구글, “버그 패치 완료, IBM 보고서는 틀렸다”

Gregg Keizer | Computerworld 2010.09.01

구글이 최근 소프트웨어의 심각한 버그 중 1/3이 패치되지 않았다는 IBM의 보고서가 틀렸다고 반박했다.

 

지난 주 관련 보고서를 발표한 IBM의 X-포스(X-Force)는 에러가 있음을 시인하면서, 구글이 ‘중요’, ‘높음’ 표시가된 모든 취약점을 패치한 것으로 나타낸 차트로 수정했다.

 

구글의 보안 프로그램 관리자인 아담 메인은 회사의 블로그를 통해서 “구글의 취약점 수와 이에 대한 대응 기록에 많이 놀랐다. IBM과 논의를 한 결과 보고서의 결론에 중요한 영향을 끼치는 여러 에러를 발견했다”라고 전했다.

 

지난 주, X-포스의 보고서는 2010년 상반기에 발견된 구글 제품의 버그 중에서 9%가 패치되지 않았으며, 위험도가 ‘중요’ 혹은 ‘높음’인 취약점 중 33%가 패치되지 않았다고 발표했다.

 

IBM이 개정한 통계에 따르면, 구글은 2010년 상반기에 발견된 모든 취약점을 패치했다.

 

X-포스의 연구원인 톰 크로스는 “트렌드 보고서를 발표한 이후, 두 업체로부터 차트의 기반이 되는 데이터를 수정해달라는 요청을 받았다. 이에 따라 수동으로 CVSS 점수를 다시 평가했으며, 정보를 수정했다”라면서 수정된 차트를 공개했다.

 

패치 결과에 대해 불만을 제기한 다른 업체의 이름은 알려지지 않았으나, 썬 마이크로시스템즈의 패치 숫자가 급격히 변했다는 것을 확인할 수 있다. 기존 통계에서 썬은 2010년 상반기에 발견된 버그 중에 24%, 그리고 가장 심각한 취약점 중에 9%를 패치하지 않은 것으로 나타났는데, 수정된 통계에서는 각각 8%, 0%로 나타났다. 이에 따라, 썬은 기존에 취약점을 가장 많이 패치하지 않은 업체 1위에서 15위로 내려가게 됐다.

 

썬은 지난 4월 오라클에 인수됐는데, X-포스는 두 회사의 취약점을 별도로 처리했다.

 

X-포스가 데이터를 수정한 결과, 마이크로소프트, 모질라 등 다른 업체의 패치되지 않은 취약점의 비율도 내려갔다.

 

구글이 X-포스의 보고서에서 주목한 것은 33%의 주요 버그 미 패치 비율이다. 메인은 “조사를 한 결과, 전체 세 개의 취약점 중에서 하나가 패치되지 않은 것이 33%로 표시되었으며, 더 중요한 것은 이 하나의 취약점도 용어상의 혼란으로 패치되지 않았다고 잘못 생각한 것이다”라고 말했다.

 

한편, 소프트웨어 업체가 독립 보안 연구원들의 보고서가 잘못됐다고 반박하는 것은 종종 발생하는 일이다. 예를 들어 모질라는 경쟁 브라우저보다 파이어폭스에 버그가 많다는 지적에, 취약점이 모두 공개되는 오픈소스라는 특징을 들어 반박한 바 있다. 애플이나 마이크로소프트는 오픈소스가 아니기 때문에 패치될 혹은 패치된 취약점만 공개한다는 설명이다.

 

더불어 개발자와 연구원들은 버그의 심각성이나, 취약점의 단계 설정에도 많은 논쟁을 벌여왔다. 2년 전 마이크로소프트는 처음에 윈도우 버그를 설계상의 결함이라고 주장하다가 몇 주 후에 보안 문제라고 바꿔 말했다.

 

X-포스 역시 취약점 통계시에 문제점을 겪어왔다. 지난 주 발표한 보고서에서 IBM은 2009년의 계산법이 틀렸다는 것을 인정하고 좀 더 정확한 계산 방법을 만들었다고 전했다.

 

X-포스의 개정된 보고서는 이번 주 발표될 예정이다. gkeizer@ix.netcom.com

 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.