사실 일반적으로 맥 OS X 역시도 운영체제이며, Windows도 운영체제 입니다. 예전에 보면 맥 OS의 보안성은 Windows와는 상대가 안 될 정도로 훌룡하다고 말씀하시는 분들도 계시던데, 개인적으로는 말도 안된다고 봅니다. 취약성이 존재하지 않는 소프트웨어가 존재한다는 것인데, 이론적으로도 전혀 근거 없는 판단이라고 봅니다.
다만, 익스츄림리 크리티컬에 해당하는 취약점의 경우, XP+VISTA가 4건이 존재하여, 이 점에 있어서는 MAC OS X가 좀 더 안전(?)하다고 볼 수도 있겠네요. (익스츄림리 크리티컬에 해당하는 일반적으로 Zero-Day Attack을 의미합니다. 물론 하일리 크리티컬에 해당하는 부분에서도 Zero-Day Attack에 해당하는 부분이 존재하지 않는다고 이야기 할 수는 없습니다.)
아마 해당 내역을 보며, MAC OS X에서 발견된 취약점은 Adobe, Perl, Directory Traversal 등의 취약점으로 취약점 구분상 MAC OS X의 직접적 취약점과는 관련성이 떨어진다고 이야기 할 수도 있겠으나(물론 직접적 취약점도 존재합니다), 지금까지 Windows 취약점의 갯수 역시도 동일한 조건에서 다루어져 왔다는 점은 인지해야 할 것 같습니다.
개인적으로는 44개냐 243개냐의 차이가 그렇게 큰 의미가 있다고 판단하지는 않습니다만, 취약점에 대한 대응 방식은 윈도우즈의 경우, 그 동안 하도 많이 당해와서 요즘엔 정형화된 프로세스를 갖추고 있더군요.
최근 뉴스에 따르면, 미국에서는 미국 아이들의 1/3이 아이팟을 가지고 있다고 하고, 68%의 학생들이 MySpace나 Xanga나 Facebook에 홈페이지를 만들어본 경험이 있다고 합니다. MySpace를 사용하는 사용자가 5천만명 정도라니, 정말이지 엄청난 숫자 입니다. (우리나라 전체 인구가 하나의 서비스에 다 가입해 있다고 해도 MySpace 숫자보다 작을 것 같네요. 남북한을 합치면 넘으려나... --+)
SNS(Social Networking Service)는 서비스 특성상 전파력이 상당히 높다고 볼 수 있으며, 다수의 사용자가 사용하는 서비스에 특정 악성코드가 삽입이 되거나 할 경우, 이론적으로는 5천만명이 사용하는 PC 모두에서 권한을 얻거나 개인 정보를 악의적으로 추출할 수도 있죠. SNS 서비스의 대표격인 싸이월드 같은 경우도 비슷한 사례를 보일 수도 있는 유사한 서비스라고 할 수 있겠습니다.
크리스마스 이브군요. 12월 24일 인터넷 서핑을 하다가 보니 MySpace에 존재하는 취약점을 이용한 공격 방법이 나와있는데, 공격 방법을 알아낸 공격자는 이를 'Zero-Day Attack'이라고 말하고 있습니다. 언급하고 있는 공격 방식은 대단히 간단합니다.
Anyway, here's the exploit:
<body onLoadmoz-binding="alert('XSS');">
As you can see if you run that moz-binding is changed to .., and we are left with the following:
<body onLoad..="alert('XSS');">
전형적인 XSS 취약점인데, 이까짓거 가지고 무슨 'Zero-Day Attack' 운운하느냐... 하겠지만... 이 서비스를 5천만명이 사용할 때는 문제가 달라집니다. 수많은 사용자에게 서비스를 제공하는 하나의 서비스에 취약점이 발생하면, 5천만대의 사용자 PC가 동일한 취약점으로 인해 위협받는 경우인데, 바로 이게 포탈 서비스 또는 SNS 서비스에서는 숙명과도 같은 문제입니다.
우리나라의 경우에는 어떻냐구요...? 글쎄요... 사랑의 반대말은 무관심이라고 했던가요? 취약점 내용을 무시해 버리거나, 취약점 패치 시점이나 여부에 따라 취약점 코드 공개가 되는 국제 관행과는 상관없이 무조건 법적으로 대등하겠다는 막무가내 식이 대부분이죠.
외국의 경우에는 이런 식으로 취약점 공개가 이루어 집니다.
1. 보안 전문가의 취약점 인지 2. 보안 전문가의 취약점 증명 코드(PoC, Proof of Concept) 설계 및 증명 3. 취약점 밴더에 해당 사실을 알림 4. 취약점 밴더는 지속적으로 보안전문가와 의논하며, 취약점 제거 방안에 대해 연구하며, 이 기간동안 취약점 코드는 인터넷으로 공개 안 됨. 5. 취약점 밴더는 패치 코드를 일반 사용자에게 제공됨과 동시에 인터넷에 취약점에 대한 설명과 동시에 보안 전문가의 Credit을 알림. 6. 보안전문가는 취약점 패치에 대한 자유로운 발표가 이루어짐.
아래 그림은 이러한 프로세스를 통해 Microsoft의 취약점을 발표했었던... 제가 몸담고 있는 회사에서 2006년 3월 정도에 발표한 내용입니다.
흔히 취약점이 없는 프로그램은 없다는 것이 이미 이론적으로도 정립이 된 내용이고, 취약점을 만들어내는 프로그래머를 대책없이 비판할 수도 없는 것이 현실 입니다. 따라서 취약점에 대한 학문적 연구와 발표 문화는 정말이지 절실 합니다.
취약점이 국내 해커들로 부터 나오지 않거나, 국내 해커들이 대부분 취약점을 발견해도 숨기는 것이 현실이라면, 취약점이 영원히 숨겨질까요? 절대 아니죠. 외국 해커들은 국내 사이트에 대한 공격적 가치를 몰라서 그럴 뿐이며, 공격자는 해당 취약점을 언젠가는 반드시 발견해 냅니다. 이런 경우, 하나의 취약점이 국가적 IT 인프라를 손상 시킬 수 있을 정도의 결과로 반드시 돌아 옵니다.
IT 보안과 취약점에 대해 받아들일 자세가 되어 있지 않다면, 우리나라 IT 인프라의 미래 또한 없는 것은 분명해 보입니다.
0
0