ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 버그 사냥꾼「돈을 낼래, 고생 좀 할래?」
    Security 2007. 8. 9. 14:11
    반응형
    미국의 한 보안관련 업체가 논란의 여지가 분명한 사업 모델을 선택하면서 소프트웨어(SW) 버그를 공개하는 방식을 둘러싸고 논쟁이 치열하다고 한다.

    버그 사냥꾼「돈을 낼래, 고생 좀 할래?」 (ZDNet Korea)
    Bug hunting start-up: Pay up, or feel the pain (CNetNews.com)

    위의 기사를 읽다보면 참 열받는다. SW의 버그를 알려주는 것은 고맙지만 그걸 무기로 이용해서 기업에 협박을 하고 버그 해결책을 제공하는 방식은 분명 문제가 있다.

    야렛 드모트가 지난 4월에 설립한 취약점 발견 및 분석 연구소(VDA)는 기존에 나와있는 SW에서 찾아낸 버그를 해당 SW 개발업체에 알려주는 일을 한다. 여기까지는 다른 보안업체에서도 하는 일이다.

    그런데 문제는 VDA는 해당 업체에 VDA가 찾아낸 버그나 VDA 컨설팅 서비스에 돈을 지불할 것인지를 물어보고 그렇게 하지 않으면 버그를 다른 회사에 팔거나 공개하겠다고 위협을 한다는 것이다.

    드모트는 이 모델을 "참신하다"라고 생각하지만 다른 보안관계자들은 이것은 거의 "강탈"에 가깝다고 말하고 있다. 내가 봐도 저건 강탈이다. 협박을 통해서 자신들의 이득을 얻을려고 하는게 강탈이 아니고 뭐겠는가?

    예전에 중국의 한 해커단체가 국내 IDC나 웹 서비스 업체에 협박메일을 보냈다고 한다. 일정 금액을 지불하지 않으면 해당 웹서비스나 IDC를 해킹하겠다고 말이다. 현재 국내 웹서비스 업체의 보안은 지극히 낮다. 대규모 DDOS 공격이 들어오면 대부분 다 뚫린다고 봐야 할 것이다. DNSEver라는 네임서버 서비스 업체도 대규모 DDOS 공격을 맞고 한때 서비스 불능이 되는 경우도 있었다. VDA의 사업방식이 저 중국해커단체가 협박하는 거와 뭐가 다르단 말인가.

    기사에서 한 예를 보여줬는데 미국의 인기있는 소셜 네트워크 서비스(SNS)인 링케딘에서 VDA는 링케딘의 IE 툴바에 버그를 발견하고는 메일을 보냈다고 한다. 메일에서 VDA는 버그를 발견했으며 버그 구입을 권유했다고 한다. 그러나 링케딘은 답변을 보내지 않았고 VDA는 다시 메일을 보내 버그를 사지 않겠다면 다른 기업에게 버그를 팔 것이라고 협박했다. 표면상 내용은 이 버그로 다른 서버에 보안문제가 생기지 않게하기 위함이라고 했지만 염연히 협박이다. 그리고는 버그를 사겠다면 버그를 공격할 수 있는 공격방법을 알려주며 해결책을 마련한 후 수표를 보내면 된다고 했다. 그리고 기한은 7월 17일까지고 금액은 $5000이었다. 기간을 하루 남기고는 2통의 메일을 보냈는데 하나는 기한이 지났다는 것이며 나머지 하나는 금액이 $10000으로 증가했다는 메일이다. 한마디로 협박이다.

    다른 보안관계자들은 당연히 이 방식에 대해서 거부감을 드러냈다. 요한네스 울리히 산스 연구소 수석 연구원은 "특히 이 경우 돈을 내지 않으면 버그를 공개하겠다고 위협하였으므로 강탈이라고 생각한다. 버그를 인질로 잡아서는 안된다"고 말했다. 하지만 드모트는 이 사업으로 어느정도 성공을 거두었다고 한다. 당연히 어느정도는 될 것이다. 버그를 패치하지 않으면 서비스에 치명적인 악영향을 끼치는데 누가 버그패치를 안할까? 드모트는 이 사업방식이 기존 사업방식에 몇가지 요소를 더 가미했다고 주장하고 있다. 하지만 강탈은 강탈이다.

    최근 버그 현상금 사냥꾼들의 행보가 활발해지고 있다. VDA와 비슷한 방법으로 다른 솔루션들의 버그를 발견하고 그 패치의 댓가를 요구하는 경우가 많아졌다고 한다. 그리고 이 사업모델은 이제 시작이라는 점이 눈길을 끈다. 하기사 이런 사업모델은 예전에 비공개적으로 있었지만 이렇게 공개적으로 나온 것은 최근임을 감안할 때 이 사업모델의 성공여부는 적어도 5~6개월 이후에야 판가름날 수 있을 것이다.

    일단 외국의 경우에만 해당하는 일일 것이다. 국내에는 아직 이런 버그 현상금 사냥꾼들은 공개적으로 활동하지 않는 것으로 안다. 하지만 남의 일같이 느껴지지 않는다. 위의 잠깐 중국 해커단체 공격위협을 예로 들었듯 국내의 수많은 웹서비스들이 저런 위협속에 존재한다. 그리고 그런 버그들을 찾아내는 것은 그다지 어렵지 않다. 미국이 워낙 생각하는 방식이 독특해서 저런 사업이 나올 수 있었지만 국내에도 저런 사업이 안나오라는 보장도 못하는 입장이다. 도덕적, 윤리적으로 분명 나쁜 일이기에 조용하지만 요즘과 같이 도덕적, 윤리적으로 타락하고 있는 상황에서는 언제든지 가능하지 않을까?
    반응형

    댓글

Designed by Tistory.