논란 속에서도 전 세계 디지털 위협에 맞서 싸우는 자신만만한 수호자가 있다. 구글의‘프로젝트 제로’는 자신만의 방식으로 인터넷 세계를 지키고 있다. 그렇다면 문제는 없을까?
지난 2월 어느 금요일 오후, 캘리포니아 주 마운틴 뷰 Mountain View에 위치한 구글 본사. 짧은 갈색머리와 불안한 미소가 특징인 해커 태비스 오먼디Tavis Ormandy가 사무실에서 ‘퍼징fuzzing’을 하고 있었다. 퍼징은 소프트웨어에 데이터를 무작위로 주입해 오 류를 찾아내는 작업으로, 코딩 후 소프트웨어에 있는 문제점을 찾을 때 애용된다. 늘 그렇듯, 작업 중인 데이터에서 잘못된 점이 발견 됐다. ‘이상하네.’ 그는 생각했다. 데이터의 오염이 일반적인 양상과 달랐다. 예상하던 결과가 아닌, 이상한 데이터 덩어리들이 여기저기 흩어진 괴이한 형태였다. 오먼디는 더 자세히 살펴보았다.
충분한 정보를 모은 후, 오먼디는 동료들을 불러모아 자신이 발견한 사 실을 공유했다. 그들은 모두 구글의 ‘프로젝트 제로’ 소속이었다. 곧바로 팀 원들은 샌프란시스코에 있는 IT기업 클라우드플레어 Cloudflare에서 광범위한 데이터 유출이 진행되고 있음을 알게 되었다. 전 세계 인터넷 트래픽의 약 10%를 차지하는 클라우드플레어의 콘텐츠 전송 네트워크 프로세스는 평소에는 아무 문제가 없었다. 그러나 오먼디가 몇 달 전부터 클라우드플레어 서버가 인터넷 여기저기에 개인정보를 뿌리고 있다는 것을 포착해냈다.
오먼디는 클라우드플레어에 아는 사람이 없었다. 3일 연휴 시작 전날 늦은 오후였기 때문에 기술지원팀에 전화를 걸기도 망설여졌다. 그래서 머리에 떠오른 차선책을 선택했다. 트위터에 글을 올려 수만 명의 팔로워에게 사태를 알린 것이었다.
“클라우드플레어 보안팀 관계자 혹시 있으신가요.”
글 작성 시각은 태평양 시간 기준 오후 5시11분이었다. 그는 클라우드플레어 트위터의@ 계정이름을 이용해 계정 관리자에게 알림을 보내지는 않았다. 그럴 필요가 없었다. 정보보안 업계에서 그의 위상이 워낙 높았기 때문에 그가 트위터에 글을 올린 지 15분 만에 모든 관계자(그리고 관계가 없는 많은 사람들)에게 이 소식이 전해졌다.
런던시각으로 새벽 1시 26분. 클라우드플레어 최고기 술책임자(CTO) 존그레이엄-커밍 JohnGrahamCumming이 침대 옆 충전기에 꽂아뒀던 휴대전화의 진동음 때문에 단 잠을 깼다. 그는 눈을 비비며 웅웅 거리는 전화기에 손을 뻗었다. 부재중 전화였다. 발신인은 자정 이후에도 그에게 전화를 걸 수 있는 몇 안 되는 동료 중 한 명이었다. 그레이엄-커밍은 무슨 일이냐고 문자메시지를 보냈다. 동료로부터 즉시 답장이 왔다.
아주 심각한 보안 문제가 터졌다.
잠이 달아난 그레이엄-커밍은 곧 바로 일어나 답장을 보냈다.
지금 컴퓨터 켤게.
침대에서 일어난 그레이엄-커밍은 이런 사태를 대비 해 충전기, 헤드폰, 여분의 배터리를 넣어 둔 비상용 가방을 들고 지하실로 내려갔다. 그는 노트북 컴퓨터를 켜고 클라우드플레어 캘리포니아 본사 동료들이 모여있는 구글 행아웃 GoogleHangout *역주:구글의 채팅앱에 동참했다.
보안팀이 현 상황에 대해 간단히 보고했다. 구글의 프로젝트 제로가 클라우드플레어 내부 인프라에서 악성 버그를 발견했다는 내용이었다. 미 연방수사국(FBI), 나스닥, 레딧 Reddit*역주:미국의 커뮤니티 사이트 등 600만 개가 넘는 웹사이트 운영을 지원하는 서버에서 데이터가 유출 된 것이었다. 누구나 클라우드플레어가 지원하는 사이트에 접속해 특정 조건을 만족하면 인증 토큰, 쿠키, 네트워크내 다른 사이트(우버, 통합비밀번호관리사이트 1패스 워드 1Password, 만남사이트 오케이큐피드 OKCupid, 스마트밴드제조사핏비트 Fitbit 등)에서 사용자가 주고받은 개인적인 메시지에 접근할 수 있었다.
문외한의 눈에는 보이지 않는 유출이었다. 심지어 유출된 정보는 몇 달째 검색엔진과 기타 웹 크롤러 web crawler*역주:인터넷에서 관심정보를 추출·수집하는 소프트웨어의 캐시 cache*역주:검색된 페이지를 저장해놓는 기능에 저장 되고 있었다. 그건 유출을 멈추는 것만으론 문제가 해결되지 않는다는 뜻이었다.
그레이엄-커밍은“원유 유출 사고와 비슷한 것”이라고 말했다. “유조선의 구멍을 해결하기는 쉽지만, 엄청나게 넓은 오염 해역을 정화해야 한다는 게 진짜 문제였다.”
클라우드플레어의 엔지니어들은 곧 분류 작업에 돌입 했다. 보안 책임자 마크 로저스 MarcRogers가 이 작업을 지휘했다(로저스는 USA네트워크 USANetwork*역주:미국의 케이블 방송사 가 방영하는 해킹 소재 드라마 ‘미스터 로봇 Mr. Robot’의 제작자문이기도 하다). 한 시간도 지나지 않아, 보안팀은 전세계로의 데이터유출을 차단하는 1차 업데이트를 내놓았다. 몇 시간 후 기술진은 오류 발생에 영 향을 끼친 기능들을 롤백 rollback*역주: 데이터베이스를 오류 발생 이전 상태로 되돌려놓는 방법 했다. 오먼디가 트위터에 글을 올린 지약 7시간 후, 클라우드플레어의 엔지니어들 은 구글과 마이크로소프트, 야후 등 주요 검색엔진에 관련 웹페이지 캐시를 삭제해 달라고 요청했다.
기나긴 주말의 시작이었다. 클라우드플레어의 기술진은 어떤 데이터가 유출됐고, 범위는 어느 정도였는지를 파 악하는데 나머지 연휴를 보냈다.
구글 프로젝트 제로 팀은 클라우드플레어 측의 빠른 대응에 좋은 인상을 받았다(클라우드플레어는 보안 문제에 대한 투명성으로 정평이 높다). 그러나 이후 사건의 발표 시점을 놓고 협상이 진행되면서 둘 사이의 관계가 악화됐다. 구글과 클라우드플레어는 이르면 2월 21일 화요일에 성명을 발표한다는데 잠정 합의했다. 하지만 시간이 흐르면서 클라우드플레어 측이 정리할 시간이 더 필요하다는 결정을 내렸다. 화요일이 수요일로, 수요일이 목요일로 계속 늦춰졌다. 그러자 구글이 최후 통첩을 보냈다. 클라 우드플레어의 자체평가와 온라인 캐시 데이터 삭제가 완료됐는지 여부와 관계 없이, 두 회사가 목요일 오후에 유출 사건을 발표해야 한다는 것이었다. 오먼디는 이 사건을‘클라우드블리드 Cloudbleed ’*역주:피흘리다(bleed)라는 단어를 차용한 표현라 불렀다.
양측은 2월 23일 성명을 발표했다. 이후 1주일간 인터넷 세계는 대혼란에 빠져들었다.
프로젝트 제로와 관계 없는 사람들도 세계적으로 보안 위기가 증가 추세라는 것을 잘 알고 있다. 모든 회사가 IT기업인 시대가 도래하면서 해킹도 그만큼 흔해졌다. 법인 은행계좌 내 예금 도난, 개인대상첩보행위, 선거개입 같은 일들이 발생했다. 충격적인 보도도 이어졌다: 10억 개가 넘는 야후 계정에서 정보가 유출됐고, 전 세계 은행 간 통신망인SWIFT망에서 수천만 달러가 빠져나갔다는 것이었다. 2016년 미 대선을 앞두곤 민주당 전국위원회 (Democratic National Committee)의 개인 이메일이 대량 유출되기도 했다.
미국의 비영리단체인 신분도용 범죄정보센터(Identity Theft Resource Center)의 조사에 따르면, 미국 기업 및 정부기관이 보고한 2016년 정보유출 건수는 전년에 비해 40% 증가했다. 그러나 이조차도 보수적인 추산이었다. 연구기관 파네먼 연구소(Ponemon Institute)-IBM의 지원으로 연구를 진행했다-는 데이터유출사고 1건당 피해 기업이 감당해야 하는 비용이 평균 360만 달러에 달한다고 평가하기도 했다.
원인이 프로그래밍에러든, 국가를 배후에 둔 해커들의 소행이든, 데이터 유출은 이제 일상이 되고 있다. 그 결과 코딩 문제를 조기에 차단해 더 크고 골치 아픈 문제의 발생을 막는 편이 더 경제적이라고 보는 기업들이 늘고 있다.
그러나 그건 간단한 문제가 아니다. 보안을 최우선으로 삼지 않거나, 제품 개발과 완성 시한을 맞추는 데 보안 이 장애물이 되고 있다고 보는 기업이 아직도 너무나 많 다. 올해CA 테크놀로지스 CATechnologies가 인수한 앱 보안업체 베라코드 Veracode가 진행한 설문에서, 기업 IT부문 관리자 500명중 83%는 버그 테스트를 실행하거나 보 안 문제를 해결하기 전에 코드를 공개한 적이 있다고 응답하기도 했다. 게다가 보안업계는 인력 부족으로 신음하고 있다. 보안 솔루션 업체 시스코 Cisco는 현재 전 세계적으로 보안 관련 일자리 수요가 100만 개 가량 있다고 추산하고 있고, 인터넷 보안업체 시맨텍 Symantec은 이수요가 2019년에는 150만 개로 증가할 것이라 예측하고 있다. 2021년까지 보안 전문 인력이 350만 명 더 필요하다는 전망도 있다.
자금과 계획, 적절한 인력을 고용하라는 승인이 떨어 졌다 해도, 코드를 잘못 작성할 가능성은 여전히 있다. 아 무리 뛰어난 품질 보장 노력과 기민한 개발 관행이 있어도 버그의100% 예방은 사실상 불가능하다.
마이크로소프트와 애플 같은 수 많은 기업은 자체 소프트웨어를 조사하기 위해 내부에 보안 연구팀을 운용하고 있다. 하지만 다른 회사 소프트웨어까지 관심을 갖는 경 우는 드물다. 구글이 특이한 사례인 이유다. 오먼디를 포함해 약 열두 명으로 구성된 프로젝트 제로는 작업영역을 가리지 않는다. 인터넷 전체가 그들의 활동 무대다. 사이버 세계의 경찰 행위는 인류뿐만 아니라, 기업들에게도 혜택을 가져다 준다는 게 이들의 철학이다.
프로젝트 제로는 2014년 공식 출범했다. 그러나 실제 기원은 그로부터 5년 전으로 거슬러 올라간다. 대부분의 기업은 위기를 겪고 나서야 보안의 중요성을 깨닫는다. 구글도 ‘오로라 작전(Operation Aurora)’이라는 사건을 겪었다.
2009년 중국 정부와 연계된 사이버 첩보 집단이 구글을 비롯한 대형IT기업 여러 곳을 공격했다. 서버침투, 지적재산권 절도, 사용자 감시 시도 등이 진행됐다. 구글 경영진은 이 사건에 크게 분노했고, 결국 이를 계기로 세계 최대 시장인 중국에서 철수한다는 결정을 내렸다.
구글의 공동창업자 세르게이브린 SergeyBrin의 분노가 특히 컸다. 컴퓨터법의학*역주:사법기관에 제출하기 위한 전자증거 수집 활동 업체 및 수사 전문가들은 중국 해커들이 구글의 소프트웨어가 아닌 마이크로소프트 인터넷 익스플로러6의 미해결 오류를 통해 침입했다는 결론을 내렸다. 브린은 구글의 보안을 왜 다른 회사 제품에 맡겨야 하는지 의문을 던졌다.
이후 몇 달간 구글은 다른 업체들에게 자체 소프트웨어 문제를 해결하라고 꾸준히 수위를 높이며 압박을 가했다. 양측의 다툼은 곧 전설(legend) 같은 일로 회자됐다. 태비스 오먼디도 당시 여러 사건에서 핵심적인 역할을 했다. 그는 해결을 요구하는 방식이 특히 난폭한 것으로 유명했다(오먼디는 본 기사를 위한 인터뷰 요청을 거절했다).
오로라 작전이 외부에 알려진 지 얼마 되지 않았을 때의 일이었다. 오먼디는 마이크로소프트 윈도 운영체제에 서사용자 PC를 원격 조종할 수 있게 만드는 허점을 몇 달 전 발견했다고 밝혔다. 수정을 위한 패치를 배포해 달라 는 요청에 7개월간 반응이 없자, 그가 직접 해결에 나섰다. 오먼디는 2010년 1월 보안 연구자들이 신형 취약점 과 공격 수단 관련 정보를 공유하는 메일링 리스트인 ‘완전 공개(fulldisclosure)’를 통해 이 허점을 자세히 밝혔다. 마이크로소프트가 이 문제를 적기에 해결하지 않는다면, 이용자가 직접 해결할 수 있도록 문제에 대한 정보만이라도 공개해야 한다는 생각 때문이었다. 몇 달 후, 그는 오라클의 자바 소프트웨어 버그와 윈도의 또 다른 문제에 대한 단체 메일을 보냈다. 윈도의 문제는 마이크로소프트 측에 알린 지 불과 5일 후에 발생했다.
공개를 비판하는 측은 오먼디의 행위가 보안을 오히려 침해했다고 비난했다(애플, 마이크로소프트, 오라클은 본 기사와 관련된 취재를 거부했다). 기업 블로그에 올린 한 포스트 에서, 버라이즌의 보안 전문가 2인은 오먼디의 공개 방식을 ‘자기애에 취해 보안취약점을 떠벌린(narcissistic vulnerability pimps)’ 짓이라고 비난했다. 오먼디는 그 비난을 무시했다. 그리 고 2013년 마이크로소프트 측이 아직 수정하지 못한 윈도 버그를 또 한번 외부에 공개했다. 보안 연구자를 공개하겠다고 협박 하지 않으면, 기업이 문제를 적기에 해결할 의지를 보이지 않는 다는 것이 이유였다. 제조사가 버그를 계속 방치하면 모든 사람이 위험해진다는 논리였다.
구글은 조용히 조직 만들기에 나섰고, 2014년 프로젝트 제로 가 공식 출범했다(팀명은 ‘제로 데이 zero-day’에서 따 왔다. 사전 에 인지하지 못해 대비할 시간이 0일, 즉‘제로 데이’인 것을 일컫는 보안 업계 용어다). 구글은 일련의 프로토콜을 구성하고, 구 글 크롬 보안팀을 이끌었던 크리스 에번스 Chris Evans-‘캡틴 아메리카’에 나오는 배우와는 다른 인물이다-에게 지휘를 맡겼다. 에번스는 구글 안팎에서 사람을 모으기 시작했다.
에번스는 스위스에 사는 영국 출신 보안전문가 이언비어 Ian Beer를 영입했다. 비어는 애플의 코딩에러를 찾아낸 것으로 유명 했다. 그리고 마이크로소프트에 공개적으로 맞서면서 유명해진 덩치 큰 영국인 오먼디도 팀에 합류했다. 어도비 플래시와 마이크로소프트 오피스의 버그를 짓밟아 버린 뉴질랜드 출신 벤 호크스 BenHawkes도 동참했다. 같은 해 구글 크롬브라우저 해킹 대회에서 거침없는 실력으로 15만 달러 상금을 받은 조숙한 10대인 조지호츠 GeorgeHotz도 인턴을 제안 받았다(프로젝트 제로의 현 구성원들은 본 기사를 위한 인터뷰 요청을 수 차례 거절했다).
프로젝트 제로는 2014년 4월 애플이 진행한 브리핑에서 처음으로 존재감을 드러냈다. 자사 웹브라우저 사파리를 구동하 는 소프트웨어가 해커에게 조종당할 수 있는 허점을 구글의 한 전문가가 찾았다는 내용이었다. 애플은 “구글 프로젝트 제로 의 이언비어에게 감사한다”는 말을 남겼다. 그 후 IT보안 업계 사람들은 이 비밀단체에 대해 트위터에서 공개적으로 호기심을 표출했다. 2014년 4월 24일 뉴욕의 사이버보안 컨설팅업체 트레일 오브 비츠 Trailof Bits의댄 귀도 DanGuido 공동창업자 겸 CEO는 “구글 프로젝트 제로가 도대체 뭐지?”라는 트윗을 날렸다. 크리스 소그호이언 ChrisSoghoian도 “‘구글 프로젝트 제로’라 는 알 수 없는 조직의 구성원이 애플 보안 업데이트 체인지로그 changelog로부터 감사 인사를 받았다”고 적었다. 그는 당시 미국 시민자유연맹(American Civil Liberties Union)의 수석 기술전문가였다.
그 후에도 감사 표시는 계속 이어졌다. 그 해 5월 애플 은 OS X운영체제 버그를 발견해 준 데 대해 비어에게 고마움을 전했다. 1개월 후에는 마이크로소프트가 ‘구글 프로젝트 제로의 태비스 오먼디’의 도움으로 맬웨어 보호기능을 무력화할 수 있는 버그를 해결했다고 발표했다.
당시 프로젝트 제로는 보안 문제에 관심을 가진 사람들 사이에서 상당한 화젯거리였다. 에번스는 결국 구글홈페이지 블로그에 글을 올려 팀의 존재를 알렸다. 그는 “사람들은 범죄자나 국가의 지원을 받는 단체가 소프트웨어 버그를 악용해 개인컴퓨터를 감염시키고, 기밀을 훔치거나 통신 내용을 감시할지도 모른다는 두려움에서 벗어나 인터넷을 이용할 권리가 있다”고 적었다. 에번스는 기업 및 인권활동가를 겨냥한 최근의 사례를 악용 행위의 예시로 들며“이런 일이 더 이상 없어야 한다”고 강조했다.
에번스는 1년 후 구글을 떠나 테슬라에 합류했다. 현재 는 버그 현상금 업체 해커원 HackerOne의 자문역을 맡고 있다(프로젝트 제로는 호크스가 이끌고 있다). 프로젝트 제로의 기원에 대해 묻자, 에번스는 신중한 태도를 취했다.“프로젝트 제로는 수 년간 의심도 있는 일상 대화와 해킹 공격에 대한 고찰이 축적돼 만들어진 결과물이다.” 그는 “세계 최고 인재들을 공공 연구 분야로 영입할 수 있도록, 공격관련연구에만 집중하는 최상급 일자리를 만들고 싶었다”고 설명했다.
그러나 그건 생각보다 어려운 일이다. 사기업들은 높은 연봉으로 세계 최고 해커들을 끌어들여 내부 업무를 맡긴다. 정부 같은 기관에선 중개인을 통해 해커에게 연구를 맡기는데, 보수는 결과에 따라 지급된다. 결과물이 빛을 보지 못하면 연구자가 헛고생하는 구조를 갖고 있다.
공식 결성으로부터 3년이 지난 현재, 구글 프로젝트 제로는 컴퓨터 버그 색출 능력 면에서 전 세계 최상위권이라는 평가를 받고 있다. 일반인에게는 제임스 포어쇼 James Forshaw, 내털리실바노비치 NatalieSilvanovich, 갤 베니어미니 Gal Beniamini 등이 낯선 이름일 것이다. 하지만 이들은 우리의 디지털 일상을 책임지는 기기와 서비스의 약점을 찾아낸 은인들이다. 프로젝트 제로 덕분에 타사제품이 개선된 사례는 한둘이 아니다. 운영체제, 백신 소프트웨어, 비밀번호관리자, 오픈소스 코드 라이브러리 등 각종소프트웨어에서 1,000개 이상의 보안 허점을 포착하고 개선 을 지원했다. 프로젝트 제로가 활동 상황에 대해 작성한 70개 이상의 블로그 글도 인터넷에서 찾아볼 수 있는 훌륭한 보안 관련 연구자료로 손꼽히고 있다.
프로젝트 제로는 구글의 핵심사업인 온라인 광고에도 간접적인 도움을 주고 있다. 인터넷사용자를 위험에서 보호하면, 사용자를 대상으로 한 광고 제공 능력도 보호되기 때문이다. 프로젝트 제로가 판매업체에 가하는 압박은 구글 상품에서 발생하는 버그를 해결하는 데에도 효과를 내고 있다.
사이버보안 기업가 디노 다이 조비 Dino Dai Zovi는 “좀 이상한 표현이지만, (프로젝트 제로는) 양치기 개 (sheepdog) 같은 존재”라고 설명했다. 애플 해커로 유명 한 그는 모바일 결제업체 스퀘어 Square의 모바일 보안을 총괄한 바 있다.“목양견은 늑대가 아니다. 착한 동물이지 만, 양이 무리를 이탈할 땐 다시 제자리로 돌아가도록 쫓 아가서 위협을 한다.”
지난 4월 프로젝트 제로 멤버 세 명이 인필트레이트 보안 컨퍼런스(Infiltrate securityconference)-해킹의 공격 적인 측면을 주로 다룬다-참석차 마이애미를 방문했다.
그 중 한 명은 호크스, 오먼디, 그리고 해커들 사이에선 ‘할바르 플레이크 HalvarFlake’라는 별명으로 더 유명한 독일인 보안 연구자 토마스 둘리언 ThomasDullien이었다. 이 들 회의 참석자는 선탠과 스포츠카가 가득한 마이애미와는 다소 이질적인 분위기를 풍겼다. 세 사람은 퐁텐블로 Fontainebleau 호텔의 호화로운 잔디밭에 앉아 바람에 흔들리는 야자수 아래에서 모히토를 마셨다. 이들은 같은 테이블을 배정받은 참가자들과 최신 뉴스, 좋아하는 SF소설, 해커의 역사가 제대로 보존되지 않은 게 왜 문제인지에 관한 대화를 나누었다.
대화 도중 오먼디가 탁자에 놓여 있던 화려한 베르사체 선글라스를 집어 들었다. 구글 출신의 유명 맬웨어 전문 가 모건 마르키스-부아르 MorganMarquis-Boire의 물건이었다(마르키스-부아르는 이베이 창업자 피에르 오미디아 PierreOmidyar의 미디어 벤처기업 퍼스트룩 미디어 First Look Media에서 보안 업무를 총괄하고 있다). 플로리다의 태양이 저물고 있었지만, 오먼디는 푸른 눈에 선글라스를 끼고 괴상한 표정을 짓고 있었다. 우스꽝스러운 광경이었다.
미 국가안보국(NSA) 출신 해커 데이브 에이텔 DaveAitel이 휴대폰을 꺼내 이 모습을 찍었다. 에이텔은 인필트 레이트 컨퍼런스의 기획자이자, 공격적 해킹 전문사이트 이뮤니티 Immunity의 경영자다. 오먼디는 헤비메탈 팬들의 손동작인 ‘뿔 모양(signofthe horns)’*역주:검지와 새끼손가락만 펴고 나머지 손가락은 접은 모양을 만들었다. 온라인에선 멍청이를 두고 보지 못하는 호전적 논객이 현실에선 유치한 장난을 즐거워하는 괴짜 같은 모습이었다.
그 때 에이텔이“태비스, 짜증나는 사람들 많지 않나”라고 말했다. 그건 다른 회사에 코드 수정을 요구할 때 오먼디가 받는 스트레스를 뜻했다.“꼭 그렇게 살아야 할 필요 는 없어.” 그러자 에이텔이 짓궂은 미소를 지으며 오먼디에게 해킹의‘다크 사이드’에 들어오라고 장난스럽게 제안을 했다. 그건 타사 소프트웨어 버그를 찾아내 회사에 알려 주는 대신, 버그를 망가뜨려 회사로부터 돈을 받는 해커들을 뜻했다.
오먼디는 에이텔의 제안을 웃음으로 넘긴 후, 선글라스를 다시 탁자 위에 올려놓았다. 논란을 일으키고 다닐지 는 몰라도, 그의 목적은 순수했다(오먼디는 필자의 동행을 허락했지만, 직접인터뷰는 거절했다).
프로젝트 제로는 강경파로 알려져 있지만, 복잡한 현실 세계와 충돌을 겪으며 당초의 이상에 비해 유연해졌다. 출 범 초기만해도 프로젝트 제로는 버그 발견 90일 내에,‘적극적으로 활용된’ 버그일 경우 7일 내에 버그를 공개해야 한다는 원칙을 고수했다. 그러나 화요일마다 반복적으로 패치를 올린 마이크로소프트의‘패치 화요일’ 사건 등 회사 들이 업데이트를 올리기 직전버그를 공개한 사건이 몇 번 반복되면서 프로젝트 제로는 엄청난 비난을 받았다(이후 제로는 프로그램 제조사측이 패치를 준비했을 경우, 90일을 넘어14일을 연장할 수 있다는 조항을 추가했다).
마이크로소프트 시절 버그 공개 정책을 세우는 데 일조했던 케이티 무수리스 KatieMoussouris-현재는 버그 현상금 컨설팅 업체 루타 서큐리티 LutaSecurity를 운영하고 있 다-는 프로젝트 제로의 공개정책이 IT업계 내에서도 굉장히 명시적인 경우라고 보고 있다. 이에 대한 무수리스의 평가는 긍정적이다. 버그를 어떻게 보고할 것인지, 발견 자가 버그의 공개를 바랄 경우 그 시기나 방식 등을 어떻게 해야 할 지에 대한 회사 차원의 가이드라인이 없는 경우가 많다는 것이다. 소프트웨어를 수정할 시간을 프로젝트 제로보다도 짧게 잡은 경우도 있다. 카네기멜런 대학교 에서 시작된 보안사고 대응팀 CERT CC는 프로젝트 제로의 절반인 ‘발견 45일 후 공개’를 원칙으로 하고 있다. 하지 만 개별 여건을 감안한 날짜 조정의 여지는 더 많다.
프로젝트 제로는 답답한 대응에 대한 비난만큼이나 신속하게 대처했을 때의 칭찬도 빠르게 하고 있다. 오먼디는 올해 자신과 내털리 실바노비치가 “근래에 본 윈도 원격코드실행(remote code exec · RCE) 중 최악의 사례를 발견했다”고 트위터에 올린 바 있다. 원격으로 윈도를 조종할 방법을 찾았다는 뜻이었다. 그는 “심각한 악성”이라 고 덧붙였다. 두 사람은 버그 패치를 위해 마이크로소프트와 협력했다. 오먼디는 그 후 “사용자 보호를 위한 @ msftsecurity의 빠른 대처에 아직도 감동. 어떻게 칭찬해도 부족할 듯. 놀랍네요”라고 트윗을 날렸다. 아무리 늦더라도 개선하는 게 안 하는 것 보단 낫다는 뜻이었다.
프로젝트 제로의 대담함에 당황한 기업도 있을 것이다. 하지만 그래도 제로의 해커들이 ‘발견한 버그를 돈 버는 수단으로 활용하고픈 충동’을 억누르고 있다는 점에는 감사해야 할 것이다. 해킹이 전문화되면서, 프로젝트 제로가 공개하는 버그를 놓고 시장이 형성됐다. 정부, 정보 서비스, 범죄자 같은 수많은 주체가 거액을 내고라도 버그를 알아내려 하고 있다. 버그 현상금 제도를 도입하는 소프트웨어 업체들이 점점 더 늘고 있지만, 다른 방향에서 나타나는 큰 흐름에 비하면 여전히 미미한 수준이다. 한쪽 에선 연구자들의 시간과 노력, 전문성에 대해 막대한 대가를 제공하고 있다. 소프트웨어 판매사 측의 현상금은 수상한 시장에서 지불하는 보상액을 결코 넘어서지 못할 것이다.
보안 전문가이자 IBM 임원인 브루스 슈네이어BruceSchneier는 “구글의 버그 현상금이 얼마든, 중국 정부는 그 보다 더 많이 줄 수 있다”고 말했다.
다시 퐁텐블로 호텔로 돌아가보자. 둘리언은 필자에게 “해킹 능력에 대한 수요가 놀라울 정도로 증가했다”고 말 했다. 한때 어두운 지하실에서나 했던 취미 활동이 이젠 엄연한 정부의 재택근무일자리가 됐다.
둘리언은 “해킹은 힙합, 브레이크댄스, 스케이트보드, 그래피티처럼 90년대의 하위문화였다”고 설명했다. “군 대가 해킹의 쓸모를 눈치챈 것도 정말 우연이었다.”
클라우드플레어의 공동창업자 겸 CEO인 매튜프린스MatthewPrince는 “제로가 찾아낸 문제 때문에 회사의 성장이 한 달간 멈춰섰다”고 말하기도 했다(그는 일시적인 타격이었다고 덧붙였다. 클라우드 플레어가 해결 과정에서 보여준 투명성이 이후 신규 고객 유치에 도움을 주기도 했다).
클라우드블리드가 아픈 기억이었을지는 모르지만, 프린스에겐 그런 기색이 없었다. 그는 진정 악의를 가진 해커의 목표물이 되는 게 얼마나 위험한 일인지 잘 알고 있다. 몇 년 전 ‘UGNazi’라는 이름의 해커 그룹이 프린스의 개인 지메일을 해킹해 업무 이메일에 접근하는 방식으로 클라우드플레어의 인프라를 탈취한 적이 있었다. 자칫 하면 해커들이 회사에 심각한 타격을 입힐 수 있는 상황 이었다. 그러나 그들은 해커들의 단골 커뮤니티 사이트 (4chan.org)에 접속할 경우, 자신들의 트위터 계정으로 연결되도록 하는 장난질에서 자신들의 행동을 멈췄다.
프린스는 구글과 클라우드플레어가 클라우드블리드에 대한 최초 발표를 하기 전, 미리 피해자들에게 정보를 전면 공개하지 않은 게 지금도 아쉽다고 말했다. 고객이 사건소식을 뉴스로 알기 전에 회사가 먼저 연락을 취했어야 했다는 것이다. 그는“지금 돌이켜보면, 공개 시점에 대해서는 프로젝트 제로가 옳았던 것 같다”고 말하기도 했 다. 자신이 아는 한, 지금까지 클라우드블리드와 관련해 의미 있는 수준의 피해가 보고된 바 없다는 것이다. 당초 우려와 달리 비밀번호, 신용카드 번호, 건강기록 등이 유출되는 일은 없었다.
프린스는 “클라우드플레어가 재발 방지를 위해 새로운 통제 장치를 도입했다”고 말했다. 내부 및 외부 테스터가 회사의 모든 코드를 이중으로 검토하기 시작했다는 것이 다. 자주 발생하는 소프트웨어 충돌(버그가 있다는 신호일 때가 많다)을 파악하는 시스템도 더욱 정교화했다.
그는 버그와 유출 사실 발견에 대해 “그 14일을 겪으면서 흰머리가 많이 늘어났다. 아마 수명이 1년은 줄었을 것”이라며 “버그를 발견한 사람이 악성 해커가 아니라 태비스를 비롯한 프로젝트 제로라는 게 다행스러울 따름”이 라고 말했다.
물론 누군가가 유출된 데이터의 사본을 갖고 있을 가능 성은 남아 있다. 프로젝트 제로도 그 점을 우려하고 있다. 세상에는 프로젝트 제로보다 훨씬 더 많은 해커들이 존재한다. 그들은 존재를 드러내지 않은 채, 그다지 고상하지 않은 목적으로 암약을 하고 있다. 다행히 우리는 그들의 존재를 알고 있다. 하지만 그게 우리가 아는 전부가 아닐까?
■ 가격표: 버그 현상금
일부 기업은 자사 제품의 오류를 찾아낸 연구자에게 보상을 제공하고 있다. 몇 가지 사례를 알아보자.
구글 ▶ 안드로이드 운영체제
버그 1건당 최대 20만 달러
테슬라 ▶ 테슬라 모델S 세단
버그 1건당 최대 1만 달러
애플 ▶ 애플 iOS 운영체제
버그 1건당 최대 20만 달러
클라우드플레어 ▶ 인터넷 서비스
티셔츠 및 무료 체험판 제공
미 국방부 ▶ 국방부 공개 웹사이트
포상금 예산(15만 달러) 중 일부 지급
유나이티드 항공 ▶ 웹사이트 및 앱
버그 1건당 최대 100만 달러
넷기어 ▶ 라우터, 앱, 서비스
버그 1건당 최대 1만 5,000달러
오라클 ▶ 모든 제품 및 서비스
수정 보고에 발견자에 대한 감사의 말 언급
■ 제로에서 영웅으로
태비스 오먼디 구글, 해킹 연구자
인터넷에서 모든 소프트웨어 오류를 찾는 구글의 ‘프로젝트 제로’ 팀 일원.
존 그레이엄-커밍 클라우드플레어, 최고기술책임자
전 세계 트래픽 전송량의 상당 부분을 운영하는 샌프란시스코 네트워크 기업의 고위 임원.
■ 버그 전문가이자 루타 서큐리티 CEO인 케이티 무수리스가 설명한 ‘버그 활용’ 경제학
버그 시장에는 공격과 방어 두 종류의 시장이 있다: 공격 측은 국가, 조직범죄단, 기타 공격자들로 구성되어 있다. 방어에는 버그 현상금 제도 및 보안업체들이 포함되어 있다. 공격 측은 더 많은 돈을 줄뿐만 아니라 가격 상한도 없다. 이들의 목표는 단순하게 취약점이나 버그 활용(an exploit)을 구매하는 것이 아니라, 들키지 않고 이를 사용하는 데 있다. 즉, 은밀함을 구매하는 것이다. 방어 시장은 그만큼 가격을 쳐 주지 못한다. 소프트웨어 판매업체가 회사 소속 개발자에게 100만 달러를 주겠는가? 주요 기업의 코드 수준이 높아지고 있지만, 동시에 그 복잡성도 계속 증가하고 있다. 그만큼 버그도 많아진다. 보안 연구자 본인의 재정적 상황, 해당 소프트웨어나 판매업체에 대한 개인적 생각, 자기가 처한 리스크 등에 따라 자신이 발견한 버그의 처분 방식도 달라질 수 있다. 흑과 백으로 가를 수 없다는 뜻이다. -발언 내용 정리
■ 컴퓨터 보안: 용어사전
버그 Bug
컴퓨터 코드의 예상치 못한 오류. 보안을 위협할 수 있을 정도인 경우에는 ‘취약점(vulnerabilityes)’이라 부른다.
제로 데이 Zero Day
개인이나 기업이 대처할 시간이 0일, 즉 ‘제로 데이’인 취약점을 말한다.
익스플로이트 Exploit
해커가 취약점을 활용하기 위해 만들어낸 컴퓨터 프로그램.
서울경제 포춘코리아 편집부 / BY ROBERT HACKETT
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
