2008년 07월 11일
소프트웨어 취약점을 대하는 제작사의 자세에 대한 푸념
소프트웨어에 취약점이 발견되면 제작사 입장에서는 당연히 수정을 하여 이로 인해 발생하는 불상사가 없도록 하는 것이 인지상정이다. 예를 들면, 마이크로소프트나 Adobe와 같은 해외 유수의 소프트웨어 업체들은 과거와는 달리 스스로 자사의 취약점을 찾아내고 이를 수정하기 위해 많은 투자를 하는 것으로 알고 있다. 또한 공식적인 Advisory Report 시스템도 갖추고 있어 과거의 히스토리를 일목요연하게 볼 수 있도록 해두었다.
하지만 우리나라 소프트웨어 제작사는 어떤가?
솔직히 모든 제작사가 어떤지는 잘 모르겠지만 내가 느낀 것은 이런 노력에 그렇게 크게 투자하지 않는 것 같다라는 것이다. 설사 국내외 보안전문가들에 의해서 취약점 내용이 입수되더라도 수정만하지 회사의 공식적인 Advisory 체계적으로 관리 발표하는 곳은 거의 못 본것 같다. 차라리 오픈 소스 측 소프트웨어가 더 잘 되는것 같다.
혹자는 그럴 것이다. 해외의 잘나가는 기업과 그에 비하면 영세할 정도로 작은 국내 기업이 어떻게 같은 서비스를 할 수 있겠냐고...
이 말에 나도 어느정도 동감한다. 아무래도 시스템화 하는데는 자본이 투자되어야 하기 때문이다. 솔직히 나도 똑같이 하기를 기대하지는 않는다. 다만, 능동적으로 취약점을 찾기위한 노력은 하지 않더라도 외부에서 들어오는 보고에 반응 제깍제깍하고 수정사항에 대해 공식적인 Advisory정도는 해야 할 것이다. Advisory도 힘들다면 공지사항에 '이러이러한 취약점이 존재했고 이번에 고쳤다' 수준의 리포트는 해야 한다고 본다. 하지만 이정도도 안되는 곳이 너무나 많다.
난 이런 것들이 보안 취약점(또는 소프트웨어 결함)을 바라보는 마인드의 차이라고 생각한다. 즉, 아래처럼 생각하는 것 같다.
- 우리회사 제품에 보안 취약점이 있다는 것은 부끄러운 일이다.
- 고객들이 알아봐야 좋을 것 없다. 조용히 내부적으로 처리하자.
그런데 이런 생각을 국가에서 운영하는 기관에서도 좀 가지고 있는 것 같다. 그러니깐 우리끼리 알아서 문제 해결합시다 라는 식으로.. 제작사하고 기관끼리만 정보를 주고받고 문제 해결되면 그걸로 덮는 것 같다.
결국 이런식이다 보니...
국내 보안 전문가들이 국내 제품에 뭐 하나 발견해서 문제시하면 무슨 국가에 반하는 행동이나 하는 것 처럼 치부하는 경향을 보인다. 그러니 국내 많은 유능한 전문가들이 많지만 국내 소프트웨어 취약점 분석 활동을 떳떳하게 하지 못하는 것 같다.
난 이렇게 생각한다.
소프트웨어에 취약점이 있는 것은 부끄러운 일이 아니다. 모든 소프트웨어는 결함을 가지고 있다. 어떻게 생각하면 취약점이 나온다는 것은 그만큼 많이 사용되고 있고 관심의 대상이라는 것을 반증하는 것이다. 오히려 이런 것에 대해 자신있고 능동적으로 대응하면 더 칭찬받고 박수 받을 것이다.
정말.. 소프트웨어 제작사들이 취약점이라는 놈 앞에서 너무 수동적이지 않았으면 좋겠다.
- 지극히 개인적인 잡설입니다. -
하지만 우리나라 소프트웨어 제작사는 어떤가?
솔직히 모든 제작사가 어떤지는 잘 모르겠지만 내가 느낀 것은 이런 노력에 그렇게 크게 투자하지 않는 것 같다라는 것이다. 설사 국내외 보안전문가들에 의해서 취약점 내용이 입수되더라도 수정만하지 회사의 공식적인 Advisory 체계적으로 관리 발표하는 곳은 거의 못 본것 같다. 차라리 오픈 소스 측 소프트웨어가 더 잘 되는것 같다.
혹자는 그럴 것이다. 해외의 잘나가는 기업과 그에 비하면 영세할 정도로 작은 국내 기업이 어떻게 같은 서비스를 할 수 있겠냐고...
이 말에 나도 어느정도 동감한다. 아무래도 시스템화 하는데는 자본이 투자되어야 하기 때문이다. 솔직히 나도 똑같이 하기를 기대하지는 않는다. 다만, 능동적으로 취약점을 찾기위한 노력은 하지 않더라도 외부에서 들어오는 보고에 반응 제깍제깍하고 수정사항에 대해 공식적인 Advisory정도는 해야 할 것이다. Advisory도 힘들다면 공지사항에 '이러이러한 취약점이 존재했고 이번에 고쳤다' 수준의 리포트는 해야 한다고 본다. 하지만 이정도도 안되는 곳이 너무나 많다.
난 이런 것들이 보안 취약점(또는 소프트웨어 결함)을 바라보는 마인드의 차이라고 생각한다. 즉, 아래처럼 생각하는 것 같다.
- 우리회사 제품에 보안 취약점이 있다는 것은 부끄러운 일이다.
- 고객들이 알아봐야 좋을 것 없다. 조용히 내부적으로 처리하자.
그런데 이런 생각을 국가에서 운영하는 기관에서도 좀 가지고 있는 것 같다. 그러니깐 우리끼리 알아서 문제 해결합시다 라는 식으로.. 제작사하고 기관끼리만 정보를 주고받고 문제 해결되면 그걸로 덮는 것 같다.
결국 이런식이다 보니...
국내 보안 전문가들이 국내 제품에 뭐 하나 발견해서 문제시하면 무슨 국가에 반하는 행동이나 하는 것 처럼 치부하는 경향을 보인다. 그러니 국내 많은 유능한 전문가들이 많지만 국내 소프트웨어 취약점 분석 활동을 떳떳하게 하지 못하는 것 같다.
난 이렇게 생각한다.
소프트웨어에 취약점이 있는 것은 부끄러운 일이 아니다. 모든 소프트웨어는 결함을 가지고 있다. 어떻게 생각하면 취약점이 나온다는 것은 그만큼 많이 사용되고 있고 관심의 대상이라는 것을 반증하는 것이다. 오히려 이런 것에 대해 자신있고 능동적으로 대응하면 더 칭찬받고 박수 받을 것이다.
정말.. 소프트웨어 제작사들이 취약점이라는 놈 앞에서 너무 수동적이지 않았으면 좋겠다.
- 지극히 개인적인 잡설입니다. -
# by | 2008/07/11 17:50 | 잡생각 | 트랙백 | 덧글(3)
고등학교 때 대학교에서 주최하는 해킹 대회에서 수상했는데, 상을 나중에 몰래 주더군요.
그 당시엔 좀 미묘한 기분이 들었었죠.