안녕하세요. 바다란입니다.
금일 자 기사에 Vista의 전문가들의 비난에 대해 침묵하던 빌게이츠 회장의 의견 피력이 있었습니다. 전체적으로 보면 일상적이고 무난한 의견이라고 보지만 그 동안 시대 상황이 변화고 환경 자체가 변함에 따라 변화의 요구는 매우 강해 질 수 밖에 없었던 MS의 입장을 볼 수 있습니다. 그 입장 변화의 주요 핵심요소들 중에는 Security가 있습니다.
그 동안 운영체제의 문제로 인해 발생된 문제들에 대한 지대한 관심과 IT분야에서의 이슈메이커는 MS에 집중이 되었습니다. 어찌 보면 당연한 문제일 수 밖에 없습니다. 신규 웜의 발생 및 파급효과 면에서 가장 큰 효과를 지닌 MS의 운영체제는 집중적인 분석 및 공격 대상이 되어 왔었고 현재도 마찬가지 입니다. 따라서 운영체제에 대한 보호 방안 마련 및 Secure한 운영체제 구현은 근 5년 이상 2000년대 들어서 MS에게 주어진 숙제와도 같았을 것입니다. 그 1차 숙제를 끝냈다고 생각한 빌 게이츠의 의견은 기사와 같습니다.
빌 게이츠 "비스타 비난 근거 없다"
"비스타의 가장 큰 장점 중 하나는 많은 신기술과 보안 기능으로 사용자를 즉각 흡수한다는 것"
비스타에 대해 의견을 내는 빌의 한 마디는 위와 같이 요약이 됩니다. 기술된 언어에서 중요 포인트를 추려보면 강조표시를 한 신기술과 보안기능입니다. 신기술의 측면은 UI 측면과 그다지 새롭지 않은 기술들 [ 이미 틈새를 개발한 많은 개발 업체들이 상용화 한 부분]의 운영체제 흡수를 들 수 있습니다. 새로운 기능들이 얼마나 포함이 되었는지는 상세하게 알지 못하지만 언론지상에 노출된 기능만을 보았을 때는 UI 측면 그리고 인터넷에 접근 한 이후에 사용할 수 있는 선택의 기제를 운영체제에 내포한 기능 정도로 볼 수 있습니다. IE7과 Vista를 관통하는 정의는 선택의 흡수와 편리성 입니다.
선택의 흡수란 말은 인터넷 연결 이후에 선택하는 사이트에서 이루어지는 행위 자체를 운영체제 단위 및 기본 Application 에 내재화 시킨 것으로 볼 수 있습니다. 향후 다양한 기능들이 추가가 될 것으로 예상이 됩니다. MS의 주요 경쟁자가 구글 , 야후 등과 같은 Service content를 제공하는 업체라고 인식을 하고 있고 인식의 바탕 하에 service content의 제공자 역할까지도 동시에 하겠다는 말과도 일맥상통 하다고 볼 수 있습니다. 편리성이라는 용어도 선택의 흡수와 연계되는 용어 입니다. 단지 포장만 달리 했다고 볼 수 있습니다. 경쟁자를 이기기 위해 들고나온 첫 무기가 Vista라고 볼 수 있을 것 같습니다. 또한 경쟁자의 대상을 명확하게 했다고 볼 수도 있습니다.
전략적으로는 서비스 제공자의 역할을 분산시키고 선택 제한을 통해 약화를 시키고 세부적으로는 MS의 솔루션에 대한 Security 인식을 심어주기 위한 의도라고 볼 수 있습니다. 다르게 보면 All in one OS를 지향 한다고도 볼 수 있을 것 같습니다. 지금까지는 개별 Application 설치를 통해서 해결 하던 문제를 알게 모르게 흡수를 하여 상당부분 운영체제 혹은 MS의 Lineup에서 해결 할 수 있도록 하여 시장에 대한 지배력의 공고화를 노리고 있다고 봅니다. 노벨에 대한 회유도 대동소이한 맥락이라 볼 수 있을 것입니다.
다양한 신기술을 접속이라는 측면에는 위와 같은 배경들이 존재한다고 할 수 있으며 그 결과가 개별 Application의 흡수라고 볼 수 있습니다. 심지어는 보안 관련된 Application도 자사의 서비스 전략에 포함을 시켜 두고 전 세계에서 서비스를 하고 있습니다. (Live oncare) MS와 관련이 없을 것으로 여겼던 [ 자사의 서비스 취약성을 이용하는 공격을 Active하게 대응 한다고도 볼 수 있습니다.] 부분까지도 범위를 확장한 것은 그만큼 서비스 범위에 대한 통제권을 확실히 하고 이득을 분명하게 추구하겠다는 이야기라고 볼 수 있습니다.
또 다른 부분으로 언급한 보안성이라는 측면에서 공식적으로 보안이 강화되었고 보안성이 사용자를 흡수 할 수 있다는 논의는 그 동안 MS에서 들인 노력에 대한 자신감이라 할 수 있습니다. 그 노력에 대한 자신감은 모든 개발인력에 대한 보안프로세스 이해 그리고 실제적인 보안의 사안을 이해하기 위해 보안 자격증 취득 지원 ( CISSP ? ) 그리고 강력하고 반복적인 BlackBox Test를 통한 자신감이라 하겠습니다. 지난 시간 동안 개발에 투입된 비용만큼을 보안에 투입한 상황에서는 충분히 가질 수 있다 하겠습니다. SDLC (Secure Software Development Life Cycle or Security Development Life Cycle)를 언급한 MS의 입장에서도 확인 할 수 있습니다.
Ref: SDLC [ Secure한 Software 개발을 위한 반복적인 Penetration Test 그리고 문제해결 과정을 의미 하기도 합니다.]
< www.owasp.org Eoin.keary@owasp.org 의 발표자료중 발췌>
2002년 초에 MS에서 공식적으로 표방한 TCI (Trustworthy Computing Initiative) 전략의 첫 완성물이라고 볼 수 있기에 Vista에 대한 자신감은 있을 수 있습니다. 2002년 이후 일정 수준이상 완성된 Vista 의 소스코드를 전체에 대해서 전수 검사를 수행하고 문제 있는 부분 수정을 한 이후 출시 일정을 미루어 가면서 까지 나온 바탕이 배경화 되었을 것입니다. 그 동안에 들인 비용은 상상을 초월하는 비용이 들었을 것입니다. 어쩌면 Vista에 대한 개발 비용 보다 더 많은 비용이 들었을 것입니다. 이런 일련의 흐름이 지향하는 바는 명확합니다. 기업은 이익 창출이 기본 개념입니다. 그리고 이익이 없는 곳에는 행동 하지 않습니다. 따라서 MS의 보안분야에 대한 투자는 운영체제에 대한 막대한 시장지배력만으로 유지하는 것은 어렵다는 것을 인지하고 Security 라는 부분이 중대한 Factor임을 인정한 것 이라 볼 수 있습니다.
그러나 과연 Vista에 대한 보안적인 이슈들을 일정부분 해소 하였다고 하여 보안성이 강화 되었다고 할 수 있을까요?
질문 나갑니다. Vista는 안전 합니다. 그럼 Vista 상에서 동작하는 모든 Application들도 안전 할까요?
정답은 그렇지 않다 입니다. Application에 대한 공격은 2004년부터 일반화된 경향이며 현재 발표되는 취약성의 90% 이상이 개별 Application에 대한 내용입니다. 그 중에는 MS에 많은 이득을 창출케 해주었던 MS Office 군도 포함이 되어 있습니다. 이전의 Office 제품과 호환이 가능하면서 완전한 Security Process를 수립하고 process에 따른 대책이 이루어 졌을까요? 그렇지 않다고 단언합니다.
Office 제품군에 대한 취약성은 일주일에 몇 개 꼴로 신규 취약성 및 공격 가능성이 발견 되고 있습니다. 지금은 일반화된 zeroday attack[패치가 없는 취약성] 이 가능한 공격코드들이 무수히 발견 되고 있고 일정 수준 이상의 Binary 분석 및 취약점 발견 능력을 지닌 사람들에게는 손쉬운 일이라 할 수 있습니다. 도구의 발전으로 인해 예전보다 휠씬 더 적은 시간을 투자하고도 발견 할 수 있다고 봅니다.
http://www.securityfocus.com/bid 에서 Vendor를 Microsoft로 선택 하시고 보시면 최근 MS제품군에서 발견된 취약성을 확인 할 수 있습니다. 2007년에 발견된 다수의 취약성 대부분이 Office 제품군에서 발견된 것을 확인 할 수 있습니다. 물론 알려진 것 만입니다. 알려지지 않은 취약성이 더욱 많겠죠.
<securityfocus의 MS 관련 취약성>
http://www.youtube.com/watch?v=x1OF1BH0HhM
< MS Word의 Zeroday Attack에 대한 Youtube 동영상>
빌의 자신감은 충분히 이해합니다. 그러나 운영체제와 Application은 다르다고 생각합니다. 운영체제에서 모든 Secure한 구조 위에서 Application을 운영하고 통제를 한다면 이것은 진정한 All in One 이자 MS Emperor라 부를 수 있을 것입니다. 하지만 완전한 것은 없습니다. 운영체제의 보안이 하나 흔들리게 되면 모든 Application도 흔들리게 됩니다. Application 접근을 위해 통제가 가능한 PatchGuard 라는 방안도 만들어 두고 있으나 장기적 관점에서는 MS의 의도는 중대한 실책에 부딪힐 수 있을 것입니다. 자사가 만든 모든 Application의 변환은 그리 원활하지 않을 것이고 지금까지 투입된 것 보다 휠씬 더 많은 가치를 투입하고 긴 시간이 소요 될 것입니다. 이 간극의 시간에 많은 문제들이 발생 할 것이고 또한 Vista의 Protection도 깨질 것으로 보입니다. 확실 하다고 할 수 있습니다.
SAAS & SAAP의 충돌 ( 구글과 MS ? )
SaaS ( Software as a Service ) 와 Saap (Software as a Product) 의 충돌이 이제 곧 예상이 됩니다. 올해부터 시작이 될 것으로 보입니다. SaaS의 선두 주자는 구글이고 Saap는 MS가 되겠죠. SaaS는 근래에 회자 되고 있는 용어이나 Saap는 방금 제가 급조한 용어입니다. ^^ ; Product 관점에서 접근하는 MS와 Service관점에서 접근하는 구글을 가르는 키워드는 Security 입니다. 두 패러다임을 이끌고 있는 기업 모두 직면한 과제라고 할 수 있습니다. Product 관점의 MS가 OS에 모든 것을 포함하려는 첫 시도가 Vista이고 많은 노력을 기울였지만 전체적인 관점에서 Trustworthy Computing Initiative는 아직 갈 길이 멀다고 봅니다.
빌이 역설한 Vista의 보안성 강조 부분에서 읽어 낼 수 있는 부분을 최대한 읽어 보았고 향후 양대 세력의 움직임을 어설프나마 예측해 보았습니다. 또 빌의 호언장담은 그리 만만치 않은 현실 속에서 많은 어려움을 겪게 될 것입니다. 아쉽게도 큰 흐름을 주도하는 두 세력 모두가 미국 회사라는 점이죠. 이런 거대 경쟁 속에서 발전을 하고 새로운 흐름을 주도하는 것이 부러울 따름입니다. 우리도 끊임없이 노력하다 보면 언젠가는 새로운 흐름을 선도 할 수 있을 것입니다. 지금은 틈을 노려야 할 때..
- 바다란 세상 가장 낮은 곳의 또 다른 이름. P4ssion
* 빌게이츠가 제 친구는 아닙니다. ^^; 서양 스타일 대로 호칭한 것이니 별다른 오해 없으셨으면 합니다. ^^;
'Security Indicator > Insight' 카테고리의 다른 글
| 분석(8) 다이하드4.0 과 Cyber Terror (0) | 2010.04.27 |
|---|---|
| 분석(7) 해외금융 파밍을 통한 대형 금융사고 (0) | 2010.04.27 |
| 분석(4) - Web 2.0 UCC의 위협 - 보안위협 (0) | 2010.04.27 |
| 분석 (5)- 사상 최대 온라인 은행강도 [피싱] (0) | 2010.04.27 |
| 분석 (3)- 탈북 ‘해커 대부’ 가 털어놓은 북한의 가공할 해킹 능력 (0) | 2010.04.27 |