우리나라에서뿐만 아니라 미국에서도 윈도 비스타로의 전환이 이슈인듯 싶다.

대기업은 비스타로 전환해야?! (ZDNet Korea)
Gartner: Large businesses shouldn't skip Vista (CNetNews.com)

미국의 많은 대기업들이 현재 사용하고 있는 윈도 XP에서 윈도 비스타로 OS를 교체하는데 주저하고 있다고 한다. 일단은 XP에서 돌아가던 많은 프로그램들이 비스타에서 제대로 안돌아가는 하위 호환성 문제때문일 것이고 다른 이유로는 윈도 비스타를 구동하기 위한 하드웨어 스팩이 XP에 비해서 턱없이 높다는 이유일 것이다. 여러 블로그를 통해서 확인했듯 MS에서 제시하는 스팩으로는 솔직히 윈도 비스타를 제대로 돌리기도 어렵다. 메모리는 최소 2GB, 적어도 4GB는 되어야 그나마 돌아간다고 할 수 있을려나.

여하튼 이러한 문제들 때문에 많은 기업들이 윈도 XP에서 윈도 비스타로 OS를 교체하는데 주저하고 있으며 차라리 비스타의 다음 버전인 윈도 7으로의 교체를 고려하고 있다고 한다. 즉, 윈도 XP에서 윈도 비스타로 교체하는데는 OS만 재설치하면 되지만 윈도 7으로의 교체는 PC까지 모두 교체해야 하기 때문에 아예 새로 모두 교체하는 방향이 오히려 덜 위험하다는 생각인듯 싶다. 즉, OS만 교체함으로 성능이 더 안좋게 되는 부분과 하위 호환성이 문제가 되기 때문에 아예 OS와 PC를 같이 교체하면서 SW도 통째로 교체하겠다는 생각인 듯 싶다. 기업 입장에서는 이쪽이 더 이윤이 남는다고 생각하는 것 같다.

그런데 그것도 쉽지가 않은데 MS가 여지껏 늘 그래왔듯 제때 제품을 출시해본 적이 없기에 윈도 비스타 역시 정식 출시 예정일보다 상당히 늦게 출시된 점을 미뤄봐서 비스타 출시 이후 3년뒤에 출시 예정인 윈도 7의 출시일 역시 믿기 어렵다. 그래서 그때까지 MS의 윈도 XP 지원이 이루어질 것인가, 그리고 SW의 XP 지원이 그때까지 지속될 것인가가 문제가 된다. 그리고 윈도 7이 출시된 이후에는 더이상 SW의 XP 지원이 없을 수도 있다는 불안감 때문에 비스타로의 OS 전환도 심각하게 생각할 문제라고 한다.

저건 미국 기업뿐만 아니라 국내 기업들도 마찬가지인듯 싶다. 현재 어지간한 대기업에서는 데스크탑 OS로 윈도 XP가 설치되어 있다. 그리고 MS는 윈도 비스타로 OS를 전환하도록 계속 유도하고 있는 상황이다. 일부 기업에서는 비스타로 OS를 교체한 상태다. 하지만 이미 블로고스피어를 통해서 비스타가 어느정도 효과가 있는가에 대해서 여러번 이야기가 나왔다. 솔직히 개발용 OS로는 거의 꽝에 가깝고 인터넷과 오피스 작업이 대부분인 사무직 직원들의 OS로는 약간은 커버할 수 있어도 XP에 비해 그닥 효용적이지 못하다. 그래서 많은 기업들이 아직 윈도 비스타로 OS 전환을 하지 않는 것이다. 설치된 SW의 호환성 문제도 그렇고 말이다.

하지만 보안문제나 기타 여러문제에 대해서 MS의 지속적인 서비스를 받기 위해서는 MS에서 제공하는 최신 OS로 주기적으로 전환할 필요가 있다. 서드파티 보안제품보다는 OS에서 직접 제공하는 보안패치가 더 중요하기 때문이다. MS는 언제나 늘 현재 주력 OS에 보안레벨을 맞춰서 제공하기 때문에 시기마다 적절한 보안을 유지하기 위해서는 최신 OS를 탑제할 필요가 있는 것이다.

하지만 사무용 OS로서의 비스타는 좀 너무한 경향이 있다. 개발용도 아니올시다고 집에서 개인용으로 쓰기에도 그닥 훌륭하지 못한 OS로 점점 악평이 들리고 있는 상황에서 기업에서 사용하기에는 안정성이 오히려 XP보다 더 떨어지는게 아니냐라는 의견이 있으니 말이다. OS 측면으로만 봤을때의 비스타는 괜찮은 OS다. 하지만 사용성으로 봤을때의 비스타는 그닥 환영받지 못하는 OS임은 틀림없다.

* 관련글 *
2007/02/12 - [IT Story/IT 이슈] - Windows Vista 호환성 혼란, 속히 해결해야..
2007/02/15 - [IT Story/웹 서비스] - 공공 사이트 脫MS 논의 '급물살'… '비스타사태' 파장
2007/04/02 - [IT Story/IT 이슈] - MS, “비스타 복사? 할 테면 해봐”
2007/04/06 - [IT Story/IT 이슈] - 대기업 비스타 PC, '발동'이 늦은 이유는..
2007/04/16 - [IT Story/IT 이슈] - MS, OEM판「비스타」해킹 정식 인정
2007/06/21 - [IT Story/IT 이슈] - MS에서 개발한 OS의 변천사
2007/07/09 - [IT Story/IT 이슈] - MS Vista SP1 Beta 1, 7월 중순 출시 예정
2007/07/23 - [IT Story/IT 이슈] - MS, Vista의 다음 버전인 Windows 7 개발 계획 밝혀.
2007/08/17 - [IT Story/웹 서비스] - 윈도 비스타, 아직 기업에서 쓰기에는 무리?
2007/12/03 - [IT Story/IT 이슈] - 아이들의 인터넷 사용, 이제는 관리를..
2007/12/05 - [IT Story/IT 이슈] - MS의 윈도, Vista보다 XP가 더 가치있는 OS? ^^
2007/12/10 - [개인] - 집에 있는 PC에 윈도 Vista를 깔다.

미국의 한 보안관련 업체가 논란의 여지가 분명한 사업 모델을 선택하면서 소프트웨어(SW) 버그를 공개하는 방식을 둘러싸고 논쟁이 치열하다고 한다.

버그 사냥꾼「돈을 낼래, 고생 좀 할래?」 (ZDNet Korea)
Bug hunting start-up: Pay up, or feel the pain (CNetNews.com)

위의 기사를 읽다보면 참 열받는다. SW의 버그를 알려주는 것은 고맙지만 그걸 무기로 이용해서 기업에 협박을 하고 버그 해결책을 제공하는 방식은 분명 문제가 있다.

야렛 드모트가 지난 4월에 설립한 취약점 발견 및 분석 연구소(VDA)는 기존에 나와있는 SW에서 찾아낸 버그를 해당 SW 개발업체에 알려주는 일을 한다. 여기까지는 다른 보안업체에서도 하는 일이다.

그런데 문제는 VDA는 해당 업체에 VDA가 찾아낸 버그나 VDA 컨설팅 서비스에 돈을 지불할 것인지를 물어보고 그렇게 하지 않으면 버그를 다른 회사에 팔거나 공개하겠다고 위협을 한다는 것이다.

드모트는 이 모델을 "참신하다"라고 생각하지만 다른 보안관계자들은 이것은 거의 "강탈"에 가깝다고 말하고 있다. 내가 봐도 저건 강탈이다. 협박을 통해서 자신들의 이득을 얻을려고 하는게 강탈이 아니고 뭐겠는가?

예전에 중국의 한 해커단체가 국내 IDC나 웹 서비스 업체에 협박메일을 보냈다고 한다. 일정 금액을 지불하지 않으면 해당 웹서비스나 IDC를 해킹하겠다고 말이다. 현재 국내 웹서비스 업체의 보안은 지극히 낮다. 대규모 DDOS 공격이 들어오면 대부분 다 뚫린다고 봐야 할 것이다. DNSEver라는 네임서버 서비스 업체도 대규모 DDOS 공격을 맞고 한때 서비스 불능이 되는 경우도 있었다. VDA의 사업방식이 저 중국해커단체가 협박하는 거와 뭐가 다르단 말인가.

기사에서 한 예를 보여줬는데 미국의 인기있는 소셜 네트워크 서비스(SNS)인 링케딘에서 VDA는 링케딘의 IE 툴바에 버그를 발견하고는 메일을 보냈다고 한다. 메일에서 VDA는 버그를 발견했으며 버그 구입을 권유했다고 한다. 그러나 링케딘은 답변을 보내지 않았고 VDA는 다시 메일을 보내 버그를 사지 않겠다면 다른 기업에게 버그를 팔 것이라고 협박했다. 표면상 내용은 이 버그로 다른 서버에 보안문제가 생기지 않게하기 위함이라고 했지만 염연히 협박이다. 그리고는 버그를 사겠다면 버그를 공격할 수 있는 공격방법을 알려주며 해결책을 마련한 후 수표를 보내면 된다고 했다. 그리고 기한은 7월 17일까지고 금액은 $5000이었다. 기간을 하루 남기고는 2통의 메일을 보냈는데 하나는 기한이 지났다는 것이며 나머지 하나는 금액이 $10000으로 증가했다는 메일이다. 한마디로 협박이다.

다른 보안관계자들은 당연히 이 방식에 대해서 거부감을 드러냈다. 요한네스 울리히 산스 연구소 수석 연구원은 "특히 이 경우 돈을 내지 않으면 버그를 공개하겠다고 위협하였으므로 강탈이라고 생각한다. 버그를 인질로 잡아서는 안된다"고 말했다. 하지만 드모트는 이 사업으로 어느정도 성공을 거두었다고 한다. 당연히 어느정도는 될 것이다. 버그를 패치하지 않으면 서비스에 치명적인 악영향을 끼치는데 누가 버그패치를 안할까? 드모트는 이 사업방식이 기존 사업방식에 몇가지 요소를 더 가미했다고 주장하고 있다. 하지만 강탈은 강탈이다.

최근 버그 현상금 사냥꾼들의 행보가 활발해지고 있다. VDA와 비슷한 방법으로 다른 솔루션들의 버그를 발견하고 그 패치의 댓가를 요구하는 경우가 많아졌다고 한다. 그리고 이 사업모델은 이제 시작이라는 점이 눈길을 끈다. 하기사 이런 사업모델은 예전에 비공개적으로 있었지만 이렇게 공개적으로 나온 것은 최근임을 감안할 때 이 사업모델의 성공여부는 적어도 5~6개월 이후에야 판가름날 수 있을 것이다.

일단 외국의 경우에만 해당하는 일일 것이다. 국내에는 아직 이런 버그 현상금 사냥꾼들은 공개적으로 활동하지 않는 것으로 안다. 하지만 남의 일같이 느껴지지 않는다. 위의 잠깐 중국 해커단체 공격위협을 예로 들었듯 국내의 수많은 웹서비스들이 저런 위협속에 존재한다. 그리고 그런 버그들을 찾아내는 것은 그다지 어렵지 않다. 미국이 워낙 생각하는 방식이 독특해서 저런 사업이 나올 수 있었지만 국내에도 저런 사업이 안나오라는 보장도 못하는 입장이다. 도덕적, 윤리적으로 분명 나쁜 일이기에 조용하지만 요즘과 같이 도덕적, 윤리적으로 타락하고 있는 상황에서는 언제든지 가능하지 않을까?