Responsible Disclosure의 이중적 견해
최근 보안 업계간의 갈등으로 Responsible Disclosure에 대한 얘기가 또다시 거론되고 있다(이하 RD). 뭐, 결론은 항상 짬짜면의 미덕을 보여야 한다라는 것인데, 이슈가 생기는 취약점들이 공개될 때마다 항상 RD가 거론되는 것은 아니다. 그 예를 들어 보자면
페이스아이디 제 것만 등록해놨는데 제 얼굴로만 풀려야 하는데, 어느 날 갑자기 아들 얼굴만 대도 제가 대는 것마냥 보안이 풀렸거든요
다른 사람인데 비슷한 얼굴이라면 본인으로 인식해 버리는 현상이다. 아빠랑 아들이랑 얼굴이 비슷할 수 있다는 것은 누구나 이해할 수 있는 것. 취약점으로 봐야 할지 버그로 봐야 할지 애매모호.
남의 집 디지털 도어록까지 띠리릭… 만능키 된 갤럭시워치
삼성SDS 측은 디지털 도어록 문제가 아니라 모든 갤럭시워치가 RFID의 고유 아이디가 동일해서 열릴 수 있다는 답변을 받았다고 밝혔다.
디지털 도어록 제작측과 갤럭시워치 제작측간의 보안 조치에 대한 일종의 미스커뮤니케이션. 누구의 잘못이라고 딱 꼬집어 얘기할 수는 없는 상황.
평소 보안에 대한 일을 하는 입장에서 위에서 열거된 취약점들도 어떤게 보면 RD를 지켜야 하는 것이라고 봐야 한다. 그런에 이러한 기사는 RD를 지키지 않아도 여론상으로 싫은 소리(이런 걸 왜 공개했느냐?)가 나오지 않는다. 심지어 RD를 항상 강조하는 보안 업계 종사자들로부터도.
왜 그럴까? 그건 바로 취약점이 기술적으로 어렵지 않고 이해하기 쉽기 때문이다. ‘뭐야, 이런 말도 안되는 허접한 취약점이야?’ 라는 인식을 가지게 되면서 RD에 대한 생각은 잘 하지 못하게 된다(아무튼 이러한 취약점들에 대한 공론화는 해결 방안을 모색하는 데 도움을 줬음에는 이견이 없다).
반면에 조금이라도 기술적으로 이해가 선행이 되어야 하는 취약점이라면 얘기가 조금 달라진다. 어떤 취약점이 공개되면 일반인들이나 기술을 잘 모르는 사람들은 RD(왜 공개했지? 그 책임을 질 수 있나?)를 따지는 반면에, 기술적으로 그 취약점에 대해 잘 알고 있는 업계 종사자는 ‘와, 이렇게 허접한 취약점이 존재하고 있어?’ 라는 생각을 먼저 하게 된다.
Responsible Disclosure… 다 맞는 말이긴 한데, 전문가들 앞에서 공자왈 맹자왈 하지는 않았으면 좋겠다.
마지막으로 2005년 당시 기사가 생각나서 링크 걸어 본다. 지금으로부터 대략 15년 전 당시의 보편적인 보안 마인드를 상기할 수 있는 기사. 개발은 잘하면 잘할수록 칭찬을 받는데, 보안은 잘하면 잘할수록 (이상하게도) 싫은 소리를 들을 수 밖에 없는 건 예전이나 지금이나 별반 다를 바가 없지만, 시간이 가면 갈수록 취약점 공개에 대한 오픈 마인드는 더욱 활성화될 것임을 믿는다.