2014.05.20

"어디서 약을 파느냐!" 보안업체들이 파는 가짜 약 7가지

Roger A. Grimes | InfoWorld

필자는 컴퓨터 보안 분야에서 평생을 보낸 괴팍한 노인이다. 개발업체는 자사가 개발한 최신, 최고의 제품이 컴퓨터 세계의 모든 악성 요소로부터 세상을 보호해줄 것이라고 장담한다. 하지만 필자는 이런 말을 들을 때마다 하품이 나온다. 헛된 소리임을 경험으로 알고 있기 때문이다.

모든 컴퓨터 보안 개발업체는 소비자로 하여금 '이 개발업체의 제품에 투자하면 모든 걱정은 끝'이라는 믿음을 주고자 한다. 하지만 실제 그렇게 되는 경우는 거의 없다. 약간의 과장된 마케팅이 별 해가 되진 않는다. 원래 사람들 또한 이런 광고를 적당히 걸러 듣는 데 익숙하다.

그런데 일부 개발업체는 노골적인 거짓말을 일삼으며 '가짜 약'에 불과한 보안 제품을 사도록 유도한다.

오랜 경험을 가진 IT 보안 전문가라면 아마도 이런 가짜 약 팔기를 수도 없이 반복적으로 겪어봤을 것이다. 많은 업체들이 비현실적인 약효를 주장한다. 이는 보안업계의 병적인 면이다. 온갖 부정한 돌팔이 수법들을 동원해 IT 조직을 속여 엉터리 또는 과장된 보안제품에 돈을 쓰도록 만든다.

개발업체가 영업할 때, 보안과 관련해 다음과 같은 7가지 주장 또는 기술을 언급한다면 가짜 약을 파는 것이니 정신을 바짝 차리는 것이 좋다.

보안 가짜 약 No.1: 깰 수 없는 소프트웨어
개발업체와 개발자는 자신의 소프트웨어가 취약점이 없다고 주장한다는 면에서 공통적이다. 사실 '깰 수 없다(Unbreakable)'는 문구는 한 유명 개발업체의 광고 캠페인 명칭이었다.

이 가짜 약을 구성하는 요소는 단순하다. 개발업체는 경쟁업체들이 실력이 부족해 자사와 같은 철벽 코드를 만드는 방법을 모른다고 주장한다. 자기네 소프트웨어를 구입하면 영원히 취약점 악용이 없는 환경에서 마음놓고 살 수 있다고 약을 판다.

그러나 이와 같은 주장을 했던 한 개발업체는 너무 빠른 속도로 취약점이 드러났으며, 이 취약점이 너무나 심각하게 악용되어 나머지 모든 보안 업체들에게 다시는 이런 주장을 할 수 없게 만드는, 일종의 경고 역할을 했다.

놀랍게도 이 DBMS로 유명한 이 개발업체의 소프트웨어에서 취약점이 반복적으로 발견, 악용된 후에도 '깰 수 없다'는 광고 캠페인은 1년 더 이어졌다. 얼마나 많은 CEO들이 이 광고에 속아넘어갔는지 궁금하다. '당장 패치를 내놓으라'고 요구하는 고객들의 항의로 인해 지원 작업이 마비된 실상은 몰랐을 것이다.

물론 깰 수 없다는 환상을 심어주는 개발업체는 그 외에도 많다. 한때 브라우저 개발업체들은 인터넷 익스플로러의 취약점이 너무 많다며 마이크로소프트를 비난하곤 했다.

그러나 이 개발업체들이 완전무결한 브라우저라며 내놓은 브라우저에서 발견된 취약점은 그들이 과거 비난했던 인터넷 익스플로러보다 더 많았다. 그래서인지 요즘엔 완벽하게 안전한 브라우저를 만든다고 큰소리치는 개발업체는 없다.

유명한 시카코 일리노이 주립대학의 한 교수는 소프트웨어 개발업체들이 보안 결점투성이의 소프트웨어를 만든다며 맹렬하게 비난한다. 이 교수는 불완전한 소프트웨어를 만드는 행위에 대해 법적으로 고발이 가능하도록 해야 한다고 주장했다.

그는 소프트웨어 프로그램을 직접 만들어, 상품을 걸고 사람들에게 보안 버그를 하나라도 발견해보라고 했다. 당연히 사람들은 여러 개의 버그를 발견했다. 이 교수는 처음 발견된 취약점을 두고 구차하게 악용 가능한 버그가 아니라고 항변했지만 대부분의 사람들은 이 변명에 수긍하지 않았다.

이후 어떤 사람이 교수의 다른 프로그램에서 두 번째 버그를 발견했고 결국 상금을 받았다. 취약점이 없는 소프트웨어를 만들기란 분명 어려운 일이다.

필자는 컴퓨터 보안에 대해 이 교수가 기여한 바를 무시하려는 것이 아니다. 이 교수는 세계 최고의 보안 전문가 가운데 한 명이다. 다만 완벽한 소프트웨어를 만들 수 있다는 말을 더 이상 하지 않을 뿐이다.

앞으로 완벽한 소프트웨어라고 주장하는 업체를 보거든 이와 같은 일화를 통해 얻은 교훈을 기억하길 바란다.



2014.05.20

"어디서 약을 파느냐!" 보안업체들이 파는 가짜 약 7가지

Roger A. Grimes | InfoWorld

필자는 컴퓨터 보안 분야에서 평생을 보낸 괴팍한 노인이다. 개발업체는 자사가 개발한 최신, 최고의 제품이 컴퓨터 세계의 모든 악성 요소로부터 세상을 보호해줄 것이라고 장담한다. 하지만 필자는 이런 말을 들을 때마다 하품이 나온다. 헛된 소리임을 경험으로 알고 있기 때문이다.

모든 컴퓨터 보안 개발업체는 소비자로 하여금 '이 개발업체의 제품에 투자하면 모든 걱정은 끝'이라는 믿음을 주고자 한다. 하지만 실제 그렇게 되는 경우는 거의 없다. 약간의 과장된 마케팅이 별 해가 되진 않는다. 원래 사람들 또한 이런 광고를 적당히 걸러 듣는 데 익숙하다.

그런데 일부 개발업체는 노골적인 거짓말을 일삼으며 '가짜 약'에 불과한 보안 제품을 사도록 유도한다.

오랜 경험을 가진 IT 보안 전문가라면 아마도 이런 가짜 약 팔기를 수도 없이 반복적으로 겪어봤을 것이다. 많은 업체들이 비현실적인 약효를 주장한다. 이는 보안업계의 병적인 면이다. 온갖 부정한 돌팔이 수법들을 동원해 IT 조직을 속여 엉터리 또는 과장된 보안제품에 돈을 쓰도록 만든다.

개발업체가 영업할 때, 보안과 관련해 다음과 같은 7가지 주장 또는 기술을 언급한다면 가짜 약을 파는 것이니 정신을 바짝 차리는 것이 좋다.

보안 가짜 약 No.1: 깰 수 없는 소프트웨어
개발업체와 개발자는 자신의 소프트웨어가 취약점이 없다고 주장한다는 면에서 공통적이다. 사실 '깰 수 없다(Unbreakable)'는 문구는 한 유명 개발업체의 광고 캠페인 명칭이었다.

이 가짜 약을 구성하는 요소는 단순하다. 개발업체는 경쟁업체들이 실력이 부족해 자사와 같은 철벽 코드를 만드는 방법을 모른다고 주장한다. 자기네 소프트웨어를 구입하면 영원히 취약점 악용이 없는 환경에서 마음놓고 살 수 있다고 약을 판다.

그러나 이와 같은 주장을 했던 한 개발업체는 너무 빠른 속도로 취약점이 드러났으며, 이 취약점이 너무나 심각하게 악용되어 나머지 모든 보안 업체들에게 다시는 이런 주장을 할 수 없게 만드는, 일종의 경고 역할을 했다.

놀랍게도 이 DBMS로 유명한 이 개발업체의 소프트웨어에서 취약점이 반복적으로 발견, 악용된 후에도 '깰 수 없다'는 광고 캠페인은 1년 더 이어졌다. 얼마나 많은 CEO들이 이 광고에 속아넘어갔는지 궁금하다. '당장 패치를 내놓으라'고 요구하는 고객들의 항의로 인해 지원 작업이 마비된 실상은 몰랐을 것이다.

물론 깰 수 없다는 환상을 심어주는 개발업체는 그 외에도 많다. 한때 브라우저 개발업체들은 인터넷 익스플로러의 취약점이 너무 많다며 마이크로소프트를 비난하곤 했다.

그러나 이 개발업체들이 완전무결한 브라우저라며 내놓은 브라우저에서 발견된 취약점은 그들이 과거 비난했던 인터넷 익스플로러보다 더 많았다. 그래서인지 요즘엔 완벽하게 안전한 브라우저를 만든다고 큰소리치는 개발업체는 없다.

유명한 시카코 일리노이 주립대학의 한 교수는 소프트웨어 개발업체들이 보안 결점투성이의 소프트웨어를 만든다며 맹렬하게 비난한다. 이 교수는 불완전한 소프트웨어를 만드는 행위에 대해 법적으로 고발이 가능하도록 해야 한다고 주장했다.

그는 소프트웨어 프로그램을 직접 만들어, 상품을 걸고 사람들에게 보안 버그를 하나라도 발견해보라고 했다. 당연히 사람들은 여러 개의 버그를 발견했다. 이 교수는 처음 발견된 취약점을 두고 구차하게 악용 가능한 버그가 아니라고 항변했지만 대부분의 사람들은 이 변명에 수긍하지 않았다.

이후 어떤 사람이 교수의 다른 프로그램에서 두 번째 버그를 발견했고 결국 상금을 받았다. 취약점이 없는 소프트웨어를 만들기란 분명 어려운 일이다.

필자는 컴퓨터 보안에 대해 이 교수가 기여한 바를 무시하려는 것이 아니다. 이 교수는 세계 최고의 보안 전문가 가운데 한 명이다. 다만 완벽한 소프트웨어를 만들 수 있다는 말을 더 이상 하지 않을 뿐이다.

앞으로 완벽한 소프트웨어라고 주장하는 업체를 보거든 이와 같은 일화를 통해 얻은 교훈을 기억하길 바란다.



X