인터뷰-“윈도 비스타가 맥 OS X보다 한 수 위”

2009-10-23     PC사랑
 
지난 4월 20일 열린 맥 해킹 대회에서 우승했지만 원래 그 컨퍼런스에 참석하지않은것으로안다. 어쩌다해킹대회에나가게되었나?
알려진 대로 나는 캔섹웨스트 컨퍼런스에 참석하지 않았고 해킹 대회가 열리는 것조차 몰랐다. 그러다가 우연히 그 대회에 참가하고 있던 친구 샤인 매컬리(Shane Macaulay)에게 전화를 받았다. 대회 첫날 아무도 맥을 해킹하지 못했다는 내용이었다. 그것이 나의 도전 욕구를 자극했다. 애플 맥도 일반 PC처럼 해킹이된다는사실을증명해보이고싶었다.
 
원래 이 해킹 대회는 무선으로 맥 시스템을 공격하도록 되어 있었지만 첫날아무도 성공하지 못하자 주최측이 규정을 완화해 사파리 브라우저를 통해 접근하도록했다. 애플맥의무선공격은불가능한것인가?
무선으로 맥 시스템을 뚫고 들어가는 것이 어려운 이유는 그만큼 공격 지점이 좁기 때문이다. 같은 조건에서 윈도를 공격하더라도 비슷한 결과가 나왔을 것이다. 그렇다고 애플 맥의 무선 공격이 불가능한 것은 아니다. 과거에도 여러차례무선공격에뚫렸다.
 
처음 당신이 맥 해킹에 성공했을 때는 사파리 브라우저를 통해 공격이 이뤄졌다고 알려졌다. 그러나 사실은 사파리가 아니라 퀵타임 동영상 프로그램을뚫고들어간것이다. 왜처음부터퀵타임이라고 하지않았나?
처음부터 나는 어느 부분이 취약점을 안고 있는지 알았지만 의도적으로 숨겼다. 다른사람들이이를악용할것을걱정했기때문이다.
 
퀵타임은 맥 OS 뿐 아니라 윈도에서도 쓴다. 결국은 다른 운영체제도 뚫릴 수 있다는 얘기다. 다른 운영체제도 위험하다는 사실을 처음부터 알고 있었나?
퀵타임을 쓰는 운영체제라면 영향을 받을 것이라 의심했지만, 당시에는 정해진시간에코드를작성해야했으므로자세하게조사할여유가없었다.
 
Q샤인 매컬리의 전화로 시작된 도전은 결국 성공을 거뒀다. 애플 맥을 해킹하는과정에서어려운점은무엇이었나?
가장 신뢰할 만한 공격 포인트를 찾는 것이었다. 이번 애플 취약점을 보면 흔하디흔한‘버퍼 오버플로우’처럼 간단치 않았다. 나는 공격 가능한 방법을 찾기위해여러기술을동원했다.
우리가 프로그램을 충돌하게 하는 방법을 찾더라도 그것이 취약성 공격으로 이어질지는 모르는 일이다. 따라서 여러 가지를 더 시도해보면서 메모리 공간의 특정 주소를 감염시킬 수 있는지 알아내야 한다. 이런 과정을 통해 비로소 해킹 가능한 취약점을찾아내는것이다.
 
버퍼 오버플로우 -보통은 쓸 수 없는 공간에 공격코드를 덮어 씌워 시스템의 정상 작동을 막거나 제어권을 훔치는 기술. 시스템을 공격할 때 가장 널리이용되는방식이다.
 
이번 대회를 치른 뒤 여러 언론들과 많은 인터뷰를 가졌다. 그러면서‘there was bloodin the water’라는 표현을 자주 썼는데, 무슨 뜻으로한말인가?
취약성을 찾아내는 일은 쉬운 게 아니다. 물론 나는 예전에 맥 OS X와 퀵타임에서 여러취약성을 찾아낸 경험이 있어서 이런 코드에 익숙하지만 새로운 취약점을 찾아내는 일은 많은 인내가 필요하다. 그래서인지 모르겠지만, ‘할바 플레이크’(Halvar Flake)나‘데이브 에이텔’(DaveAitel) 같은 뛰어난 보안 전문가들은 취약성을 발견하는 것을‘낚시’(fishing metapho)와 비교하곤한다.
어느 날 우리는 아무것도 낚지 못할 수도 있다. 또어느 날은 운 좋게 월척을 잡기도 한다. 들리는 소문에 어느 강에는 고기가 많다고 한다. 누군가 여기서 낚시를 하지 않으면 고기가 우글우글 넘쳐날것이다.
같은 맥락에서 내가 말한 블러드 인 더 워터(bloodin the water)는 퀵타임에 다른 취약성이 있다는것을 가리킨다. 지난 몇 년에 걸쳐 퀵타임에서는자바와 관련된 문제를 비롯해 여러 취약성이 발견되었다.
어떤 소프트웨어가 과거에 취약성을 가지고 있었다면 아직 발견되지 않은 취약성들이 있을 확률이대단히 높다. 그래서 나는 퀵타임에 낚시 줄을 드리웠고 예상대로 월척이 낚였다. 그리고 여기에는아직고기들이많이있을것이다.
 
MS 윈도와 맥 OS 중 어느 것이 보안에 강한가 하는 것은 민감한 주제다. 그런데도 당신은 윈도 비스타가 맥 OS X보다 보안에 강하다고주장해왔다. 이를뒷받침하는 근거가있는가?
MS 윈도에서 보고되는 취약점을 본다면내 주장에 공감할 것이다. 대부분이 서비스팩 2가 나오기이전의 윈도 2000이나 윈도 XP을 공격하는 것이다. 서비스팩 2 이후는 물론 윈도 비스타에 대한 취약점은 그리 많지 않다. 이는 MS SDL(SecureDevelopment Lifecycle)이 취약점을 효과적으로 해결해나가고 있다는 뜻이다. 반면에 맥 OS X는 사람들이 관심을 갖기 시작하면서 취약점 보고가 꾸준히 늘어난다.
윈도 취약점에 대한 패치 숫자가 줄어드는 것과는 달리 맥 OS X 패치는 계속해서많아지는 추세다. 나 역시 맥 OS X보다는 윈도 비스타에서 취약점을 찾는 게 더 어렵다.
 
SDL - MS는 오래 전부터 소프트웨어 설계와 테스트 과정에서 보안을 주요 이슈로 포함시켜놓았다. 1998년 시작된‘내부 보안 태스크포스’는 2000년SWI(Secure Windows Initiative), 2004년‘보안 푸시’(security push)를 거쳐SDL로 발전했다. MS 자료에 따르면, SDL 프로세스를 거친 제품은 취약점이 50%이하로 줄어든다. SQL 서버에서 데이터베이스 취약점이 발견되지 않은 게 좋은 사례다. SDL 프로세스에 따라 개발된 윈도 비스타도 기존 윈도보다는 취약성이 적은것으로 평가받는다.
 
애플 마니아들은 맥 OS가 MS 윈도보다 훨씬 더 안전하다고 믿는다. 그 근거로윈도에서일어나는보안사고가많다는점을드는데….
두 운영체제 모두 취약점을 안고 있고, 따라서 둘 다 공격을 받을 가능성은 언제나 존재한다. 다만 MS 윈도는 시장 점유율이 높아서 더 많은 공격을 받는것이고, 이것이 상대적으로 맥 OS를 안전하게 비치게 만들었다. 스파이웨어를 비롯해맥OS를겨냥한공격이적다고애플맥이해킹에강하다고할수는없다.
 
보안이라는 관점에서윈도비스타가맥OS X보다나은점은무엇인가?
다시 말하지만, SDL 프로세스로 개발된 윈도 비스타는 소스 코드에서 발생하는 취약점이 크게 줄었다. 그렇다고 취약점이 완전히 사라진 것은 아니지만 ASLR(Address Space Layout Randomization), MIC(Mandatory IntegrityControl), UAC(user account control) 등의 기술들이 잠재적인 위험까지 완화시키고있다.
 
ASLR - PC를켤 때마다 다른 메모리 영역에 있는 중요한 시스템 파일을 읽어 악질적인코드가실행되지않게하는기술.
MIC - 안전이 의심스러운 낮은 무결성 프로세스는 높은 무결성에 할당된 자원을쓰지 못하는 기술. 예를 들어, 익스플로러 7.0의 보호모드는 보통 프로세스가 실행되는 medium보다 한 단계 낮은 low로 돌아간다. 신뢰할 수 있는 사이트를 방문하면 medium, 그렇지 않은 사이트는 low 레벨에서 작동한다는 얘기다. 설령 공격이 시작되더라도 low 레벨의 한계 때문에 시스템 전체가 영향을 받지는 않는다.
UAC - 기존의 MS 윈도가 보안에 취약했던 이유는 평소 관리자 권한으로 돌아가기 때문이었다.
이런 위험 부담을 덜기 위해 UAC는 사용자 계정으로 권한을 낮춘다. 그러다가 시스템 설정을 바꾸는 등 관리자 권한이 필요하면 메시지를 띄워이용자의 확인을 거친다. 현재 작업과 상관 없는관리자 권한 요청 메시지가 뜬다면 해킹 가능성이높은 것이므로 승인을 해주지 않으면 된다.
 
보안이라는 관점에서 맥 OS X가 MS 윈도보다나은점은무엇인가?
A맥 OS X의 Authorization Services는 윈도비스타의 UAC보다 잘 만들어졌다. 비스타처럼 UAC를 꺼야 할지 고민할 필요가 없을 만큼높은 신뢰를 받는다. 맥은 어드민 유저(Adminusers)라도 완전한 권한을 얻지 못하는데, 이 역시안정성을 높인다. 비스타의 액티브 X나 RPC처럼해커들을 유혹하는 기술을 쓰지 않는 것도 빼놓을수없는장점이다.
다른 관점에서 보면, 맥 OS X는 시장 점유율이 높지 않아 악성 코드 제작자들의 타깃에서 약간 벗어나 있다. MS 윈도가 집중적으로 공격을 받는 것을곁에서 지켜보면서 스스로를 강화할 기회를 여러번얻어왔다.
 
이번해킹대회를통해한국에서도당신은유명해졌다. 늦었지만본인을소개해달라.
6개월 전까지 마타사노 보안(MatasanoSecurity) 연구소에서 샤인 매컬리와 함께일했지만, 지금은 독립해 금융 분야에서 보안 컨설팅을 하고 있다. 내가 컴퓨터 보안을 공부한 것은10년 정도 지났다. 지금까지 네트워크 보안, 소프트웨어 보안, 정보 보안 분석 등 여러 영역을 연구해오고 있다. 그리고 나의 연구 성과를 블랙햇(BlackHat)과 캔섹웨스트(CanSecWest) 같은 해킹컨퍼런스에서 발표한다.
지난 해에는 해킹에 관한 책(원제 The Art ofSoftware Security Testing)도 펴냈다. 소프트웨어 보안 허점을 찾아내는 기술을 다루는 내용으로2006년 11월 에디슨 웨슬리 프로페셔널(Addison-Wesley Professional) 출판사에서 발행했다.