4개월 전 발생한 ‘취약점 공개 원칙’ 논란의 후속 이야기
생산자와 보안 전문가의 위태위태한 관계, 더 약해져
[보안뉴스 문가용 기자] 사물인터넷 의료기기들에 대한 논란이 이어지는 가운데, 최근 세인트주드(St. Jude Medical)에서 심장박동기 제품들의 업데이트를 진행했다는 소식이 있었다. 세인트주드는 일부 업체 및 경쟁사로부터 ‘패치를 제대로 하지 않는다’고 비판을 받아온 곳이다. 미국 식약청 또한 세인트주드에 사물인터넷 의료 기기들의 취약점을 제대로 패치하라고 경고문을 발송한 상태였다.
.jpg)
하지만 또 다른 의료 업체인 메드섹(MedSec)의 저스틴 본(Justine Bone) CEO는 “세인트주드가 드디어 패치를 진행한 것 자체는 기쁜 소식이지만 모든 오류가 제대로 처리된 것은 아니다”라고 밝혔다. 메드섹은 세인트주드 의료기기의 취약점을 앞장서서 공개한 업체다. 저스틴 본 CEO는 “사안의 민감성 때문에 자세히 밝히기 곤란하지만 한 가지 예를 들자면 RF 프로토콜에 인증 단계가 존재하지 않는다”며 “생산자가 직접 패치를 배포하는 문화가 더 정착해야 한다”고 주장하기도 했다.
4개월 전 메드섹은 세인트주드의 취약점을 공개해 주식거래에서 이득을 본 것으로 보도된 바 있다. 이 때문에 취약점 공개에 대한 윤리성과 표준 절차 마련에 대한 논의가 불거지기도 했다. 저스틴 본은 “메드섹도 전통적인 취약점 공개 절차를 존중한다”고 운을 뗐다. 하지만 세인트주드의 경우 “취약점을 먼저 제보한다손 치더라도 아무런 조치를 취하지 않을 것이라는 확신이 있었기 때문”에 먼저 터트린 것이라고 주장했다.
“저희가 취약점을 조사하고 발견한 것의 목표는 세인트주드가 실제로 해당 문제점들을 고치게 하는 것이었습니다. 하지만 기존의 방법으로는 꿈쩍도 하지 않을 것이 분명하니 새로운 방법을 취한 것입니다. 그리고 그건 꽤나 잘 먹혔죠. 아직도 갈 길이 남아있긴 하지만요.” 그렇지만 앞으로 계속 이런 방식으로 취약점을 공개하지는 않을 계획이라고 한다. “아직까지는 기존의 취약점 공개 방식을 따를 겁니다. 해당 기업에 먼저 연락을 해서 패치할 시간을 주고, 일정 시간이 지났을 때까지 패치가 나오지 않으면 대중에게 공개하는 관례를 존중합니다”
보안 업체인 디지털본드(Digital Bond)의 CEO 데일 피터슨(Dale Peterson)은 “그럼에도 해당 과정을 통해서 금전적인 이득이 발생한 게 사실”을 지적한다. 많은 보안 전문가 및 전문매체의 의혹이 해소되지 않은 부분이다. 이에 대해 저스틴은 “정당한 연구에 정당한 보상이 돌아온 것이 왜 의혹거리인지 모르겠다”며 “오히려 취약점 제보를 했는데도 아무런 조치를 취하지 않는 회사가 이상한 거 아닌가?”라고 되물었다.
그러나 피터슨은 “정당한 연구까지는 인정할 수 있지만, 정당한 보상인지는 잘 모르겠다”는 의견이다. “자기가 연구한 결과물로 어떻게든 수익을 내고 싶었던 것 같습니다. 물론 그런 노력 자체가 잘못되었다고 볼 수는 없습니다. 막말로 범죄를 저질러 수익을 낸 것도 아니니까요. 그러나 어느 정도 비난을 받을 수도 있어 보입니다.”
메드섹은 식약청과 국토안보부에 취약점에 대한 상세 보고서를 제출한 상태다. 그렇게까지 해야 겨우 세인트주드를 움직일 수 있었다는 게 저스틴의 주장이다. “식약청하고만 작업을 했다면 세인트주드가 아직도 패치를 안 했을 겁니다.” 의료기기와 관련된 사안이었던 만큼 메드섹의 대담한 조치를 옹호하는 목소리들도 적지 않다. 아무튼 생명을 다루는 기계가 한 단계 더 향상된 건 사실이기 때문이다.
그러나 보안 관계자들의 시선은 곱지 않다. 제품을 만들어내는 생산자와 묻지도 않은 취약점을 캐내는 보안 전문가의 사이가 좋을 리 없는데, 이 사건 때문에 이 약한 연결고리가 더 위태해졌기 때문이다. 국제 전문 단체인 아틀랜틱카운슬(Atlantic Council)의 조시 코르만(Josh Corman) 의장은 “보안 전문가와 제조사가 직접 취약점과 패치를 주고받는 게 아니라 정부기관을 끼고 했다는 선례 자체가 부정적”이라고 말한다.
“취약점을 발견하고 그걸 고쳐서 제품을 향상시키는 관계는 시장 안에서 자연스럽게 발생한 것입니다. 장기적으로 자리를 잡아감으로써 공생관계로 이어져갈 여지가 있었습니다. 그런데 여기에 제3의 세력이 개입한다는 건 이런 장기적인 발전이 저해될 수 있다는 겁니다. 물론 좋은 방향으로 나아갈 수도 있지만, 개인적으론 회의적입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
생산자와 보안 전문가의 위태위태한 관계, 더 약해져
[보안뉴스 문가용 기자] 사물인터넷 의료기기들에 대한 논란이 이어지는 가운데, 최근 세인트주드(St. Jude Medical)에서 심장박동기 제품들의 업데이트를 진행했다는 소식이 있었다. 세인트주드는 일부 업체 및 경쟁사로부터 ‘패치를 제대로 하지 않는다’고 비판을 받아온 곳이다. 미국 식약청 또한 세인트주드에 사물인터넷 의료 기기들의 취약점을 제대로 패치하라고 경고문을 발송한 상태였다.
하지만 또 다른 의료 업체인 메드섹(MedSec)의 저스틴 본(Justine Bone) CEO는 “세인트주드가 드디어 패치를 진행한 것 자체는 기쁜 소식이지만 모든 오류가 제대로 처리된 것은 아니다”라고 밝혔다. 메드섹은 세인트주드 의료기기의 취약점을 앞장서서 공개한 업체다. 저스틴 본 CEO는 “사안의 민감성 때문에 자세히 밝히기 곤란하지만 한 가지 예를 들자면 RF 프로토콜에 인증 단계가 존재하지 않는다”며 “생산자가 직접 패치를 배포하는 문화가 더 정착해야 한다”고 주장하기도 했다.
4개월 전 메드섹은 세인트주드의 취약점을 공개해 주식거래에서 이득을 본 것으로 보도된 바 있다. 이 때문에 취약점 공개에 대한 윤리성과 표준 절차 마련에 대한 논의가 불거지기도 했다. 저스틴 본은 “메드섹도 전통적인 취약점 공개 절차를 존중한다”고 운을 뗐다. 하지만 세인트주드의 경우 “취약점을 먼저 제보한다손 치더라도 아무런 조치를 취하지 않을 것이라는 확신이 있었기 때문”에 먼저 터트린 것이라고 주장했다.
“저희가 취약점을 조사하고 발견한 것의 목표는 세인트주드가 실제로 해당 문제점들을 고치게 하는 것이었습니다. 하지만 기존의 방법으로는 꿈쩍도 하지 않을 것이 분명하니 새로운 방법을 취한 것입니다. 그리고 그건 꽤나 잘 먹혔죠. 아직도 갈 길이 남아있긴 하지만요.” 그렇지만 앞으로 계속 이런 방식으로 취약점을 공개하지는 않을 계획이라고 한다. “아직까지는 기존의 취약점 공개 방식을 따를 겁니다. 해당 기업에 먼저 연락을 해서 패치할 시간을 주고, 일정 시간이 지났을 때까지 패치가 나오지 않으면 대중에게 공개하는 관례를 존중합니다”
보안 업체인 디지털본드(Digital Bond)의 CEO 데일 피터슨(Dale Peterson)은 “그럼에도 해당 과정을 통해서 금전적인 이득이 발생한 게 사실”을 지적한다. 많은 보안 전문가 및 전문매체의 의혹이 해소되지 않은 부분이다. 이에 대해 저스틴은 “정당한 연구에 정당한 보상이 돌아온 것이 왜 의혹거리인지 모르겠다”며 “오히려 취약점 제보를 했는데도 아무런 조치를 취하지 않는 회사가 이상한 거 아닌가?”라고 되물었다.
그러나 피터슨은 “정당한 연구까지는 인정할 수 있지만, 정당한 보상인지는 잘 모르겠다”는 의견이다. “자기가 연구한 결과물로 어떻게든 수익을 내고 싶었던 것 같습니다. 물론 그런 노력 자체가 잘못되었다고 볼 수는 없습니다. 막말로 범죄를 저질러 수익을 낸 것도 아니니까요. 그러나 어느 정도 비난을 받을 수도 있어 보입니다.”
메드섹은 식약청과 국토안보부에 취약점에 대한 상세 보고서를 제출한 상태다. 그렇게까지 해야 겨우 세인트주드를 움직일 수 있었다는 게 저스틴의 주장이다. “식약청하고만 작업을 했다면 세인트주드가 아직도 패치를 안 했을 겁니다.” 의료기기와 관련된 사안이었던 만큼 메드섹의 대담한 조치를 옹호하는 목소리들도 적지 않다. 아무튼 생명을 다루는 기계가 한 단계 더 향상된 건 사실이기 때문이다.
그러나 보안 관계자들의 시선은 곱지 않다. 제품을 만들어내는 생산자와 묻지도 않은 취약점을 캐내는 보안 전문가의 사이가 좋을 리 없는데, 이 사건 때문에 이 약한 연결고리가 더 위태해졌기 때문이다. 국제 전문 단체인 아틀랜틱카운슬(Atlantic Council)의 조시 코르만(Josh Corman) 의장은 “보안 전문가와 제조사가 직접 취약점과 패치를 주고받는 게 아니라 정부기관을 끼고 했다는 선례 자체가 부정적”이라고 말한다.
“취약점을 발견하고 그걸 고쳐서 제품을 향상시키는 관계는 시장 안에서 자연스럽게 발생한 것입니다. 장기적으로 자리를 잡아감으로써 공생관계로 이어져갈 여지가 있었습니다. 그런데 여기에 제3의 세력이 개입한다는 건 이런 장기적인 발전이 저해될 수 있다는 겁니다. 물론 좋은 방향으로 나아갈 수도 있지만, 개인적으론 회의적입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
