예전부터 가끔씩 나오던 이야기이기도 하고 특히 요즘 스마트폰 열풍이 불면서 심심찮게 보이고 있는 개드립이 오픈 소스라서 보안에 취약하다... 뭐 이런 이야기입니다. 뭐 소스를 다 보여주고 있으니까 분석하기도 쉽고 뚫리기도 쉽지 않을까 ... 라는 생각에 기반을 두고 있는건데 아마 보안에 대한 중대한 오해가 있기 때문에 할만한 발상이겠죠. 사실 이런 드립치는 친구들이 윈도우 서버나 맥 서버가 리눅스 서버나 FreeBSD보다 보안에서 우월하다고 드립을 칠까 궁금하긴 합니다만.

  pwn2own은 아마 07년부터 해마다 열리는 해킹 대회인데 상금도 주고 해킹한 보안 정보를 해당 업체에 팔 수 있게 주선하고, 뭣보담도 해킹한 디바이스를 해킹한 사람이 가질 수 있는 (!) 여러모로 재미있는 행사임니다. 대충 기억나는 건 08년 두번째 대회에서 윈도우랑 맥이랑 우분투 노트북을 가져다 놓고 첫째날은 아무것도 실행하지 않고 네트워크만 연결된 상태에서 둘째날은 브라우저를 띄워놓은 상태에서 셋째날은 더 완화된 조건이었는데 뭐였더라...  이야기의 결말은 첫째날 모두가 평안하였고 둘째날 10분만에 맥&사파리가 털리고 몇 시간 후에 윈도우+ie가 털리고 마지막날까지 우분투가 로얄럼블에서 살아남았다.. 뭐 이런 스토리입니다.

  09년은 브라우저와 모바일 부문이 열렸는데 브라우저에서 살아남은 것은 크롬이었고 모바일에선 아무도 죽지 않았죠. 10년? 전에 썼다시피 브라우저에선 올해도 크롬이 살아남았고 모바일에선 아잉폰만 털린 상태입니다:)

  뭐 사실 p2o를 언급하는건 맥이나 윈도우가 쓰레기라던가 리눅스나 크롬이 뚫리지 않는 강철의 코드를 가졌다 이딴 이야기가 아닙니다. 사실 리눅스나 크롬의 취약성은 지금 이순간도 발견되고 있을 거예요. 안드로이드도 뉴스에 종종 보안 관련한 구멍이 언급되곤 했고 말예요.  요는 이 쏟아져 나오는 보안 구멍을 찾아내고, 피드백 받고 대처하는 능력일 겁니다. 거기에 대해서 활성화된 오픈 소스 커뮤니티는 상당한 강점을 보여왔습니다. 소스를 살펴보다 혹은 사용하다 취약성을 발견하면 소스를 보고 그걸 막거나 커뮤니티에 올리면 그걸 할 일 없는 사람이나 그쪽 프로젝트 하는 사람이 보고 막아놓고 그걸 공유하고 패치하고 이런 식으로. 이렇게 활발한 피드백의 결과로 중대한 취약성을 찾기 힘들어진 결과가 오픈 소스 진영이 p2o에서 전통적으로 강한 면모를 보인거 아니냐는 거죠. (물론 메이저가 아니라서 뚫으려는 사람이 없어서도 그렇겠지만.) 요인즉 보안은 완결된 코드가 아니라 원활한 피드백을 통해 이루어지는 거란 말을 하고 싶은 거예요.

  보안이란 측면에서 오픈 소스를 까는 건 지금까지는 적어도 무리수가 아닌 가 싶네요. 윈도우가 사실 어마어마한 전문가 집단을 보유하고 있고 이들을 토대로 신속하게 대처하는 피드백 인프라를 갖추고 있지만 오픈 소스 진영에서 그보다 훨씬 저렴한 비용으로 그에 비견할만한 인프라들을 구축하고 있는 것도 사실이거든요. 혹자들은 멀티태스킹이 안된다는니 샌드박스니 하며 아잉폰이 근본적으로 보안 문제 따위는 있을 수 없다고 주장했지만, 결국 드러난 건 이미 대회 전부터 다양한 경로에서 경고되었던 보안문제를 p2o까지 발견, 패치하지 못한 애플의 피드백 인프라 아닌가 이거죠.

덧. 뭐 모질라에서 이번 대회를 위해 파폭 최신 패치까지 했는데 신나게 털려버린 걸 보면, 오픈 소스건 뭐건 인류의 창의력과 호기심 혹은 탐욕 앞에선 미약한 존재가 아닌가 싶기는 해요.