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>