2012.09.05

끊이지 않는 취약점 위협, "자바를 제거해야 할 시점인가?"

Andrew Brandt | PCWorld
자바를 없애야 할 때인가? 전문가들은 그렇다고 말한다.
 
자바는 원래 웹을 재미있고 상호 작용이 가능한 환경으로 만들기 위해 만들어진 프로그래밍 언어지만, 지금은 외부 위협에 대한 PC와 맥의 방어선에서 가장 취약한 부분 중 하나가 됐다. 현재 맬웨어 배포자들에게 가장 많이 악용되고 있는 것이 자바의 최신 취약점이라는 점을 감안해야 할 것이다. 자바 개발업체인 오라클이 긴급 업데이트를 내놓았지만, 보안 전문가들은 방금 나온 이 코드에조차 더 많은 취약점이 존재한다고 지적했다.
 
자바의 최근 보안 문제들은 새삼스러울 것도 없다. 보안 업체인 소포스(Sophos)는 지난 4월 맥 컴퓨터의 20%를 감염시킨 플래시백(Flashback) 맬웨어 공격의 빌미를 제공한 것은 자바의 근본적인 취약점이라고 밝혔다.
 
또한 보안 전문가들은 자바가 없어도 잃는 것보다 얻는 것이 더 많다고 지적한다. 보안 소프트웨어 업체인 에일리언볼트(AlienVault)의 설립자이자 최고 해킹 책임자인 도미니크 카그는 “사용자의 90%에게 자바는 더 이상 필요가 없다”며 “나름 ‘고급 사용자’에 속하지만, 컴퓨터에 자바가 설치되어 있다는 사실을 유일하게 인식한 때는 자바 업데이트가 필요할 때였다. 그 이후로도 다시 자바를 인식할 일은 없었다”고 말했다. 
 
PC 사용자라면 셀 수도 없을 만큼 쏟아지는 윈도우 PC 중요 업데이트를 보면서 찜찜한 불안감을 느껴본 적이 있을 것이다. 컴퓨터 사용에 큰 방해가 되지는 않지만, 컴퓨터와 그 안에 포함된 개인 정보가 여전히 범죄자의 목표물이 되고 있다는 경고를 매월 정기적으로 받는 것이다.
 
지난 몇 년 동안 애플과 마이크로소프트 모두 시스템 방어를 강화했다. 맥 OS는 취약점이 거의 없는 상태에 이르렀으며, 현재 애플은 자바를 미리 설치하지 않은 상태로 새 제품을 출하하고 있다. 마이크로소프트는 2008년 말 컨피커 웜 발생 이후 운영체제 수준의 취약점을 없애는 데 총력을 기울였고, 그 이후 윈도우 시스템에 컨피커에 필적하는 웜 공격은 없었다.
 
인터넷 익스플로러 제작업체인 마이크로소프트는 물론 모질라와 오페라도 지난 10년 동안 끊임없는 업데이트를 통해 브라우저의 방어를 튼튼히 하는 데 많은 시간을 쏟아 부었다. 모질라는 8월 28일 공개한 파이어폭스 버전 15에서 총 2,237개의 버그(보안 버그와 기타 버그 포함)를 수정했다고 밝혔다.
 
그러나 OS와 브라우저가 난공불락의 요새처럼 튼튼하더라도 악당들은 항상 새로운 빈틈을 찾아내곤 한다.
 
자바 : 보안 사슬의 취약한 고리
브라우저와 OS에 침투하기가 어려워진 지금 데이터 도둑들은 전략을 바꿔 남은 두 가지 약점에 주력한다. 바로 서드파티 브라우저 플러그인/애드온, 그리고 사용자다. 서드파티 플러그인 측면을 보면, 자바는 공격을 전달하는 매개체로 악용된다. 
 
이런 공격의 대부분은 블랙 마켓에서 판매되는 저렴한 취약점 악용 키트에 의해 실행된다. 포브스는 지난 3월 이른바 제로데이 취약점으로 불리는 새로운 취약점을 손에 넣기 위해 어둠의 매수자들이 얼만큼의 금액을 지불하는지, 그 가격 목록을 공개했다. 4만 달러에서 10만 달러 정도의 금액이면 악의적 코더가 밤낮을 가리지 않고 일에 몰두할 충분한 동기가 된다.
 
자바의 매력 중 하나는 보편성이다. 비영리 보안 연구 기관인 팀킴루(TeamCymru)의 글로벌 대응 담당 디렉터인 스티브 산토렐리는 “보편성은 한때는 자바를 개발한 사람들에게 듣기 좋은 소리였다”고 말했다. 다른 브라우저 플러그인과 달리 자바는 존재하는 거의 모든 운영체제에서 실행된다. 산토렐리는 “결국 맬웨어의 경제학이 적용된다”고 말했다. 맬웨어 제작자들은 개발에 들어간 투자에 대해 최대한의 이득을 얻고자 한다. 즉, 가능한 가장 넓은 시장을 목표로 삼는 맬웨어를 만든다.
 
그런 면에서 자바는 투자한 만큼의 효과를 돌려준다. 아마 이 말을 오라클 CEO 래리 엘리슨이 듣는다면 진절머리를 칠 것이다. 오라클은 2009년 썬 마이크로시스템즈를 인수할 때 자바도 물려받았다. 오라클은 이 기사를 위한 인터뷰 요청을 거부했다.
 


2012.09.05

끊이지 않는 취약점 위협, "자바를 제거해야 할 시점인가?"

Andrew Brandt | PCWorld
자바를 없애야 할 때인가? 전문가들은 그렇다고 말한다.
 
자바는 원래 웹을 재미있고 상호 작용이 가능한 환경으로 만들기 위해 만들어진 프로그래밍 언어지만, 지금은 외부 위협에 대한 PC와 맥의 방어선에서 가장 취약한 부분 중 하나가 됐다. 현재 맬웨어 배포자들에게 가장 많이 악용되고 있는 것이 자바의 최신 취약점이라는 점을 감안해야 할 것이다. 자바 개발업체인 오라클이 긴급 업데이트를 내놓았지만, 보안 전문가들은 방금 나온 이 코드에조차 더 많은 취약점이 존재한다고 지적했다.
 
자바의 최근 보안 문제들은 새삼스러울 것도 없다. 보안 업체인 소포스(Sophos)는 지난 4월 맥 컴퓨터의 20%를 감염시킨 플래시백(Flashback) 맬웨어 공격의 빌미를 제공한 것은 자바의 근본적인 취약점이라고 밝혔다.
 
또한 보안 전문가들은 자바가 없어도 잃는 것보다 얻는 것이 더 많다고 지적한다. 보안 소프트웨어 업체인 에일리언볼트(AlienVault)의 설립자이자 최고 해킹 책임자인 도미니크 카그는 “사용자의 90%에게 자바는 더 이상 필요가 없다”며 “나름 ‘고급 사용자’에 속하지만, 컴퓨터에 자바가 설치되어 있다는 사실을 유일하게 인식한 때는 자바 업데이트가 필요할 때였다. 그 이후로도 다시 자바를 인식할 일은 없었다”고 말했다. 
 
PC 사용자라면 셀 수도 없을 만큼 쏟아지는 윈도우 PC 중요 업데이트를 보면서 찜찜한 불안감을 느껴본 적이 있을 것이다. 컴퓨터 사용에 큰 방해가 되지는 않지만, 컴퓨터와 그 안에 포함된 개인 정보가 여전히 범죄자의 목표물이 되고 있다는 경고를 매월 정기적으로 받는 것이다.
 
지난 몇 년 동안 애플과 마이크로소프트 모두 시스템 방어를 강화했다. 맥 OS는 취약점이 거의 없는 상태에 이르렀으며, 현재 애플은 자바를 미리 설치하지 않은 상태로 새 제품을 출하하고 있다. 마이크로소프트는 2008년 말 컨피커 웜 발생 이후 운영체제 수준의 취약점을 없애는 데 총력을 기울였고, 그 이후 윈도우 시스템에 컨피커에 필적하는 웜 공격은 없었다.
 
인터넷 익스플로러 제작업체인 마이크로소프트는 물론 모질라와 오페라도 지난 10년 동안 끊임없는 업데이트를 통해 브라우저의 방어를 튼튼히 하는 데 많은 시간을 쏟아 부었다. 모질라는 8월 28일 공개한 파이어폭스 버전 15에서 총 2,237개의 버그(보안 버그와 기타 버그 포함)를 수정했다고 밝혔다.
 
그러나 OS와 브라우저가 난공불락의 요새처럼 튼튼하더라도 악당들은 항상 새로운 빈틈을 찾아내곤 한다.
 
자바 : 보안 사슬의 취약한 고리
브라우저와 OS에 침투하기가 어려워진 지금 데이터 도둑들은 전략을 바꿔 남은 두 가지 약점에 주력한다. 바로 서드파티 브라우저 플러그인/애드온, 그리고 사용자다. 서드파티 플러그인 측면을 보면, 자바는 공격을 전달하는 매개체로 악용된다. 
 
이런 공격의 대부분은 블랙 마켓에서 판매되는 저렴한 취약점 악용 키트에 의해 실행된다. 포브스는 지난 3월 이른바 제로데이 취약점으로 불리는 새로운 취약점을 손에 넣기 위해 어둠의 매수자들이 얼만큼의 금액을 지불하는지, 그 가격 목록을 공개했다. 4만 달러에서 10만 달러 정도의 금액이면 악의적 코더가 밤낮을 가리지 않고 일에 몰두할 충분한 동기가 된다.
 
자바의 매력 중 하나는 보편성이다. 비영리 보안 연구 기관인 팀킴루(TeamCymru)의 글로벌 대응 담당 디렉터인 스티브 산토렐리는 “보편성은 한때는 자바를 개발한 사람들에게 듣기 좋은 소리였다”고 말했다. 다른 브라우저 플러그인과 달리 자바는 존재하는 거의 모든 운영체제에서 실행된다. 산토렐리는 “결국 맬웨어의 경제학이 적용된다”고 말했다. 맬웨어 제작자들은 개발에 들어간 투자에 대해 최대한의 이득을 얻고자 한다. 즉, 가능한 가장 넓은 시장을 목표로 삼는 맬웨어를 만든다.
 
그런 면에서 자바는 투자한 만큼의 효과를 돌려준다. 아마 이 말을 오라클 CEO 래리 엘리슨이 듣는다면 진절머리를 칠 것이다. 오라클은 2009년 썬 마이크로시스템즈를 인수할 때 자바도 물려받았다. 오라클은 이 기사를 위한 인터뷰 요청을 거부했다.
 


X