.gif)
14세 소년, 친구들과 게임하려다가 우연히 발견...애플에 알렸지만 무반응
소프트웨어 검증 단계에서 발견되었어야 할 버그...프라이버시 마인드 필요
[보안뉴스 문가용 기자] 페이스타임(FaceTime)에서 발견된 보안 취약점이 애플 커뮤니티를 뒤흔들었다. 이 취약점은 1월 19일, 14세 학생이 친구들과 포트나이트(Fortnite) 게임을 같이 하려고 그룹 채팅 방을 만들다가 우연히 발견한 것으로 알려져 있다.
[이미지 = iclickart]
이 취약점을 익스플로잇 하는 방법은 소셜 미디어를 통해 빠르게 퍼져갔고, 이 때문에 애플은 그룹 페이스타임(Group FaceTime) 기능을 잠시 비활성화시켰다. 그리고 미국 현지 시각으로 어제 패치를 이번 주 내에 배포하겠다고 발표했다. 그런데 이는 굉장히 늦은 대응이었다. 이 취약점을 제일 먼저 발견한 14세 소년의 어머니가 애플에 곧바로 이를 알리려 했기 때문이다. 애플 고객지원 센터에서 아무런 반응이 없자 바로 다음 날인 1월 20일에 트윗까지 작성해 올렸으나, 여전히 애플 측은 잠잠했다.
취약점을 익스플로잇 할 경우 그룹 페이스타임 방을 개설한 사람이, 요청을 받지 않는 사람의 음성과 영상에 접근할 수 있게 된다고 한다. 14세 소년 그랜트(Grant)는 그룹 페이스타임에 응하지 않는 친구를 통해 이 사실을 알아냈고, 이를 취재 나온 NBC 기자에게 상세히 설명했다. 소식은 빠르게 퍼졌다.
익스플로잇이 매우 간단해 애플이 출시 전 최종 소프트웨어 검사를 했다는 것 자체가 의심을 받고 있는 상황이다. 게다가 고객들과의 소통이라는 측면에서도 애플은 큰 비판을 받고 있다. 프라이버시와 보안을 그렇게나 강조한 회사가 소프트웨어와 하드웨어 설계 구조에서 지극히 간단한 버그를 발견하지 못하고, 이에 대한 제보를 받을 수 있는 채널조차 마련하지 않았다는 게 특히 애플 커뮤니티에서 회자되고 있다.
보안 업체 베라코드(Veracode)의 부회장인 크리스 엥(Chris Eng)은 “그룹 페이스타임의 취약점은 설계 오류인 것으로 보인다”며 “애플의 위협 모델링 과정 중에 발견되었어야 했다”고 설명한다. “개발자들이 애플리케이션 남용 시나리오를 하나하나 실험하는 과정에서 충분히 발견할 수 있었다고 보입니다.”
그러면서 “그룹 페이스타임 참여자가 신호를 받지 않는다면 어떻게 되는가와 같은 가상의 시나리오는 당연히 점검 매뉴얼에 있었어야 한다”고 덧붙였다. “굉장히 빈번하게 일어날 수 있는 사용 사례이기 때문입니다. 애플 정도 되는 회사가 이런 걸 실험하지 않았다는 것이 충격입니다.”
다행인 건 “설계 오류로 보이긴 하지만, 아키텍처를 뒤집어 엎어야 할 정도의 사안은 아닌 것 같다”는 것이다. “애플 생태계나 페이스타임 아키텍처 깊숙한 곳에 뿌리를 내리고 있는 문제는 아닐 겁니다. 기능의 사용 사례를 충분히 검토하지 못해서 일어난 일에 더 가깝고, 그래서 고치는 것이 크게 어렵지는 않을 겁니다.” 그러면서 그는 “운영진이 출시를 서두르고, 그래서 개발팀이 시간에 쫓겼을 가능성이 높다”고 추측했다.
애플은 이 부분에 대한 공식 입장 발표를 아직 하지 않고 있는 상황이다. 크리스 엥은 “그렇다고 이를 통해 무분별한, 무제한적인 스파잉 행위가 발생하지는 않을 것으로 보인다”고 예상했다. “실험을 진행해봤더니 접근 가능한 시간이 그리 길지 않더군요. 실제적으로 큰 위협이 될 가능성은 낮아 보입니다.”
또 다른 보안 업체 블랙클록(BlackCloak)의 CEO인 크리스 피어슨(Chris Pierson)은 “코딩과 구현 과정에서 문제가 발생한 것으로 보인다”는 입장이다. “코드를 만들고, 이를 구현하는 과정에서는 문제가 항상 발생합니다. 그래서 정적 분석과 동적 분석을 할뿐만 아니라 품질 및 보증(Q&A) 과정을 거치고 또 거쳐 최종 출시를 하는 게 중요한 겁니다.”
피어슨과 엥의 입장이 작은 차이를 보이고는 있지만 “감독을 소홀히 했다”는 것 자체는 맥락을 같이 한다. 피어슨은 “Q&A 단계에서 이 문제를 발견하지 못했다는 게 특히 치명적”이라고 말한다. “페이스타임이라는 소프트웨어에서만 이러한 문제가 발생한 것일 수도 있지만, 어쩌면 애플이 만드는 모든 소프트웨어의 Q&A 절차가 부실한 것일 수도 있습니다. 그렇다면 애플은 이러한 문제부터 점검해야 하겠죠.”
엥은 “애플 입장에서 사용자의 전화번호 추가 기능을 삭제만 해도 문제가 어느 정도 완화되지 않을까 생각한다”고 설명했다. “이 기능을 없앤다고 해서 페이스타임 아키텍처나 품질에 손상이 가는 것도 아닐 겁니다.” 그러면서 엥은 “애플이 어떤 해결책을 들고 나올지 모르겠지만, 크게 골치 아플 일은 아닐 것”이라며 “대단히 심각한 사태로 보이지는 않는다”고 덧붙이기도 했다.
보안 업체 수모로직(SumoLogic)의 CSO인 조지 거초우(George Gerchow)는 “애플처럼 큰 회사가 소프트웨어 개발 과정 중에 사소한 보안 이슈를 놓칠 수 있다는 건 꽤나 시사하는 바가 크다”고 정리한다. “기업의 규모가 어떻든 결국 프라이버시 침해와 관련된 내용을 개발 과정 중에 반드시 인지하고 있어야 합니다. 이제는 그런 때가 되었어요. 프라이버시에 대한 ‘마인드’ 자체가 없다면 늘 오류투성이의 제품만 나올 겁니다. 개발의 마인드부터 바뀌어야 합니다.”
그러면서 “100% 안전한 데이터라는 건 아직까지 존재하지 않는다”는 것도 기억해야 할 것으로 거초우는 꼽았다. “아무도 내 데이터는 완벽히 안전하다고 안심할 수 없습니다. 데이터 보호는 보안 업체와 기업의 책임이기도 하지만, 어느 정도는 사용자에게도 책임이 있을 수밖에 없습니다.”
3줄 요약
1. 14세 소년, 우연히 페이스타임에서 버그 발견함. 상대를 도청할 수 있게 해주는 취약점이었음.
2. 엄마가 이를 알리려 했으나 애플은 무반응. 이 점도 지금 비판의 대상이 되고 있음.
3. 보안 전문가들은 애플의 소프트웨어 점검 과정에 결함이 있었던 것으로 예상 중.
[국제부 문가용 기자(globoan@boannews.com)]
소프트웨어 검증 단계에서 발견되었어야 할 버그...프라이버시 마인드 필요
[보안뉴스 문가용 기자] 페이스타임(FaceTime)에서 발견된 보안 취약점이 애플 커뮤니티를 뒤흔들었다. 이 취약점은 1월 19일, 14세 학생이 친구들과 포트나이트(Fortnite) 게임을 같이 하려고 그룹 채팅 방을 만들다가 우연히 발견한 것으로 알려져 있다.
[이미지 = iclickart]
이 취약점을 익스플로잇 하는 방법은 소셜 미디어를 통해 빠르게 퍼져갔고, 이 때문에 애플은 그룹 페이스타임(Group FaceTime) 기능을 잠시 비활성화시켰다. 그리고 미국 현지 시각으로 어제 패치를 이번 주 내에 배포하겠다고 발표했다. 그런데 이는 굉장히 늦은 대응이었다. 이 취약점을 제일 먼저 발견한 14세 소년의 어머니가 애플에 곧바로 이를 알리려 했기 때문이다. 애플 고객지원 센터에서 아무런 반응이 없자 바로 다음 날인 1월 20일에 트윗까지 작성해 올렸으나, 여전히 애플 측은 잠잠했다.
취약점을 익스플로잇 할 경우 그룹 페이스타임 방을 개설한 사람이, 요청을 받지 않는 사람의 음성과 영상에 접근할 수 있게 된다고 한다. 14세 소년 그랜트(Grant)는 그룹 페이스타임에 응하지 않는 친구를 통해 이 사실을 알아냈고, 이를 취재 나온 NBC 기자에게 상세히 설명했다. 소식은 빠르게 퍼졌다.
익스플로잇이 매우 간단해 애플이 출시 전 최종 소프트웨어 검사를 했다는 것 자체가 의심을 받고 있는 상황이다. 게다가 고객들과의 소통이라는 측면에서도 애플은 큰 비판을 받고 있다. 프라이버시와 보안을 그렇게나 강조한 회사가 소프트웨어와 하드웨어 설계 구조에서 지극히 간단한 버그를 발견하지 못하고, 이에 대한 제보를 받을 수 있는 채널조차 마련하지 않았다는 게 특히 애플 커뮤니티에서 회자되고 있다.
보안 업체 베라코드(Veracode)의 부회장인 크리스 엥(Chris Eng)은 “그룹 페이스타임의 취약점은 설계 오류인 것으로 보인다”며 “애플의 위협 모델링 과정 중에 발견되었어야 했다”고 설명한다. “개발자들이 애플리케이션 남용 시나리오를 하나하나 실험하는 과정에서 충분히 발견할 수 있었다고 보입니다.”
그러면서 “그룹 페이스타임 참여자가 신호를 받지 않는다면 어떻게 되는가와 같은 가상의 시나리오는 당연히 점검 매뉴얼에 있었어야 한다”고 덧붙였다. “굉장히 빈번하게 일어날 수 있는 사용 사례이기 때문입니다. 애플 정도 되는 회사가 이런 걸 실험하지 않았다는 것이 충격입니다.”
다행인 건 “설계 오류로 보이긴 하지만, 아키텍처를 뒤집어 엎어야 할 정도의 사안은 아닌 것 같다”는 것이다. “애플 생태계나 페이스타임 아키텍처 깊숙한 곳에 뿌리를 내리고 있는 문제는 아닐 겁니다. 기능의 사용 사례를 충분히 검토하지 못해서 일어난 일에 더 가깝고, 그래서 고치는 것이 크게 어렵지는 않을 겁니다.” 그러면서 그는 “운영진이 출시를 서두르고, 그래서 개발팀이 시간에 쫓겼을 가능성이 높다”고 추측했다.
애플은 이 부분에 대한 공식 입장 발표를 아직 하지 않고 있는 상황이다. 크리스 엥은 “그렇다고 이를 통해 무분별한, 무제한적인 스파잉 행위가 발생하지는 않을 것으로 보인다”고 예상했다. “실험을 진행해봤더니 접근 가능한 시간이 그리 길지 않더군요. 실제적으로 큰 위협이 될 가능성은 낮아 보입니다.”
또 다른 보안 업체 블랙클록(BlackCloak)의 CEO인 크리스 피어슨(Chris Pierson)은 “코딩과 구현 과정에서 문제가 발생한 것으로 보인다”는 입장이다. “코드를 만들고, 이를 구현하는 과정에서는 문제가 항상 발생합니다. 그래서 정적 분석과 동적 분석을 할뿐만 아니라 품질 및 보증(Q&A) 과정을 거치고 또 거쳐 최종 출시를 하는 게 중요한 겁니다.”
피어슨과 엥의 입장이 작은 차이를 보이고는 있지만 “감독을 소홀히 했다”는 것 자체는 맥락을 같이 한다. 피어슨은 “Q&A 단계에서 이 문제를 발견하지 못했다는 게 특히 치명적”이라고 말한다. “페이스타임이라는 소프트웨어에서만 이러한 문제가 발생한 것일 수도 있지만, 어쩌면 애플이 만드는 모든 소프트웨어의 Q&A 절차가 부실한 것일 수도 있습니다. 그렇다면 애플은 이러한 문제부터 점검해야 하겠죠.”
엥은 “애플 입장에서 사용자의 전화번호 추가 기능을 삭제만 해도 문제가 어느 정도 완화되지 않을까 생각한다”고 설명했다. “이 기능을 없앤다고 해서 페이스타임 아키텍처나 품질에 손상이 가는 것도 아닐 겁니다.” 그러면서 엥은 “애플이 어떤 해결책을 들고 나올지 모르겠지만, 크게 골치 아플 일은 아닐 것”이라며 “대단히 심각한 사태로 보이지는 않는다”고 덧붙이기도 했다.
보안 업체 수모로직(SumoLogic)의 CSO인 조지 거초우(George Gerchow)는 “애플처럼 큰 회사가 소프트웨어 개발 과정 중에 사소한 보안 이슈를 놓칠 수 있다는 건 꽤나 시사하는 바가 크다”고 정리한다. “기업의 규모가 어떻든 결국 프라이버시 침해와 관련된 내용을 개발 과정 중에 반드시 인지하고 있어야 합니다. 이제는 그런 때가 되었어요. 프라이버시에 대한 ‘마인드’ 자체가 없다면 늘 오류투성이의 제품만 나올 겁니다. 개발의 마인드부터 바뀌어야 합니다.”
그러면서 “100% 안전한 데이터라는 건 아직까지 존재하지 않는다”는 것도 기억해야 할 것으로 거초우는 꼽았다. “아무도 내 데이터는 완벽히 안전하다고 안심할 수 없습니다. 데이터 보호는 보안 업체와 기업의 책임이기도 하지만, 어느 정도는 사용자에게도 책임이 있을 수밖에 없습니다.”
3줄 요약
1. 14세 소년, 우연히 페이스타임에서 버그 발견함. 상대를 도청할 수 있게 해주는 취약점이었음.
2. 엄마가 이를 알리려 했으나 애플은 무반응. 이 점도 지금 비판의 대상이 되고 있음.
3. 보안 전문가들은 애플의 소프트웨어 점검 과정에 결함이 있었던 것으로 예상 중.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
