제로데이 Windows 익스플로잇을 공개한 보안 연구자를 GitHub가 차단
요약
보안 연구자가 Windows의 BitLocker 백도어 의혹을 제기했으나, Microsoft와 GitHub로부터 부적절한 대응을 받아 활동을 중단하겠다고 선언했습니다. 기업의 취약점 신고 대응 방식과 사이버 복원력 법(CRA)의 중요성, 그리고 대형 테크 기업의 버그 바운티 운영 실태를 비판합니다.
핵심 포인트
- 보안 연구자에 대한 기업의 고압적 대응이 화이트햇 활동 위축 초래
- BitLocker 백도어 의혹 제기 및 Microsoft의 대응 방식 논란
- EU 사이버 복원력 법(CRA)을 통한 기업의 취약점 대응 의무화 필요성
- 대형 테크 기업의 버그 바운티 프로그램 운영 및 보상 체계의 한계
웹 앱에서 보안 버그를 발견해도 더는 신고하지 않게 됨. 처음 신고했을 때는 경찰에 체포될 뻔했고, 두 번째에는 내게 답도 하지 않은 채 고용주에게 직접 연락해서 신고가 불쾌했고 수정 후 글로 쓰고 싶었다고 함
그 뒤로는 이런 번거로움을 감수할 가치가 없다고 판단했고, 그냥 놔두면 나도 평온한 하루를 보낼 수 있음
원한다면 취약점을 Finnish Cyber Security Centre에 신고하면 되고, 그쪽에서 영향을 받은 당사자와의 신고·중재를 처리해 줌
완전 익명으로도 가능하니, 과민한 기업이 삶을 망칠까 걱정하지 않아도 됨. Traficom의 FCSC는 화이트햇 보안 연구자들이 공익에 계속 기여할 수 있게 해 주는 좋은 자산임
한 번은 어떤 철도 노선이 소셜 미디어에 “누군가에게 좋은 일을 했다”는 사진을 올렸는데, 사무실 사진 속 벽에 여러 시스템의 사용자명과 로그인 정보가 적힌 A4 용지가 붙어 있었음
찾을 수 있는 연락처 세 곳에 신고했지만 한 곳만 답했고, 그 시스템들이 무엇을 하는지와 위험이 뭔지 물어봄. 나는 전혀 모르고, 정체 모를 시스템에 로그인해서 확인할 생각은 절대 없으니 내부 IT에 넘겨서 변경·교체할 것을 보라고 답함
결국 성실함에 감사하며 사진을 지웠으니 해결됐다는 답을 받았음. 이해하는 사람이 실제로 검토했기를 바라지만, 더 관여하지 않기로 함
신경 쓰지 않는 게 낫다
한동안 직업적으로 화이트햇을 했지만, 솔직하고 도움이 되려는 시도가 지금은 위험하다는 데 동의함. 취약점을 팔기로 해도 그러려니 하게 됨
규제를 비판하는 사람도 있겠지만, EU가 의무화한 사이버 복원력 법(CRA) 은 기업이 취약점 신고를 받을 명확한 연락 창구를 두고 실제로 대응하도록 만들었음
익명으로 정부 기관에 익스플로잇을 신고해 볼 수도 있음
여기서 무슨 일이 벌어지는지는 모르겠지만, 대형 버그 바운티 프로그램의 제1원칙은 벤더 측 관련자 모두가 지급을 하도록 강하게 유인된다는 것임
많은 경우 내부 지표가 지급액에 걸려 있는 사람이 있고, 이런 프로그램에서 지급은 축하할 일임. Microsoft가 바운티 청구자를 괴롭혀 돈을 아끼려 한다고 보기는 거의 확실히 어려움
작은 회사에는 맞지 않을 수 있고, 그래서 작은 회사가 버그 바운티를 운영하면 안 되는 이유이기도 하지만, FAANG/MAG7 규모 회사에는 분명히 해당됨. 그렇다고 이런 프로그램이 항상 지급 쪽으로 관대하거나 사람을 화나게 할 결정을 안 한다는 뜻은 아님. 다만 앙심 때문에 지급을 보류한다는 주장과는 맞지 않음
단, Microsoft 쪽 사람과 이야기한 지 시간이 좀 지나서 약간 유보함
YellowKey 글을 읽어보면, 적어도 일부 사례에서는 미국 정보기관 등이 쓰는 Microsoft의 공식 백도어를 공개한 것처럼 보임. BitLocker가 안전하지 않고 백도어가 있다는 얘기임
TrueCrypt가 어느 날 갑자기 문을 닫고 모든 다운로드를 제거한 뒤 모두에게 Microsoft BitLocker로 옮기라고 권했던 뒤라, 아무도 예상 못 했던 일은 아니었음
[1] - https://www.tomshardware.com/tech-industry/cyber-security/mi...
이 일은 신고자에게 동영상을 내놓게 설득하지 못하자, 관료주의가 Bluehammer를 검토조차 거부한 데서 시작됐음
그리고 관료제를 고치기보다 계정을 금지하는 식으로 더 밀어붙인 건 정말 좋지 않은 모습임. 왜 Microsoft가 선의로 해석되는지 잘 모르겠음
이 사람이 제기한 버그는 아주 명백한 BitLocker 백도어로 보이고, Microsoft가 암호화에서 무엇을 하고 있는지에 대해 매우 심각한 의문을 낳음
사용자 키 없이도 볼륨을 해독할 수 있을 가능성이 꽤 커 보이며, 이는 극도로 우려스러움. 없던 일로 만들려는 것 같지만 이미 공개돼 버렸음
금지 조치 뒤에 똑똑했다면 그를 큰돈 주고 채용했을 것임. 이런 대기업들은 긴장하긴 해도 멍청하지 않다면 돈을 지급함
Microsoft라서 이런 일에 가장 진보적인 회사는 아닐 수 있으니, 그걸 깨달았는지는 모르겠음
버그 바운티 심사를 하며 일할 때, 지급을 꺼린다는 증거는 본 적이 없음. 회사 쪽에서 본 최악의 행동은 개념 증명에서 “X는 피해주세요”라고 요청해 놓고, 그 지시를 무시한 연구자에게 더 높은 금액을 지급한 일이었음
결국 입증된 위험이 더 컸기 때문임. 반대로 어느 대형 프로그램은 한 연구자가 오래전에 평범한 XSS 익스플로잇으로 더 높은 지급 등급에 해당하는 효과를 낼 수 있다고 설득한 뒤, 이후 XSS를 찾을 때마다 같은 효과를 내는 개념 증명을 붙여 계속 부적절하게 높은 등급으로 지급받았음. 다른 연구자들의 XSS는 표에 적힌 XSS 등급으로 지급됐음
실제로 한 번은 예외가 떠오름. 누군가 회사 서버에 웹셸을 설치하는 성배 같은 일을 해냈고, 현재 기준이면 1만 달러 이상 가치가 있었음. 하지만 웹셸을 지우지 않고 보고서만 제출한 채 그대로 둠. 프로그램 책임자가 격분해서 그 이유로 바운티를 지급하고 싶지 않다고 구체적으로 말했음. 최종적으로 지급됐는지는 기억나지 않음
Microsoft가 이 일을 후회하게 될 것 같음
누군가 제로데이를 찾아도 보상은 없고 계정만 금지됨. 그러면 그 제로데이를 다른 곳에 팔게 됨
그런데 이 이야기는 제로데이 익스플로잇을 판 게 아니라 공개했다는 내용 아닌가. 제목에도 그렇게 되어 있음
그리고 Microsoft와 관련 없는 GitLab에서도 금지됐음
다른 제로데이를 찾는 사람들도 있음. 평판은 매우 중요함
제로데이를 다른 곳에 판다고 해도 문제없을 듯함. CIA는 고위 간부가 요청만 해도 금괴 수백만 달러를 줄 수 있으니, 익스플로잇 구매에는 구매 주문서도 필요 없을 것 같음
최근 몇 달 동안 여러 관련 일에서 이상한 디지털 응답을 많이 겪었고, 무엇을 잘못하고 있는지 정확히 짚지 못해 답답했음. 그러다 기사에서 이 문장을 읽음
“하지만 비용을 아끼려고 Microsoft는 숙련된 사람들을 해고했고, 순서도 추종자들만 남겼다.”
순서도 추종자라는 표현은 기억해 둘 만함. 생각하라고 돈 받는 게 아니라, 미리 깔린 절차를 따르라고 돈 받는 사람들임. 가까운 미래에는 디지털이든 실제 사람이든 이런 순서도 추종자를 훨씬 더 많이 상대하게 될 것 같음
예전에 상대해야 했던 기업 보안 컨설팅 회사 대부분은 체크리스트로 움직였음
정비사, 전기공, 건축업자 같은 많은 블루칼라 직종에서는 flowchart를 따르는 것이 사실상 법이고, 절차는 피와 책임으로 쓰인 것임
반면 IT, 운영, 개발자들은 스스로를 장인적이고 자유롭게 사고하는 지식인으로 봄. 절차를 따르는 것보다 지름길, 해킹, 틀 밖의 사고가 실력과 연결된다고 여김
Microsoft에서 무슨 일이 벌어지는지 공개 입장이 있나? 왜 Microsoft와 GitLab이 모두 그 사용자를 금지했을까
두 플랫폼 모두 처음부터 명확히 표시하면 익스플로잇과 보안 연구 호스팅을 허용하는 줄 알았는데, 아마 어떤 규칙을 어긴 것 같음
하드웨어 접근이 여전히 필요한 전체 디스크 암호화 익스플로잇이라면, 아마 세 글자짜리 정부 기관 같은 곳을 위해 만들어졌을 수도 있음
전령을 쏴 버리면 해결되겠지
취약점을 패치하기보다 국가 기관에 판매하도록 유도하고 싶은 건지도 모름
Microsoft가 GitHub에서 제로데이를 제거해야 하는 편집 책임을 스스로 만든 건가?
내 소프트웨어의 제로데이가 GitHub에 올라오면, Microsoft가 그 계정도 날려 버릴까?
이번 조치가 왜 앞으로 다른 계정에 대해서도 조치해야 할 책임을 뜻하게 되는지 모르겠음
이 상황은 Microsoft가 GitHub를 소유하는 구조적 이해상충을 잘 보여줌
GitHub에는 활성화된 무기화 익스플로잇 호스팅에 대한 명확한 서비스 약관이 있지만, Windows를 겨냥한 연구자를 금지하는 모습은 정당한 사유가 있더라도 언제나 보복처럼 보일 수밖에 없음
AI 자동 생성 콘텐츠
본 콘텐츠는 RSS: GeekNews (한국어)의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기