2016.05.20

미 연방법원 판사, 모질라의 토르 브라우저 내 버그 공개 요청 거부

Gregg Keizer | Computerworld
이번 주 초, 미 연방법원의 한 판사는 파이어폭스를 기반으로 하는 토르 브라우저(Tor browser) 내 취약점에 대한 기술적인 정보를 제공해달라는 모질라의 요청을 거부했다.

지난 주, 모질라는 시애틀에 있는 한 연방 법원 로버트 브라이언 판사에게 현재 아동 포르노 웹사이트를 방문했다는 혐의를 받고 있는 피고를 포함한 다른 이들이 이 버그를 보기 전에 당국이 토르 브라우저 취약점을 공개해 달라는 요청서를 제출했다.

5월 11일 모질라 변호사들은 "파이어폭스 사용자의 기기 보안에 위협이 될 수 있는 걸 해결하기 전에 피해자를 포함해 서드파티에서 파이어폭스 내 해결하지 못한 취약점을 악용할 수 있다"고 주장했다.

아동 포르노 사이트에 방문했다고 FBI가 식별한 이는 이번 재판의 피고인 제이 미쇼를 포함해 100명이 넘었다. FBI는 이 사이트에 방문자들을 추적하기 위해 네트워크 조사 기법(Network Investigative Technique, NIT)이라 부르는 방법을 사용했다.

FBI는 브라우저 내 밝혀지지 않은 취약점을 악용해 토르 브라우저를 사용하는 방문자들을 추적했다. 모질라는 이 버그가 파이어폭스에서도 적용되는 지 알아보고 이 취약점을 패치하기 위한 필수적인 정보를 원했다. 모질라는 이번 재판에 직접 개입하는 걸 허용해야 한다고 주장하면서 이를 기각하더라도 법정 조언자(amicus curiae)로서의 자격을 허용하라고 요청했다.

브라이언 판사는 모질라의 요청을 기각했다.

브라이언 판사는 "원고가 모질라의 개입 또는 법정 조언자로서의 등장을 요청하지 않았다"며, "모질라가 우려하는 바는 미국 정부에게 요청해야 할 것이며 범죄 소송의 부분이 되어서는 안된다"고 판결했다.

최근 이 재판은 혼란스러워졌다. 지난해 피고인 제이 미쇼의 변호사가 NIT에 액세스할 수 있게 해달라고 요구했을 때, 브라이언 판사는 피고자는 악용한 소스코드를 볼 권리가 있다고 판시했다. 그러나 미 정부는 이를 거절했다. 그리고 올해 5월 비밀 회의를 가진 후 이 판사는 입장을 바꿨다.

브라이언은 정부가 피고인에게 충분히 보여줘야 하지만 전체 NIT를 피고인에게 공개하는 걸 요구하는 것이 아니라고 전했다.

그러나 18일(현지 시각) 브라이언 판사는 진퇴양난에 빠졌다고 문제를 제기했다. 피고인은 완전한 NIT 코드를 볼 수 있는 권리를 갖고 있지만 정부는 이를 제공하지 못한다는 것이다.
브라이언은 5월 18일 명령문에서 "이 피고인은 정부가 갖고 있는 정보를 볼 수 있는 정당한 요구 권한을 가진다. 그러나 정부 또한 피고인에 대해 정보를 공개하지 않을 정당한 권한을 갖고 있다는 결론에 다다랐다"고 말했다.

브라이언은 이 캐치-22(Catch-22, 이도저도 못하는 상황)에서 5월 25일까지 정부와 미쇼의 변호사 간 구두 협의를 가질 것을 명령했다.

현재 모질라는 파이어폭스 취약점이 될 수 있는 지 파악하려는 노력에 대해 방해받고 있다. 오픈소스 개발자는 이를 포기해서는 안된다고 주장한다.

모질라의 수석 변호사 드넬 딕슨 테이어는 공식 성명에서 "토르 브라우저의 일부분은 파이어폭스 기반으로 되어 있다. 해당 취약점이 토르 브라우저에서만 사용할 수 있고 파이어폭스의 취약점이 아니라해도 사용자 보안을 위해 이를 해결할 수 있도록 허락해달라고 계속 압박할 것이다"고 말했다. 우리는 "우리 제품 속의 보안 취약점을 확인할 수 있기를 원하며 정부 당국도 문제를 해결할 수 있는 당사자에게 취약점을 공개하는 것이 기본적인 소명이라 믿는다"고 말했다.

정부 당국의 기본적 소명을 주장하는 딕슨 테이어 변호사의 요청이 받아들여질 가능성은 아주 낮다. 지난 달, FBI는 테러리스트의 아이폰 비밀번호를 크랙하는 방법을 애플에게 밝히지 않겠다고 고자세를 취했다.

FBI는 "취약점을 사용하는데 비용을 지불했을 뿐 스스로 취약점을 만들지 않았다"고 주장했다. 이와 같은 이유로 FBI는 "취약점 해소 과정(Vulnerabilities Equities Process, VEP) 전에 벤더에게 취약점을 공개하는 일은 없을 것"이라고 말했다. editor@itworld.co.kr


2016.05.20

미 연방법원 판사, 모질라의 토르 브라우저 내 버그 공개 요청 거부

Gregg Keizer | Computerworld
이번 주 초, 미 연방법원의 한 판사는 파이어폭스를 기반으로 하는 토르 브라우저(Tor browser) 내 취약점에 대한 기술적인 정보를 제공해달라는 모질라의 요청을 거부했다.

지난 주, 모질라는 시애틀에 있는 한 연방 법원 로버트 브라이언 판사에게 현재 아동 포르노 웹사이트를 방문했다는 혐의를 받고 있는 피고를 포함한 다른 이들이 이 버그를 보기 전에 당국이 토르 브라우저 취약점을 공개해 달라는 요청서를 제출했다.

5월 11일 모질라 변호사들은 "파이어폭스 사용자의 기기 보안에 위협이 될 수 있는 걸 해결하기 전에 피해자를 포함해 서드파티에서 파이어폭스 내 해결하지 못한 취약점을 악용할 수 있다"고 주장했다.

아동 포르노 사이트에 방문했다고 FBI가 식별한 이는 이번 재판의 피고인 제이 미쇼를 포함해 100명이 넘었다. FBI는 이 사이트에 방문자들을 추적하기 위해 네트워크 조사 기법(Network Investigative Technique, NIT)이라 부르는 방법을 사용했다.

FBI는 브라우저 내 밝혀지지 않은 취약점을 악용해 토르 브라우저를 사용하는 방문자들을 추적했다. 모질라는 이 버그가 파이어폭스에서도 적용되는 지 알아보고 이 취약점을 패치하기 위한 필수적인 정보를 원했다. 모질라는 이번 재판에 직접 개입하는 걸 허용해야 한다고 주장하면서 이를 기각하더라도 법정 조언자(amicus curiae)로서의 자격을 허용하라고 요청했다.

브라이언 판사는 모질라의 요청을 기각했다.

브라이언 판사는 "원고가 모질라의 개입 또는 법정 조언자로서의 등장을 요청하지 않았다"며, "모질라가 우려하는 바는 미국 정부에게 요청해야 할 것이며 범죄 소송의 부분이 되어서는 안된다"고 판결했다.

최근 이 재판은 혼란스러워졌다. 지난해 피고인 제이 미쇼의 변호사가 NIT에 액세스할 수 있게 해달라고 요구했을 때, 브라이언 판사는 피고자는 악용한 소스코드를 볼 권리가 있다고 판시했다. 그러나 미 정부는 이를 거절했다. 그리고 올해 5월 비밀 회의를 가진 후 이 판사는 입장을 바꿨다.

브라이언은 정부가 피고인에게 충분히 보여줘야 하지만 전체 NIT를 피고인에게 공개하는 걸 요구하는 것이 아니라고 전했다.

그러나 18일(현지 시각) 브라이언 판사는 진퇴양난에 빠졌다고 문제를 제기했다. 피고인은 완전한 NIT 코드를 볼 수 있는 권리를 갖고 있지만 정부는 이를 제공하지 못한다는 것이다.
브라이언은 5월 18일 명령문에서 "이 피고인은 정부가 갖고 있는 정보를 볼 수 있는 정당한 요구 권한을 가진다. 그러나 정부 또한 피고인에 대해 정보를 공개하지 않을 정당한 권한을 갖고 있다는 결론에 다다랐다"고 말했다.

브라이언은 이 캐치-22(Catch-22, 이도저도 못하는 상황)에서 5월 25일까지 정부와 미쇼의 변호사 간 구두 협의를 가질 것을 명령했다.

현재 모질라는 파이어폭스 취약점이 될 수 있는 지 파악하려는 노력에 대해 방해받고 있다. 오픈소스 개발자는 이를 포기해서는 안된다고 주장한다.

모질라의 수석 변호사 드넬 딕슨 테이어는 공식 성명에서 "토르 브라우저의 일부분은 파이어폭스 기반으로 되어 있다. 해당 취약점이 토르 브라우저에서만 사용할 수 있고 파이어폭스의 취약점이 아니라해도 사용자 보안을 위해 이를 해결할 수 있도록 허락해달라고 계속 압박할 것이다"고 말했다. 우리는 "우리 제품 속의 보안 취약점을 확인할 수 있기를 원하며 정부 당국도 문제를 해결할 수 있는 당사자에게 취약점을 공개하는 것이 기본적인 소명이라 믿는다"고 말했다.

정부 당국의 기본적 소명을 주장하는 딕슨 테이어 변호사의 요청이 받아들여질 가능성은 아주 낮다. 지난 달, FBI는 테러리스트의 아이폰 비밀번호를 크랙하는 방법을 애플에게 밝히지 않겠다고 고자세를 취했다.

FBI는 "취약점을 사용하는데 비용을 지불했을 뿐 스스로 취약점을 만들지 않았다"고 주장했다. 이와 같은 이유로 FBI는 "취약점 해소 과정(Vulnerabilities Equities Process, VEP) 전에 벤더에게 취약점을 공개하는 일은 없을 것"이라고 말했다. editor@itworld.co.kr


X