지난 1월21일 국내 일부 언론은 정보보호 업체인 NSHC가 안티바이러스 프로그램 개발 업체인 하우리(주)와 공동으로 ‘아이폰 전용 백신 프로그램’을 세계 최초로 개발했다고 보도하였다. 그러나 이 업체가 개발하였다는 프로그램은 앱 스토어에 등록되기는 커녕, 바로 다음날 등록 신청마저 신속히 거부되었다.
아이폰 운영체제의 설계 원리를 이해한다면, ‘아이폰 전용 백신’이라는 개념 자체가 성립되지 않는다는 점을 알 수 있다. 안드로이드 운영 체제와는 달리 아이폰 운영체제는 음악재생을 제외하고는 멀티태스킹(multi-tasking)을 허용하지 않는다. 그뿐 아니라 아이폰의 프로그램 실행환경은 철저히 고립/차단된 sandbox 내부이므로, 어떤 프로그램이 다른 프로그램의 실행 프로세스에 간섭하거나 개입할 여지가 없다. 이렇게 설계된 운용 환경에서 안티바이러스 프로그램을 실행한다는 것 자체가 그다지 설득력이 없을 뿐 아니라, 애플사는 자사가 직접 관리하는 앱 스토어를 통해서만 프로그램이 아이폰에 설치될 수 있도록 하고, 앱 스토어 등록 신청 과정에서 프로그램을 사전 점검하여 악성 프로그램은 애초에 등록되지 못하게 함으로써 아이폰 운용 환경의 안전을 담보하고 있다.
바이러스가 아예 침입할 수 없도록 관리되는 환경에서 안티바이러스 프로그램 설치를 운운하는 것 자체가 코메디일 뿐 아니라, 애플사가 회사의 명운을 걸고 전세계에 판매하는 아이폰 운영체제의 신뢰성 자체에 대한 근거없는 모욕이다. 만일 아이폰용 ‘안티바이러스’ 프로그램을 애플사가 승인한다면, 그말은 곧 바이러스가 포함된 프로그램들이 앱 스토어에 마구 등록되는 사태가 이미 발생하였다고 시인하는 꼴이다. 애플사가 망하기 전에는 이런 일이 벌어질 가능성은 없다.
“세계 최초”에 열광하는 국내의 일부 성향을 적절히 자극하면서, 기술적으로나 논리적으로 터무니 없는 업체의 선전 자료를 검증 없이 베껴 적는 기사, 바로 다음날 등록신청이 거부되었다는 사실은 조용히 덮고 정정 보도조차 내지 않는 무책임함은 안타깝게도 국내 기술언론 매체의 부끄러운 현주소이다.
유사한 사태는 사실 그동안 거듭 반복되었다. 이른바 ‘리눅스용 안티바이러스 프로그램’ 소동이 그것이다. ‘윈도우’가 운영체제인지 컴퓨터인지도 잘 모르던 과거의 규제당국이 전자금융거래에는 백신프로그램을 우선 설치하라는 규정을 도입하자, 국내 일부 보안업체는 ‘리눅스용 백신프로그램’이라는 것을 개발하였다고 발표하는 사태가 벌어졌었다. 문제의 프로그램 개발에 관여하였다는 분의 주장은 “리눅스 운영체제에서 작동하는” 안티바이러스 프로그램은 공개소스로 이미 존재하며(예를 들어 clamAV), 자신은 이것에 기반하여 제품을 만들었다는 것이다.
놀라울 뿐이다. “리눅스에서 작동하는” 안티바이러스 프로그램은 리눅스 이용자를 공격하는 바이러스 프로그램(그런 바이러스가 전파될 가능성은 애초에 희박하다)이 있다는 말이 아니라, 윈도우 이용자들을 공격하는 악성 프로그램을 리눅스 운영체제로 가동되는 메일서버, 파일서버가 스캔해 주는데 사용되는 프로그램들이다. 이메일 서버들은 흔히 리눅스 운영체제로 구축되는 경우가 많다. 이런 메일서버들이 이메일 수령자들에게 전달될 첨부파일을 일괄 스캔하여 악성코드가 포함된 첨부파일은 아예 이메일로 전달되지 않도록 예방하는데 사용되는 프로그램들인 것이다. 이런 프로그램을 개인 컴퓨터에 설치하겠다는 발상은 리눅스가 무엇인지, 클라이언트/서버가 무엇인지 기본 개념 부터가 없거나, 영어를 해석할 능력조차 없는 수준의 인력이나 해낼 수 있는 발상이다. 그런 보안업체의 보도자료를 그대로 베껴적는 IT기자가 수두룩하다는 것이 바로 “IT 강국” 한국의 현실이다.
국내에서는 심지어 ‘리눅스용 키보드보안 프로그램’이라는 것이 실제로 배포되기까지 하는 실정이다. 그야말로 “세계 최초”일 뿐 아니라, “세계 최후”의 발상일 것이다. 리눅스 운영체제에서는 이용자의 계정 암호 없이는 컴퓨터를 아예 사용할 수 없는 것이 보통이고, 키보드 입력값을 가로채는 프로그램이 설치되려면, 계정암호 뿐 아니라, 루트(관리자) 암호까지도 이미 공격자가 입수한 사태가 벌어져야 가능한 일이다. 루트 암호가 유출되었다면 키보드보안 프로그램 따위를 설치해 둔다고 해서 무슨 소용이 있겠는가? 장례식장에서 고인에게 감기약 복용을 권하는 꼴일 뿐이다.
“세계 최초” 아이폰 백신 소동은 세계에서 철저히 고립된 국내 보안업체와 국내 기술매체의 수준을 적나라하게 드러내 보여주는 씁쓸한 에피소드로 기억될 것이다.
Pingback: Tweets that mention “세계 최초” 아이폰 백신 소동 « Open Web -- Topsy.com
글 잘 읽었습니다.
맥을 사용하는 유저로써 이번 사태는 참 씁쓸하기만 하네요.. 기본적인 원리조차 모르는 사람들이 만든 백신이라니.. 안타까울 따름입니다.
하.. 어쩐지 어제 그 기사를 보고 다들 피식~ 웃으면서 언제쯤 빵터질까.. 기둘리고 있는 분위기 였습니다. 아울러 인증서 기득권으로 유지되는 사람들이 생각할 수 있는 아이폰 앺은 하나라는 생각이 들더군요.. 하나의 앺 안에다가 모든 은행(기업, 하나, 국민, 우리, 농협, 신한, 등등)을 다 때려넣을 겁니다. 그리고 그 앺이 (아이폰의) 키보드 보안을 담당할 것이라고 선전할 겁니다.. sandbox안에서..
예지력 증가했네요^^;;
트랙백 안 걸려서 이렇게 남기고 갑니다.
http://asrea.tistory.com/98
아 진짜 창피해요 ㅠㅠ;
미투데이에 이 기사 소개하는 글들에는 대부분 me2gag 태그가 붙어 있더군요.
일단 승인이 되더라도 해킹 된 아이팟이 아니면 타 어플 디렉토리에 접근 자체가 안되니 받아도 검사가 불가능합니다.
읽고서 빵터져 버렸습니다 이럴 줄은 알고 있지만 언론이 좀 너무하는군요 원래부터 백신업체가 외계업체라 개념자체가 저 멀리 안드로메다의 개념으로 개발한 것 같네요 ㅋ>_<ㅋ
mb부터 시작해서 왜이리 나라망신 시키는 일이 많을까요. 정말 손발이 오그라듭니다.
자 이제 모든 준비가 완료됬습니다.
“보안에 취약한 아이폰, 백신 프로그램 앱스토어 등록 거부해”
언플만 남았네요 하하하하하
국제적 QT인증..
슬픈 현실이기도 하지만,
정말 쪽팔린 현실이죠.
아….
나는 절망 예감
http://blog.naver.com/skywolf1976/30078991989
트랙백이 안걸려 리플로 남기고 갑니다.
크게 공감합니다.
잘 읽고 갑니다.
한국은 세계에서 아이폰이 도입된 순서로 치면 80번째 국가입니다.
아이폰은 3년전, 2007.1.9 그 모습을 드러냈습니다. 한국사람들은 그동안 세상이 어떻게 돌아가는지 모르고 국내용 휴대폰들이나 만지작 거리며 스펙이 좋네 어쩌네하며 살아온 셈입니다.
SK, LGT, KT 등 이통사와 삼성 LG 등 단말기 제작사들의 파렴치한 상술은 한국 IT를 점점 후진시키고 있는 듯…
바이러스가 아예 침입할 수 없는 환경이라..
윈도처럼 계정별 권한 분할이 약한 시스템이 아니라서 상대적으로 바이러스 등 악성 프로그램이 퍼지기 “어려운” 환경인 것은 사실이지만, “아예 침입할 수 없는” 환경은 아니죠. 극적인 표현을 위해 이렇게 말씀하신 듯 싶습니다만, 과연 이런 표현이 “아이폰 백신 개발의 뻘짓”을 지적하기 위해 용인될 만큼 문제 없는 표현인지는 심히 의심스럽네요.
첫 문단은 읽으면서 순간 애플의 보도자료인가 싶었습니다. 많이 씁쓸하네요.
저 혹시 이 글에서 언급된, 애플이 등록 신청을 거부했다는 정보는 출처가 어디인지요? 제가 이리저리 검색어를 넣어봤는데 나오지 않아서 문의드립니다.
아예 침입 할 수 없는 환경이라는 말이 틀린 것은 아닙니다. 정확히 커널에 보안 구멍이 앞으로 발견되지 않는 한이라는 전제가 필요하지만 아직까지는 발견됐다는 보고가 없으니
현재 기준으로는 맞는 이야기입니다.
커널까지 갈 필요도 없죠. 초기 아이팟 터치 1세대와 아이폰이 등장했을 때 jailbreaking 을 하는 방법으로 쓰였던 것이 TIFF exploit 이었던 것을 생각해 보면 말이죠. http://www.macnn.com/articles/07/10/17/iphone.tiff.exploit.detail/
아이폰이란 플랫폼에 사실 얼마나 많은 (그리고 노출되지 않은) 보안 이슈가 있을지 제대로 시장에 알려지지 않았고, 애플은 사전 스크리닝이 있기 때문에 안전하다는 식으로 이러한 지적들을 애써 무시하고 있습니다. 과연 이러한 환경을 “문제 없기 때문에 백신을 만들려는 짓은 뻘짓이다” 라고 조소를 날리며 두둔하는 것이 올바를까요? 전 절대 그렇게 안 봅니다.
제가 백신 업체가 답답해 보이는 것은 아무리 생각해 봐도 SDK Terms 를 어기지 않고 백신을 만드는 방법이 없을터인데 라는 점에서 그렇게 보는 겁니다. 만일 그러한 부분을 애시당초 확인조차 안하고 프로젝트를 진행했다면 정말 비웃음 사는 것이 마땅할테니까요.
이것이 현실이죠..헌데 아직도 IT강국이라는 말을 매스컴에서 종종 하고 있으니 해외에서 이러한 것을 볼까봐 겁납니다.
Pingback: Useless /B/log » 이번주(2010-01-24)의 트위터
감사합니다. 먼저 물의를 일으켜서 죄송합니다.저희 회사의 기술에 대한 각성을 촉구한 뜻으로 겸허히 받아드려, 더욱더 노력하도록 하겠습니다.
글쓰기 앞서, 저는 논쟁을 하기 위해 글을 남기는 것은 아닙니다.
다만, 전체 내용 중 사실과 다른 일부 몇 가지에 대해서 해명을 드리고자 이렇게 글을 남깁니다.
첫번쩨, 저희는 등록 바로 다음날, Reject 되지 않았습니다. 최종 등록 여부는 4~5일 정도 소요될것이라 예상했지만, 당초 예정 보다 Apple 측 검토 기간이 길어져 2주 정도 지난 후 Reject 사유를 알게 되었습니다. 현재 Reject 사유에 대한 부분을 일부 수정하였으며, 그 중 한가지 사유에 대해서는 Apple측과 협의 중에 있습니다.
두번쩨, 아이폰 전용 백신은 개념 자체가 성립되지 않는다 하셨는데, 그 백신을 저희 업체 말고도 국내의 몇 곳에서 개발 중에있습니다.(검색을 통해 확인가능합니다.) 글로벌 기업 또한 Google 검색을 통해 쉽게 확인할 수 있습니다. 그중 세계적인 A/V 기업들도 아이폰 백신을 만들고 있습니다.(맥아피, 카스퍼스키 등)
세번쩨, 아이폰이 순정 상태에서는 안전하다고 주장하십니다. 순정상태에 안정성을 주장한다고 말씀하시는 Apple사도 주기적으로 iPhone 보안 패치를 하고 있으며 , 이미 해당 단말기의 취약성도 15 건이나 미국 취약성 정보 제공 사이트에서 보고 하였습니다.
네번쩨, 아이폰에 관련 보안 위협 중 전 세계가 주시하고 있는 내용들이 전자 금융 서비스다, IT 강대국이다 라고 자부하는 국내에는 너무 경히 여겨진다는 내용입니다. 그 중 대표적인 Privacy 노출 문제 등이 있습니다.
마지막으로 저희도 매우 부족하지만, 10여년간 보안 컨설턴트로서 기업들의 보안 점검을 하면서 가장 많이 느끼는 것은 보안에 대해서는 100% 라는 것은 없다는 사실입니다. 설사 100% Apple 측에서 안전하다고 주장 하더라도, 우리 대한 민국에서는 그 0.01%의 확률로 인한 사고를 맊기 위해 노력해야 된다고 생각합니다.
부족한 글 끝까지 읽어 주셔서 감사드립니다. 향후 진실함으로 국가와 사회에 밀알과 같은 기업이 될 수 있도록 노력하겠습니다.
마지막으로 가슴은 아프지만, 많은 반성을 통해 각성하겠다는 새로운 각오을 주신 김기창 교수님께도 감사드립니다.
어찌되었든 이번 소동(?)으로 얻어진 것이 없지는 않으리라 생각합니다. 그것을 밑거름으로 해서 앞으로 (nProtect 같은 이상한 쓰레기가 아닌) 정말 가치있는 것을 만들어 주시기를 기대하겠습니다.
허영일님/ 홈페이지에 마우스 오른쪽 클릭 안되게 해 두신 이유가 무엇인지 궁금하네요.
회사 홈페이지는 오른쪽 버튼을 누르면 안된다고 하는데..
왼손잡이는요?
지금까지 아이폰 백신 댓글을 쭉 읽었는데요
컴퓨터 처음 나왔을때 바이러스라는게 있었을지 상상도 못했었지만 지금은 백신업체들이 나온걸로 봐서
지금은 이렇게 비웃음 당하지만
아이폰/아이팟터치에도 진짜 취약점이 드러나기 시작한다면
그때는 이 기업을 비웃지는 못하겠지요…
보안쪽 공부하는 사람으로서 이 기업을 마구 비웃는 현실이 더 씁쓸합니다
진짜 취약점이 나오고 나면 (뭐 아이폰 나온지 몇년이 지나도록 그런거 하나도 없던거 보면… 앞으로도 안나올수 있겠지만..) 제일 먼저 백신 찾으실 분들이 너무 심하게 까는것 같아서 한자 적어봅니다.
그러고보니 위에 긴 댓글은.. 설마 개발자가 직접 쓴건가요?;;; 쓰고나서 봤는데 저 개발자분이 쓴 글이랑 의도가 너무 비슷해졌네요 아무튼…
허영일님/ 직접 댓글을 남겨주셔서 감사합니다.
해외 포럼에서도 아이폰의 보안 이슈에 대한 논의가 진행되고 있을뿐더러 글로벌 백신기업인 McAfee역시 최초의 아이폰 백신을 개발중이라는 사실을 밝히고 있네요.
아직 아이폰의 보안상 위험은 염려할만한 수준이 아니라는 의견이 지배적이지만 백신개발 자체를 플렛폼에 대한 무지로 치부하는것은 조금 앞서나가신게 아닌가 생각되네요.
제가 걱정하는 부분은 스마트폰(윈도 모바일과 아이폰, 심비안, 안드로이드를 포함)OS 보안시장의 파이를 늘이기 위한 의도적이고 악의적인 바이러스, 악성코드의 제작이 암암리에 진행되고 있지는 않을까 하는 점입니다.
첫째. ie가 아닌 브라우저로 들어가면 무슨짓을 해도 오른클릭하지 말라는 경고창 뜨는 공식 홈페이지를 가진 IT회사라면 무슨 짓을 해도 믿음이 가진 않네요..
둘째. 맥에도 명망높은(?) 노턴 등 여러 회사들이 백신을 개발했었죠. 이중에 백신 쓰는 맥 사용자 몇명인가요? 맥용 백신을 깔게되는날 아이폰 백신도 생각해 보겠습니다.
셋째. 저 회사가 노리는것이 굳이 백신 앱을 팔아먹는것이 아니라 국내 금감원이 새로이 스마트폰용 보안 표준을 마련하는 과정에서 스마트폰용 nProtect가 되고자 하는것이 아닌가 싶습니다.
아이폰 백신과 관련한 논의가 많은 걸 보니 개인적으로는 참 재미있습니다. 이런 날도 오는군요.
(주)NSHC 관계자분께서 말씀하신 내용이나 댓글을 보고 이해하기 어려운 점 한 가지만 적어보겠습니다.
아이폰 전용 백신을 NSHC 말고도 국내의 몇 곳, 맥아피, 카스퍼스키 등도 개발중이라는 사실과 아이폰 백신 개념이 성립하지 않는다는 지적이 어떤 상관이 있는지 궁금합니다. “우리 말고 남들도 개발하니 백신은 성립한다”의 논리인지요.. 적어도 현재 애플의 공식적 입장은 안티바이러스 앱은 등록 불가인 것으로 알고 있습니다. (애플에 직접 확인해 보셨겠죠?)
개발자가 많다는 것이 앱이 기동하느냐를 담보하지는 않지요. 미국의 큰 회사가 개발하고 있으니 유의미하다는 류의 논의는 무의미하다고 봅니다.
아이폰용 안티바이러스를 개발했다고 “말하는 것”과 그것이 실제 “배포되고 기능하는 것”과는 전혀 다른 문제아닐런지요.
쓰신 글에 대해 궁금증이 하나생기네요.
‘적어도 현재 애플의 공식적 입장은 안티바이러스 앱은 등록 불가인 것으로 알고 있습니다. ‘
앱등록이 안되는 이유는 많습니다.(잘못된것이 아니라 단위 테스트에서 문제가 발생한다거나)
‘미국의 큰 회사가 개발하고 있으니 유의미하다는 류의 논의는 무의미하다고 봅니다. ‘
요 부분도 큰회사가 개발중이니 유의미 하다가 아니라, 큰회사도 특정 보안취약성을 보고 악용될 소지가 있기에 개발중인것이지 그런 뉘앙스의 글은 아닌듯 하네요
PC 환경이라면 자동화된 업데이트나 패치가 쉽지 않을 수 있습니다.
그리고 기본적으로 하드웨어/관리자 접근이 너무 쉽습니다.
그렇기에 치명적인 문제가 발생할만한 바이러스 같은게 많이 있습니다.
하지만 아이폰의 경우에는 기본적으로 네트워크에 연결된 상태로 동작하게 됩니다.
아니, 최소한 무언가를 새로 설치하기 위해서는 네트워크 없이는 진행도 못합니다.
즉, 업데이트는 언제든지 가능하다는 것이죠.
그리고 관리자 권한을 얻을 방법이 없습니다.
정확히는 그런 기능을 넣는다면 심사 과정에서 걸러내 버리겠지요.
아이폰이라고 보안 허점이 없지는 않을겁니다.
하지만 백신을 설치한다고 그런 허점이 사라지지는 않습니다.
백신이 업데이트되면 막을 수 있겠지만 그런 허점이 발견되고, 백신이 업데이트 되는 동안 애플은 가만히 놀고만 있을까요?
일차적으로 문제가 발견된 앱을 내리기만 해도 더이상의 확산은 불가능합니다.
앱스토어 외에는 일체의 추가 프로그램 설치가 불가능하기 때문이죠. (탈옥 제외)
그리고 백신을 업데이트 할 동안 애플도 업데이트 해버리면 백신은 과연 무슨 의미가 있을까요?
바이러스도 일종의 프로그램이라 한번은 설치되고, 실행이 되어야 동작을 할 수 있습니다.
네트워크로 전염되는 바이러스도 있지만, 아이폰에 서버 프로그램이 없으니 그런 쪽으로 뚫을수도 없겠죠.
그 어떤 네트워크 프로그램도 서버 없이 들어갈 수 있는 능력은 없으니까요.
1) 프로그램 형태로 퍼지는 바이러스는 앱스토어에서 걸러질 수 있을테고,
2) 네트워크로 퍼지는 바이러스는 서버 프로그램이 없으니 아이폰을 어떻게 뚫겠습니까.
아이폰으로 PC와 비슷하게 쓴다고들 하다 보니 이게 PC처럼 모든게 다 가능한 환경이라고 착각하시는 분들도 있는데 실제로 아이폰에서 가능한건 PC에서 가능한 일들 중 극히 일부일 뿐입니다.
다만, 극히 일부인 일이 일반적으로 PC에서 하는 일들 중 대다수일 뿐이지요.
하지만 보안 문제가 발생하는건 그런 대다수가 사용하는 부분이 아닌 어딘가 구석에 박혀 있는, 사람들이 잘 모르는 부분에서 문제가 생기는 케이스가 많습니다.
그냥 쭉 눈팅만 하다 하나 쓰네요.
제가 안드로이드 개발자는 아니지만…
백신의 기능중 하나가, ‘알려진’악성 프로그램에 대한 경고도 포함되어 있습니다.
앱을 등록할때(애플 앱스는 등록을 안해봤지만) 전문(全文)코딩을 다 올리진 않습니다. 실제로 다른 기능을(예를들어 데시벨 측정기능이라고 합시다.) 온전히 수행하면서 아이폰 사용자의 주소록을 서버에 보낸다던지 등의 악용사례는 이미 벌어졌고 충분히 가능성 있습니다. 이러한 프로그램들의 정보를 수집하고 모아서 경고하는 기능이 포함하기때문에 백신이 필요하지 않다 라는 말은 옳지 않다고 생각되네요
활력에너지//
제가 개발자는 아니지만,,
“아이폰 백신 개념이 성립하지 않는다”라는 말 자체가 근거가 부족하기 때문이죠.
백신개념이 성립하는 근거로, “타사에서도 개발중”뿐만 아니라, “보안 패치가 이루어지고있다”라는 팩트를 적으셧는데, 이 부분은 보지 않으신 모양입니다.
저 말은 아직까지 “보안에 허점이 있을 수 있다”라는 얘기가 되며, 백신 개념이 도입될수 있다는 걸 증명하는 반증인데 말이죠.
활력에너지님의 글은 왠지 반론를 위한 반론인거 같아서 씁쓸하네요
그리고 본문의 백신개념이 이루어질 수 없다는 것의 글은, 무엇이든 100%안전..이란것이 있을수 없는데, 저렇게 주장하시는 건 좀 아니라고 봅니다..
실기간 감시가 안되더라도, 치료만 가능한 백신은 아주 오래전부터 있었습니다.
“백그라운드에서 돌리지 못하는 백신은 백신이 아니다!”라고 주장하는건 V3NEO도 백신이 아니라는 말이거든요.
보안 패치가 이루어지고는 있습니다.
하지만 그것이 백신이 필요한 당위성이 되지는 않습니다.
보안 허점을 노리기 위해서는 일단 그곳까지 접근 가능한 루트가 열려 있어야 합니다.
하지만 모든 허점이 100% 완전 개방되어 누구나 접근할 수 있는게 아닙니다.
대부분은 특정 라이브러리의 메모리 영역 오류(100의 공간에 100을 넘는 자료를 집어넣어 오류를 일으킨다던가 하는)가 많습니다.
또는 알고리즘적인 헛점이 있을수도 있겠고요.
어쨌든 중요한건 그런 부분을 파고들기 위해서는 ‘바이러스가 실행’되어야 합니다.
앱스토어에서 바이러스를 구입하거나 무료로 다운 받아서 설치해야 한다는 것이지요.
그런 자료가 등록이 될 수 있는지, 어쩌다 등록이 되더라도 문제가 있음을 확인했는데도 내려지지 않고 버틸 수 있는지 여부는 생각해볼 필요도 없겠지만요.
그리고 보안 헛점이 발견된다면 애플에 신고를 해서 수정되게끔 하는게 모두를 위한 바른 방법이 아닐까요?
모두를 위한 방법은 맞습니다만, 모든 사용자들이 신고를 하지는 않는다는 거죠.
만약 제가 배포자라면 무료로 어플을 만들것이구요. 환불절차라던지.. 비슷한 코드를 심은 다른 판매자 아이디로 다른 프로그램을 등록하던지, 방법은 많습니다.
아까도 달았지만. 앱스토어에 등록과정에 코딩 전체를 보내진 않습니다.
테스트 통과하는 것도 잘 고민해보면 충분히 안들킬 수 있습니다.
‘모든 사용자는 능동적이지 않습니다.’
저는 맥 사용자 이지만 anti-virus프로그램을 구입해 사용하고 있습니다.
맥의 바이러스가 무서운 것이 아니라 내가 잘못하여 윈도우로 넘어 가는 바이러스가 있을까 걱정하여 설치 한 것입니다.
설치 후 실제로 바이러스를 감지하여 치료 후 사용 한 적이 있습니다.
아이폰에서 웹에 의한 바이러스 저장과 Windows가 구동되는 컴퓨터와 링크시 컴퓨터가 바이러스가 걸릴 가능성도 고려를 해 보아야 할 듯도 하네요!
제 생각에는 아이폰 자체는 바이러스가 걸릴 확률은 해킹하여 이용하지 않는 이상은 안전하다고 봅니다.
교수님 이 기사에 대한 설명도 부탁드립니다.
교수님 의견과는 상반되는 내용인데….
http://www.macworld.com/article/141507/2009/07/smsvulnerability_iphone.html
http://www.pcworld.com/businesscenter/article/187648/intego_releases_report_on_mac_iphone_security_for_2009.html
순정아이폰에 유일하게 알려진 취약점은 SMS 문자메세지로 악성코드를 보내서, 이용자의 아이폰이 그것을 실행하게 만들 가능성이 있었다는 것인데, 애플은 이것을 틀어막는 보안 패치(아이폰 OS version 3.0.1)를 신속히 배포했고, 아이폰은 다른 여러 운영체제보다 안전하다는 내용입니다.
애플이 패치하는 속도보다 더 빨리 아이폰 바이러스 검색 엔진을 업데이트할 수 있는 업체는 아마 없을 것입니다. 여기도 참조
이번에 만들었다는 아이폰 백신 프로그램은 바이러스 검색엔진 데이터 베이스를 어떻게 만들었는지 궁금… 알려진 바이러스가 거의 없는 상황에서 “장래 알려질 바이러스”로 검색엔진을 만들고, 이용자 아이폰을 미리 검색해서 “그런 바이러스는 아이폰에 아직 없네요”라고 알려 주는지?
IT 분야에서도 ‘삽질’은 가능한거군요.
위의 몇분들께서 댓글에서 언급하셨지만, 마우스 오른쪽 클릭을 못하도록 웹페이지를 만들어 두는 것은 매우 실망스러운 일입니다.
웹페이지 소스를 못보게하고 웹페이지를 보여주는 방법은 없습니다. 해당 회사의 홈페이지 첫화면 소스는 여기에 있습니다.
불행하게도, 국정원 IT보안 인증사무국도 마우스 오른쪽 클릭을 못하게 해두고 있습니다. 비슷한 수준인 듯…
국정원 IT보안인증사무국은 그나마도 완전하게 못 만들어서 오페라에서는 되는군요.^^
저는 기술에 대해 전문가가 아니므로 기술적으로 누가 맞는지에 대해서는 판단이 잘 서지 않습니다. 하지만 이번 소동에서 우리가 깨달을 점은 과연 한국이 세계 최초의 아이폰백신을 내놓을수있느냐 없느냐가 아니라 ‘왜 우리나라는 아이폰은 못만들고 아이폰 백신같은거나 만들고 있느냐’가 아닐까요?
다시 말하면, 왜 우리는 미래에 철학과 기술에 대한 소신을 가지고 함께 고민하고 노력해서 세계인의 마음을 사로잡는 IT제품을 내놓지 못하느냐 말입니다.
한국 이통사의 자기 배불리기 속셈에 밀려 미국에서는 3년전에 나온 아이폰을 뒤늦게 갖게되어 좋아 죽는 한국인들을 보면 코카콜라 접견한 부시맨이 떠오릅니다.
아이폰이 나오기 바로 전까지도 그런 세계는 아예 있지도 않을것처럼 행동하다가 아이폰이 한국에 보급되자마자 아이폰관련 앱이 속속 개발되는 것으 보면 기술력이 뛰어나 보이기보다는 과연 돈벌기에 급급하다는 느낌을 지워버리기 힘듭니다.
한국전쟁 지난지도 한참 되었고 이제 들 먹고 살만해졌으니 지지고 볶는 장사말고 기술을 선도하는 업체도 나올만하지 않은가요..
그러기 위해서는 무엇보다도 함께 고민하고 토론하는 자리가 많아져야한다고 봅니다. 스티브 잡스는 자기가 만든회사에서 해고당하는 세계적인 쪽팔림을 겪고 아이폰으로 화려하게 컴백했습니다.
이만하면 양반이지요…모쪼록 오늘의 아픔이 큰 성장의 기틀이 되길 바라고…그런면에서 이런 토론이 있다는 사실 자체가 바람직하다고 생각됩니다.
우클릭 방지 자바 스크립트에 대응하는 파이어폭스 팁.
Preferences > Content > Enable Javascript 옆 Advanced > Disable or replace context menus 를 체크 해제.
우클릭 방지하는 게 악의를 가진 누군가를 귀찮게 하는 게 아니라 일반 사용자를 귀찮게 한다는 점이 문제인 것 같네요.
OS에서 보안 패치가 필요한 결함이 발견된 경우 백신이 그것을 커버하려면 사실상 root 권한이 필요합니다. 데스크탑 윈도즈에서는 admin 권한 개념이 없거나 혹은 사용자를 유도해 손쉽게 권한상승을 할 수 있는 실정이라 문제가 되지 않지만, iPhone OS처럼 root 권한을 얻을 가능성이 절대로 없는 OS에서는 문제가 됩니다. 애플은 결코 앱에 root를 주지 않을 것입니다. 결국 ‘iPhone OS도 원천적으로 안전한 것은 아니다’는 귀하의 지적은 대단히 지엽적인 부분에 불과합니다. 결국 백신이 기능할 여지는 원천적으로 봉쇄되어 있기 때문입니다. 그러므로 ‘쓸모없는 물건이 쓸모를 사칭하는 상황’에 관한 김 교수님의 게시물은 여전히 전체적으로 타당하다고 보여집니다.
http://zesrever.tistory.com/97
글이 길어져 링크 걸어둡니다.
위 변동이라는 사람도 그렇고, zesrever라는 사람도 그렇고 아이폰 백신을 옹호하시는 것을 보니 전부 보안업체 관계자로 보이네요. 그냥 ActiveX로 찬양하면서 사시지 왜 여기에 글을 올리시즌지, 여전히 정신을 못 차리시는 분이 계시는 듯. Jail System은 그 자체만으로도 충분히 안정적입니다.
^^ 윗분 저는 ActiveX 이야기는 한마디도 언급하지 않았는데요?
보안 하면 다 ActiveX 옹호하나요? 글을 제대로 읽어보기나 하셨는지 궁금하네요. 저와 다른 부분이 있으면 논리적으로 설명할 일이지, 쩝.. ㅎㅎ
보안하는 사람들의 공통점이 있죠. 100% 안전한 것은 없다, 그러므로 모든 것은 불안정하다. 아이폰도 그렇고, 그렇기 때문에 백신이 필요하다라고 하는 주장을 펼치고 있죠. 그간 김기창 교수님이 올리신 글들을 읽어 보세요. 국내 보안 관계자들은 전부 자신의 이익을 위해서 웹을 더럽힌 원흉이 된 자들입니다. zesrever님도 ActiveX 찬양하는 보안업체와 별반 다른 바가 없어서 드리는 말씀입니다.
ActiveX 관련이야기는 논제와는 거리가 있어보입니다만, 꼭 두리고 싶은 말씀이 있어서. ‘익명’님께서 이야기하시는 건 ActiveX와 관련된 정책이나 관련 소프트웨어 개발에 보안업계 모든 분들이 동의하고 참여했다는 이야기로 밖에 들리지 않습니다. ㅎㅎ졸지에 저도 ‘원흉’이 되었군요 빨갱이 논란과 흡사하네요 ‘원흉’ 정도의 과격한 표현을 사용하실거면 ‘익명’님도 당당히 이름을 밝히시죠 그리고 그렇게 보안업계 전체 싸잡아 이야기하지마시고 건전한 토론 부탁드립니다 나와 다름에 다해서 우리 서로 성대방의 의견에 마음을 열어볼 수 있지 않겠습니까 끝으로 블로그 댓글에서 밝혔듯이 저는 오픈웹의 취지에 대해 상당부분 공감하고 있습니다 다만 이번건은 문제가 있다는 것이 제 생각이구요
보안프로그램 설치를 “강제”하지 않았더라면, 이 문제로 흥분할 이유도 없었을 것입니다.
그간의 불행한 사태로 인하여 모두가 격앙되어 있으나, 서로를 배려하는 심정으로 논의가 진행되었으면 합니다.
상대방 주장에 오류가 있다면, 그 부분에 대해서만 논리적으로만 비판하면 됩니다. 상대방의 사회적 지위를 운운하면서 비아냥 거리는 태도는 님의 논지가 맞을 지언정 보는 사람으로 하여금 불쾌하고 불필요한 긴장을 만들게 하는군요. 그 부분만 없었으면 충분히 설득력 있는 코멘트가 되었을텐데 말이죠.
http://www.cbs.co.kr/nocut/Show.asp?IDX=1381381
“아이폰 빼고 다 뚫렸다” 국내 스마트폰 보안 ‘비상’
아이폰 백신어플 만들었던 회사 지금 상황이 어떨지 사뭇궁금..
^^;
제목과 달리 기사를 읽어보시면 금번 숭실대에서 진행한 모의 해킹 실험은 윈도우 모바일을 채택한 스마트폰을 대상으로 한 것으로 보여집니다. 기사 내용에 숭실대 교수님께서 직접 밝히신 이야기도 ‘윈도우 모바일’을 채택하고 있는 국내 스마트 폰들이 위험하다는 것이구요.. 아마도 윈도우 모바일을 사용하고 있지않은 아이폰이나, 안드로이드폰, 블랙베리 등은 실험 대상에서 제외된 듯 하구요.
실험의 결과가 아이폰은 안전하다라는 것을 반증하는 자료라고 보기에는 논리적으로 무리가 있어 보입니다. 기사 제목이 아주 훌륭해요. 기자님들 참..
아뭏든, 그 동안 많은 의견 봐오면서 많은 생각할 수 있었습니다. 이런 자리 제공해주신 오픈웹에 감사드립니다. 아울러 ‘오픈웹’의 정신이 널리 퍼져 대한민국에서 표준 웹 환경이 신속하게 도입되기를 진심으로 바랍니다. 또한 그 과정 중에 해결해야 할 여러 기술적인 문제들을 IT에 종사하시는 여러 엔지니어분들과 보안 업계에 종사하시는 여러 분들, 그리고 정책 입안자분들이나, 실 사용자분들이 서로 건전하게 토론하고 올바른 해결책을 마련해 나갔으면 하는 바램입니다. 아직 우리는 사회는 건강하다고 생각합니다.
저는 이번 사안에 대해서는 여기까지만 의견을 밝히겠습니다. 좋은 하루되세요.
이메일 바이러스는 메일에 포함된 첨부파일이 실행되면서 문제가 발생합니다.
하지만, 아이폰의 경우 앱스토어를 통하지 않는다면 그 어떤 경로로도 프로그램 실행이 불가능합니다.
즉, 메일로 바이러스를 받아도 실행이 안되는데 무슨 소용이 있을까요?
그리고 도스의 램상주는 도스 프로그램이 시스템의 모든 권한을 갖고 있기에 쓸 수 있는 방법입니다.
OS 레벨에서 작업 관리를 안하기에 프로그램이 구동중인지 아닌지 확인도 안되는거죠.
그에 비해 *nix/BSD 계열은 OS가 작업 관리를 합니다.
OS 자체에서는 멀티태스킹을 포함한 작업의 진행, 정지, 중단 기능을 갖추고 있는 것이죠.
도스 시절처럼 몰래 한구석에 숨겨둘 방법이 없습니다.
덧붙여 각각의 프로세스는 개별적인 메모리 공간을 할당받기에 다른 프로세스의 메모리를 건드릴 수 없습니다.
물론 건드리는 방법이 전혀 없는건 아니지만 OS의 특정 API를 통해야 하기에 해당 API의 호출 여부만 확인하면 쉽게 차단이 가능하지요.
http://blogs.zdnet.com/security/?p=4240
이럴줄 알았습니다 -_-
zserver님 블로그에도 달앗지만 여기도 달아둡니다.
보안취약점이 있다와 백신이 필요하다는 다릅니다.
보안 취약점이 발견되는 서버는 많습니다.
서버에 백신이 안깔려서일까요?
보안 취약점이 있다가 백신이 필요하다와 같은 뜻은 아닙니다.
아이폰은 더더욱 그렇고요.
이유를 설명드릴까요?
아이폰은 기본이 Sandbox안에서 실행됩니다. 근데 백신이란 물건이 Sandbox 안에서 실행되면? 의미가 없죠 백신이 백신을 자체진단하니 바이러스가 아니네요. 이기능만 있는 백신이 의미가 있습니까?
백신은 아이폰으로 들어오는 모든 프로그램을 감시해야합니다. 근데 그건 절대 Sandbox안에선 불가능합니다. 커널 권한을 얻어야 하죠. 아이폰은 커널 권한을 안줍니다. 즉 백신이 커널 권한을 얻을라면? 아이폰 Sandbox를 뚤고 나가야 합니다. 그런데 정상적으론 안뚤립니다. 뚤엇다는건 아이폰의 보안 취약점을 뚤엇단 이야깁니다.
이 프로그램이 당신 눈에는 백신으로 보입니까? 전 백신의 탈을 쓴 바이러스로 보이는데요. 웃기게도, 백신이 정상작동할라면 “합법적” 으로 배포되는 바이러스가 되야 한다는 논리입니다. 그런데 그 백신 정상 작동하면 바이러스인 거고, 그럼 불법(바이러스제작) 이 되는 겁니다.
아이폰이 무적의 폰은 아닙니다. 그건 당연히 보안 담당자라면 당연히 생각해야겟지요. 하지만 그말이 백신이 필요하다는건 아닙니다. 그건 전혀 다른 문제입니다. 보안 취약점이 있다고 백신이 필요한건 아니죠.
모든 악성코드는 취약점을 공략합니다. 가장 취약한 것은 사람이며, 글에서 말하신 취약점을 공격하는 것으로 유명한건 피해규모로 봤을때 대표적으로 웜이 있겠죠.
악성코드 개발에도 노력이 필요합니다. 단지 서버는 획일화되어 있지 않고, 필요에 따라 프로그램을 튜닝해서 사용하기도 합니다. 따라서 만들어봤자 일회성일 가능성이 크지요.
아이폰의 경우는 pc와 비슷한 사태가 발생하리라 봅니다.
Sandbox의 경우는 지켜봐야할듯합니다. 전례를 보았을때 영역이 나누어져있다해서 불가능하진 않았습니다. 모든 것이 Sandbox위에서 도는 것일까요. 전 모릅니다..-_-; 호환되는 환경이 워낙 복합적이기 떄문에 어떻게될지는 미지수입니다.
그냥 지나가는 글로 봐주세요. 워낙 미숙해서 익명으로 남깁니다.
컴퓨터를 4년간 전공해도 취약점이 뭔지 쉘코드가 뭔지 그원리를 알기 어려운데 어떻게 비전공자분들께서 이렇게 심도깊은 토론이 가능하신지 의아할 따름입니다. 옛말에 모르는것보다 위험한게 어줍잖게 아는 것이라 했습니다. 보안업계 종사자들의 밥그릇챙기기로 보이나본데. 숟가락뺏길까봐 무서워서 그러는게 아니라 비전문가들과 아는 지식이 다르기 때문입니다. 김기창교수님, 사회에 기여하고 싶으시거든 보안업체 딱 한달만들어가서 대응센터에서 무슨일을 하는지 무슨 일이 일어나는지 보고오세요. 그정도 정성도 없이 밥먹고 이짓만 하는 사함들을 이길 수 있을 것이라 생각하면 큰 오산입니다. 제가 보기엔 군대 안가보고 모병제 주장하는 일부 극단주의자들과 다를바가 없어보입니다. 당신들이 그렇게 주장할 수 있는건 몸소 겪어보지 않았고 잘 모르기 때문에 가능한 겁니다.
저 역시 십수년의 전산 전공자이지만, 교수님의 글을 통해서 많은 것을 배웁니다. 쉽게 이해할 수 있도록 설명해주셔서 더욱 감사할 따름입니다.
남을 이해시킬 수 있다는 것은 그만큼 설명한 부분에 대해서는 완성이 되었다는 얘기입니다. 왜냐하면 모든 것은 기본 원리(합리적인 기초 지식과 추론) 기반하여 만들어지고, 그 기본 원리로부터 해당 분야의 지식까지 논리적인 시스템이 만들어져야 남을 이해시킬 수 있기 때문입니다.
전문가 임에도 설명하지 못하는 것은 단순히 해당 분야의 지식을 가지고 있지만, 기본 상식을 기반으로한 전체 시스템을 완성하지 못했다는 것을 반증합니다.
정말 전문가라면 설명에 주져하지 마십시요. 만약 교수님의 보안 상식이 틀렸다면, 더 나은 한국의 보안 시스템을 위해서, 전문가로써 의견을 보태주시는 것은 어떨까요?
알고 계시는 “전문”지식을 나누어주시면 좋겠네요. 나눌 수 없는 지식은 아마 없을 것입니다.
일단 카스퍼스키나 맥아피가 아이폰 개발을 하고 있다하니 국내업계가 최초로 소동을 벌이고 있다는 내용은 수정되는게 좋겠군요. 또 멀티태스킹을 지원하지 않는 dos에서도 악성코드가 존재했었으니 그것도 아이폰에서 악성코드가 존재할 수 없는 근거가 될 수 없고요. 허위 정보를 유포하신 셈인데 부끄럽지 않으십니까?
저도 십수년간 개발 업무를 하고 있지만, 비전공자이신 김교수님의 해박함에 놀라고, 저의 부족함에 고개가 떨구어집니다. 전공자/비전공자가 전문성을 가르는 절대적 기준은 될 수 없다고 봅니다.
그리고 전문가이신 뚜비님께서 도스의 악성코드를 아이폰에 비교하신 것은 님의 전문성을 의심케 하는 대목이군요.
도스는 관리자영역/사용자 영역 그리고 시스템 영역/응용프로그램 영역이 따로 구분되지 않는 보안성이 전혀 고려되지 않은 운영체제인데 말이죠.
가능하다면 좋겠지만 십수년간 쌓은 전공지식을 어떻게 하루아침에 전달해 드릴 수 있겠습니까.
외국 업체건 국내 업체건 앱스토어에 “아이폰 백신”이라는 것이 등록되면, 그 점을 반영하여 이글의 내용을 수정하도록 하겠습니다. 고맙습니다.
정말로 오랜만에 들어왔습니다. 아이폰 덕분인지 탓인지 모르지만, 많은 변화가 있긴 하군요.
@뚜비 // 한국에서 소위 “백신”이라고 하는 것은 바이러스를 탐지하고 제거하는 것을 얘기하리라 생각합니다만, 아이폰에서 그게 가능한지는 뚜비님이 전문가이신 모양이니 잘 아실테고, 그저 해킹(제일브레이크)했는지 안했는지 찾아내어서 은행에 알려 일러주는 게 어떤 의미인지 모르겠어요. 부탁이지만, 십수년간 전공하신 거 하루아침에 전달하기 불가능한 거 압니다만, 시간을 길게 잡고 (한달은 너무 긴가?) 이곳이든 아니면 뚜비님 블로그든 기술적인 부분의 이슈나 문제점, 혹은 지향해야 할 부분 등을 알려주시면 정보/지식 공유라는 측면에서도 좋지 않을까요?
요즘 언론에서 김기창 교수님 인터뷰가 자주 보입니다.
아이폰의 덕을 본 것인지는 몰라도, 아무튼 분위기는 변하고 있다는 느낌이 듭니다.
보안적인 측면에서 아이폰을 Jail Break했는지 안했는지는 크게 중요한 문제가 아니라고 봅니다. Jail Break 한 폰이 더 위험하다고 말할 수는 있겠지만, 정품 사용자라고 해서 안심할 수 없는 이유를 말하자면, 악성코드 제작 시장의 배경에서부터, 그 기술적 원리까지 이해할 필요가 있습니다.
PC플랫폼이 도스에서 윈도우로 넘어갈 때 MS가 악성코드가 활동불가능할 것이라 예고했습니다. 하지만, 해커들에 의해 그 가능성이 입증되자(Proof Of Concept), MS를 비웃듯이 우후죽순 쏟아지기 시작했죠. 맥이 현재까지 안전한 이유는 맥 보안관계자도 밝혔듯이 그 사용자가 많았기 때문입니다. 뚫을 이유가 없었죠.
하지만 아이폰 사용자가 늘고, 금융거래와 일반화되면 해커들이 iPhone을 노리지 않을 이유가 없습니다. 최근 몇 년간, 주로 금전적인 이득을 목적으로 악성코드가 제작되는 동향을 보이고 있기 때문입니다.
기술적인 측면을 볼까요? 2009년 Pwn2Own라는 브라우저 보안 컨테스트에서 사파리가 최단시간인 단 2분만에 뚫립니다. 2년 연속, 사파리로 대회 우승자가 결정났습니다. 그만큼 취약하다는 뜻입니다. 이래도 애플 제품이 안전하다 할 수 있을까요?
대부분의 보안 취약점은 쉘코드의 실행을 허용하는데, 이 말은 원격에서 PC를 마음대로 조종가능하다는 뜻입니다. 굳이 인터넷에서 수상한 실행파일(EXE와 같은)을 실행하지 않더라도 html 문서를 읽는 것만으로도 실행파일을 자동으로 내려받아 실행되게 할 수 있습니다. pdf 파일에 쉘코드를 숨기면 문서를 여는 것만으로 악성코드를 실행하게 할 수 있습니다. 이것은 이미 개념증명(POC)이 다 되어 있고, 흔한 방식이 되어버린지 오래입니다. 감나무 밑에서 감이 떨어지길 기다리듯이, 자신이 제작한 실행파일을 누군가 다운받아 실행해주길 기다리는 멍청한 해커는 없습니다.
보안은 IT분야 중에서도 기술적으로 많은 것을 공부해야하는 분야입니다. 기술뿐 아니라, 사회공학처럼 속임수 기법과도 잇닿아 있어, 경험이나 최근 동향을 파악하는 일도 중요합니다. 단편적인 글 한 두 개 읽고 함부로 판단할 수 있는 것이 없습니다.
고맙습니다. 뚜비님께서 아시는 이런 사실을 애플이 모르고 있거나, 애플이 아는 다른 더 많은 사실을 뚜비님께서 모르고 있거나… 둘 중 하나 겠군요.
제가 교수님글을 처음 본건 이주 전 이였었는데요
그때도 아이폰 관련 검색을 하다고 찾은 것 같습니다.
이번에도 우연찮게 검색을 하다가 다시 들리게 되었네요.
댓글을 끝까지 읽고 보니… 마지막에 남기신 교수님의 대응이 참으로 안타깝습니다.
제가 지켜본 이번 논쟁은 세가지 입니다.
1. 보안에 대해서는 까막눈인 정부와 이 정부를 이용해 돈을 챙기려 달려드는 보안업체에 대한 비판..
2. 아이폰에에서의 백신 필요 여부
3. 백신이 필요하다고 하더라도 애플에서는 웹스토어등록을 안해준다. 그러므로 무용하다.
1번의 논쟁은 교수님께서 위에서 표현에 있어서 과격했다고 하면서 사과를 하셨습니다.
사실 1번 논쟁은 사과를 하시긴 하셨지만 국내 보안전문가들에게는 큰 상처가 되었다고 봅니다. 그래서 더욱더 2번 논쟁이 뜨거워 졌는데요..
어찌 되었던 이것은 분명히 국내 보안관련 회사와 정부가 비판받고 고쳐나가야 하는 부분이기 때문에 논쟁이 더 될 이유가 없습니다.
2번의 경우 현재로써는 서로에 대한 주장이 팽팽한 상태입니다.
아이폰백신옹호측과 무용론측은 서로 많은 기술적인 예를 들어가며 서로의 주장을 반박하고 자신의 주장을 개진했습니다.
너무 팽팽한 나머지 3번으로 논쟁이 새기 시작했는데요… 몇몇분들은 결국.. 보안상 문제가 있더라도 애플이 백신 어플을 허가 안해줄것이다. 그러므로 백신을 개발할 필요 없다.
라는 주장을 하게 됩니다. (그런데 저는 이러한 주장과 주장의 전개는 문제가 있다고 봅니다.)
이렇게 나름 토론이 진행되고 있는데…
교수님께서는 어떻게 대응 하셨습니까?
이번에 남긴 덧글의 의미는…결국
‘애플사가 너희보다 더 전문가다 너희(국내 보안업체)가 챙피하니 가만히 있어라’라는게 아니고 뭘까요…
제가 너무 곡해를 한것일 까요?
‘순수하게 해석해서 이러한 논쟁은 불필요하니 애플측의 대응을 보고 더 얘기해보자. 애플측이 허가해주면 백신이 필요한것 아니겠느냐?’
라고 해석을 해도 문제가 됩니다.
애플이 아이폰을 만든 회사는 맞지만 보안은 애플만의 문제가 아닙니다.
제가 볼땐 애플의 대응은 별로 문제가 되지 않습니다.
지금까지 정부와 관련업체의 행태가 문제되었고 우려되는것과는 별개로,
보안상 문제가 있고 문제가 예상된 다면(ms사의 윈도우 전처를 안밟기 위해)사용자나 정부에서는 당연히 해결을 하기위해 적극적으로 노력 해야합니다.
관련 업체에서 백신을 개발하는것 또한 이 노력의 한가지라고 생각합니다.
이상, 이번 논쟁에서 아이폰의 보안과 토론의 방법에 대해 많은걸 얻어가는 한 청년이였습니다.
국내에서만 왈가왈부하는 사태가 좀 안타깝군요. 애플 아이폰의 보안 이슈는 한국에만 해당하는 것은 아닐 것입니다. 그렇다면 이 이슈는 애플사와 전세계의 애플 아이폰 유저들, 그리고 전세계의 보안 회사들을 상대로 논의되어야 할 문제입니다.
제가 과문한 탓인지 모르겠습니다만, 맥아피사가 아이폰 백신 운운한 사건은 2008년5월의 일이고, 그 뒤로 맥아피사는 그냥 “실험적 수준”이라고 한발 물러섰습니다. 현재, 차세대 아이폰 운영체제가 혹시 멀티타스킹을 지원할지 모른다는 분위기에서 또다시 아이폰 보안 솔루션 이야기가 나오지만, 여전히 실험적, 가정적, 잠재적, 가능성 수준에 불과한 것으로 알고 있습니다.
언제까지 우물 안에서 아이폰 보안이 마치 한국만의 문제인 것처럼 우리끼리 갑론을박하고 계실 것인지요. 아이폰을 전세계에서 한국만 사용합니까? 한국은 세계에서 80번째로 아이폰이 도입된 나라입니다. 그 많은 나라의 보안업체들을 이끌어 주는 회사가 한국에서 나오면 얼마나 좋겠습니까?
아이폰으로 민감한 거래를 하는 곳이 한국뿐입니까? 한국에서 아이폰용 보안솔루션을 만일 개발하여 앱스토어에 등록된다면 얼마나 좋겠습니까. 그야말로 전세계를 상대로 대박을 터트릴 수 있는 상품이 되겠지요.
좀 크게 보고, 세계를 상대로 생각하고 노력했으면 좋겠다는 희망입니다.
100명 중에 100명이 다 이 글을 보고 아니라
고 욕하는 한이 있어도 저는 이 글에 써있는
지극히 일반적인 사고방식이 맘에 듭니다..
소방관이 물을 옆이나 하늘로 쏘는걸 죽기
살기로 연습한다고해서 물은 아래로 흐르
지않고 하늘로 흐른다고 말하진 않습니다.
보안쪽일을 하고 있기 때문에 물을 우주로도
쏴야 할 정도의 사고방식을 늘상 해야하지만
물은 여전히 아래로 흐릅니다라고 말하고
싶습니다. 그것을 우리는 정공법이라고 정상
이라고 말합니다.
가끔가다 물이 다른 방향으로 흘러야 할 경우
가 있고 그렇게 노력을 기울여서 이해시켜야
할 경우가 있다고 하더라도 여전히 물은 아래
로 흐르는 것이 아름답습니다. 그리고 그것이
깨끗하고 깔끔합니다. 저는 그런 의미에 있어
서 보안쪽일을 하고 있어도 반드시 옳은 것이
무엇인지 얘기합니다.
필자분이 적은 얘기를 들어보니, 물은 아래로
흘러야 한다는 얘기를 한 것으로 풀이됩니다.
그렇습니다. 맞습니다. 물은 아래로 흐릅니
다. 그것이 맞습니다. 보안쪽에 있으면서 너
무 무리하게 물을 하늘로 쏘아낼려는 사고에
경각심을 불러일으키는 것이기 때문에 그
의견을 충분히 받아들이고 이해하고 있답
니다..
다른 사람들도 마찬가지의 사고를 할겁니다.
보안쪽에 있다고해서 또라이같은 사고를
많이해야 잘 뚫을수 있는 경우가 있긴 하겠
지만, 그것은 단지 수단일 뿐이지 전체적인
프로세스는 여전히 물이 아래로 흐르는 것과
같이 해야함을 압니다. 그래야 아무도 다치지
않고 불편하지 않으면서도 깔끔하기 때문입
니다.
모든 보안쪽에 일하시는 분들도 이같이 생각
을 하고 있을것을 의심하지 않습니다.
일부, 돈에 너무 욕심을 부리거나 갖고있는
지식을 물이 아래로 흐르듯 사용할 줄 아는
시야가 없는 사람들이 무리한 보안솔루션을
생각해내서 눈살을 찌푸리게 하곤 합니다.
그것은 마치 “갈라파고스 보안증후군” 에
비유할 수 있습니다. 해외의 경우를 보더라도
무리한 생각은 하지 않습니다. 이치를 따져
보면 금방 알 수 있는 내용이기 때문이지요.
해외(외부)를 보면 쉽게 해결되는 내용이지만
국내에서는 고립되어있는 사고방식때문에,
이를 슬기롭게 헤쳐나가지 못하는 모습들이
종종 보입니다. 예를들면 해외와 싸워 이길
려면 좀 더 비정상적인 방식을 써서 따라오지
못하게 하겠다는 생각에서 좀 더 특수한 기술
을 쓰려고 하겠다는 생각 같은 부류이죠.
특수할 수록 디펜던시는 올라가는데 말이죠..
해외에서도 안하는데 국내에서 먼저 시도를
해서 결국에는 해외까지 영향을 미치는 사례
들도 있구요. 돈이되는걸 보면 해외애들도
신기하겠죠..
그런데, 물의 특성상 고인물은 썩거든요..
그리고 잘못되어 붐이 일어나듯이 왕창왕창
흐르게 되는 물은 홍수를 만듭니다.. 헤어나
올 수 없게되죠.. 국내의 보안계가 또한 그러
한 양상을 보이기도 합니다.. 잘못된 홍수속
에서 계속해서 반복된 실수를 하고 있는거죠.
분명히 언급합니다.. 물은, 반드시 아래로 흐
릅니다.. 세상이 둘로 갈라지고 지구가 사라
져도 후세에 또다른 생명체가 생겨날 일이
있다고 하더라도, 물은 아래로 흐른다고 전해
질겁니다. 이것이 정공법의 이치라는 것이지
요.
컴퓨터도 마찬가지입니다..이러한 이치라는
것이 존재하죠. 그리고 우리는 그 이치라는
것을 지킵니다. 그래서 정석적인 개발자와
정석적인 프로그래머, 정석적인 기획자가
얼마나 위대한 것인지 알곤 합니다. 비록,
보안쪽 일이 매우매우 비상식적인 사고방식
이 일상처럼되어있어, 어렵고도 특수한 분야
이다보니 돈을 벌기도 어렵지만요..
자신의 사고방식속에 반드시 물은 아래로
흘러야 한다는 사고방식까지 바꾸는 불쌍사
를 만들진 않았으면 좋겠습니다. 저도 항시
제 자신을 견제하고 있는 부분이 그러한 것
이기 때문입니다. 옳은건 옳다고 말할 줄 알
아야 합니다. 그것이 옳은것이기 때문입니다.
물이 아래로 흐르니까 아래로 흐른다고 말
하지 그 이유가 또 있겠습니까? 컴퓨터에서
도 마찬가지로 접근해야 합니다. 보안이라고
해서 예외가 될 수는 없다는 것이지요. 만약
예외가 생기게 되면, 지금 쓰고있는 키보드
보안같은 최대실수를 범하는 꼴이 되는겁니
다. Win7 64bit 인데 키보드입력이 또 되다
안되다를 반복하는군요.. -_-; 보안계통의
종사를 해온 저도 진짜 이럴땐 욕을 할 수
밖에 없습니다.. 그리고 키보드 보안이 정말
안전하느냐라고 물으면 절대로 “예”라고
말하지 않습니다. 혹은, 백신이 반드시 안전
하는가? 그것또한 “예”라고 답하지 않습니다.
다만, 도움은 되겠죠라고 말하겠죠. 그렇게
말할수 밖에 없겠죠. 그것이 물이 아래로
흐르지 않는다고 말할순 없으니까요. 그런데
제품을 팔거나 컨설팅을 하는 사람들은 때때
로 이러한 것을 무리하게 접근하는 사람들이
있다는 겁니다. 그것이 잘못된 것이겠죠..
그리고.. 아쉽게도 “쉬쉬~” 하면서 그렇게
해왔죠..
지금 우리가 접해있는건 물이 아래로 흐르지
않는다고 주장한 댓가입니다.. 혹은, 그러한
주장을 그냥 덮어두었던 댓가입니다.. 좀..
많이 참혹하죠..
보안쪽에 종사하는 모든 사람들은 아니..
더 크게 생각해서 IT 에 종사하는 모든 엔지
니어들은 반드시 알아두어야 합니다.
컴퓨터 분야에는 반드시 물이 흐르는 것과
같이 정공법 또는 정석이 존재한다는 것,
그리고 그것을 지키는 것이 가장 아름다움을
추구하는 것이라는 점. 그 안에서 사고하지
않는다면 그것은 불안정과 파괴를 부르는
것과 다름이 없고, 그런 일을 행하는 것은
흔히 말하는 Cracker 와 별반 다를바 없다는
사실.. 사용자를 괴롭히는 것은 어차피 똑같
지 않습니까? 결과론적으로는 무엇이 다르
죠.. 아무리 의미가 좋아도 결과적으로 해악
적이라면 그것은 잘못된 것이라고 봐야하
겠죠..
이치를 따지는 일은 필자가 말했듯이 매우
쉬운 일입니다. 이치를 따지는 일은 지나가는
개는 못하겠지만 지나가는 중고딩 생들을
데려다 놓고 가리켜주면 금새 할 줄 알겁니
다.
이러한 이치를 보안이라는 특수한 사고방식
을 해야하는 사람들이라고해서 받아들이지
않으려 한다면 누가봐도 중고딩만큼이 안되
기 때문에 지나가는 개(수준)로 보게 될것은
자명한것 아닙니까.. 필자가 보고 있는 시선
이 바로 보안쪽에 종사하는 사람들이 개로
보이는 것 처럼 말입니다.. 솔직히 그런 욕
먹어도 싸게 되었죠.. 오늘 보안쪽의 더러움
이란 그렇게 대변되니까요..
정공법의 중요성이란 그런데 있는 것입니다.
지금 보안쪽에서 역공학이 유행처럼 번지고
있다고해서 개나소나 다 역공학을 들먹이는
추세가 되었는데, 그건 정말 아닌거 같습니
다. 역공학을 논할 사람이 몇이나 될 것 같습
니까.. 국내에서 웹바람이 불었을때는 죄다
웹해킹에만 몰두하던 사람들도 이젠 역공학
을 찾는걸 보면 진짜 우리나라는 상종 못할
나라입니다.. 왜냐면, 이러한 일이 생기게될
때, 공학적으로의 이치를 따지는 사람들보다
그렇지 않은 사람들이 급속도로 늘어나면서
오염시키기 때문입니다.
예를하나 들어보죠. 책 중에서 이런 책이
있습니다. “리얼타임 렌더링” 이라는 책이
있는데, 게임 개발자들은 전부 명저라고
칭찬이 자자한데 이 책을 실제로 읽은 게임
개발자가 이 책이 명저인지 아닌지 모르는
상황을 가정해볼까요..? 무슨얘기냐면..
리얼타임 렌더링이라는 게임제작 책에는
게임제작 내용보다는 이론이 더 많이 들어
있기 때문에 실제게임에 다이렉트로 적용
할 수 있는 내용들이 거의 없는거 같더군요.
(최신개정판은 좀 다른듯..) 어쨌든, 이런
경우를 보자면 이해가 될까요? 즉, 명저를
분간할 만큼의 시야도 없다는 것이지요..
(명저라고해서 그 책을 그냥 읽어보려고
했었던 저또한 그랬고요..)
자, 이것이 바로 오늘날의 IT 에서 벌어지는
일들이고 IT 의 한 분야인 보안쪽에서도 마찬
가지로 벌어지는 일들입니다. 즉, 역공학을
논하는 사람들이 평상시에 취미가 프로그래
밍이 아닌 경우가 있다는 점이라던지, 소스를
보는 것을 밥먹는 것과 같이 하는 사람들이
없다던지, 스스로 자기자신은 프로그래밍을
매우 싫어한다라고 말을 한다던지 기타 여러
말도안되는 증상들을 보이더라는 것이지요.
무슨 얘기냐면.. 정공법위에 세워진 역공학이
아니라 트렌드가 역공학이기 때문에 따라가
려고 하는데서, 혹은 단순흥미에서 세워진
역공학을 논한다는 것입니다. 한마디로 무슨
트렌드에 휘둘리는 모습을 보여준단 것이죠.
상당히 안좋은거죠.. 마치 C 를 배워야되?
자바를 배워? C# 을 배워? 뭐가 오래 살아
남지? 플래쉬를 배워야해? 아니면 이번에
실버라이트 나왔던데 그거 MS 꺼니까 오래
가는거 아냐? 그거 배우면 좋을까? 같은
생각이나 하는 좀먹는 벌레들이 많다는 것
을 말하는 겁니다.. 즉, 물이 흐르는 것과는
상관이 전혀 없이 사는 사람들이 있다는
것이고, 오늘날 그런 사람들이 주류가 되어
가고 있기에 썩었다는 겁니다..
보안분야도 예외가 아니란 것이죠.. 물이
아래로 흐른다는 아주아주 기본적인 사고
방식의 프로세스 조차도 없이, 진보적인
기술을 마구잡이로 습득하는 무서운 사이코
패스적인 존재들이 늘어남에따라 세상은
더욱더 무서워 지는 거죠.. 제일 무서운게..
지식을 가진(칼을 가진) 사이코패스(아무
생각이나 감정이 없이 폭력적)입니다..
국회의원중에도 사이코패스가 많다고
하더군요.. 무슨 얘기인줄 아시겠습니까..
제가 하고 싶은 말은.. 단 하나입니다..
스스로에게 거짓말을 하지 않고, 남에게
거짓을 말하지 않고, 솔직할 줄 아는 사고
방식으로 현실을 말하자는 거죠..
보안쪽은 썩었습니다.. 아주 많이.. -_-;
갈라파고스에서 썩어갑니다.. 지금도..
거짓말을 하고싶진 않습니다.. 양심이
허락하지 않기에..
한가지는 분명히 알아두시길 바랍니다..
보안계통에서 종사하는 사람중에도 이런
사고방식을 할 줄 아는 Default Human 이
있다는 걸..
P.S: 유일하게 보안분야만이 단 한명으로도
세계 사람들을 움직이도록 할 수 있습니
다. 전세계 보안인구(?)는 최소한 한번쯤
고가지를 돌리게 만들수가 있답니다.
다른분야는 이런경우가 극도로 희박하
지만 이 분야는 그렇지 않죠. 그걸 국내
회사들이 좀 깨닫기를.. 정작 그걸 모르
더군요.. 아니면, 알기때문에 그걸 이용
하려고 하는데 알맹이인 기술은 쏙 뺀
체로 해볼려는 경우도 있구요.. 아예 무
시하고 뭐라도 해볼려고 하는 경우도
있죠.. 어차피.. 경험을 해서 느끼는 사람
만이 아는거라서 모르는 사람이 더 많겠
지만, 제대로할땐 정말 빛이 납니다..
부디.. 보안쪽에서도 제대로하는 모습이
많아졌으면 좋겠습니다.. 태초의 모습으
로 돌아가기를.. 좋아서 했었던 때로..
그러면 자기가 하는 능동적인 일이 남을
위해서 하고있는 일이라는 사실을 알게
되고 남을 위해서 하는 일은, 반드시 이
롭게 해야 함을 알것이니까요.. 이로운
것은 반드시 성공하죠.. 법칙이니까..
그냥.. 개인적인 생각을 적어보았습니다..
필자의 글에 대해서 잘못되었다고 판단하는
사람이 있다면, 한번쯤 읽어보면 어떨까 생각
이 들었습니다..
일단 Sandbox로 구동되는 iPhone의 환경에서는 정상적인 백신 (ring-0 까지 access가 필요) 의 활동이 불가능하다는 아주 간단한 이치조차 이해를 못하시는 ‘전문가’분들이 상당히 많아 보이는 군요.
저도 프로그램밍을 하는 사람으로써, 교수님의 지식에 놀라울 따름인데…. 가만히 있어도 절반은 갑니다. -_-;;
백신이 반드시 링제로까지 액세스해야한다는 규칙은 없습니다. 웹에서 실행할 수 있는 온라인 백신은 무용지물이게요?
바이러스가 꼭 프로그램을 통해서 유포되는게 아니라는 사실을 알면 그렇게 우습지도 않네요.
요즘에는 이멜, 웹싸이트, 머신저, ftp 등등을 통해서 바이러스가 유통될수 있습니다.
그리고 리눅스용 안티바이러스 프로그램이 뭔가요? 소스를 윈도즈에서 컴파일 시키면 윈도즈용이 되는게 아닌가요? ClamAV 윈도즈용도 있습니다.
저도 “십수년”이라는 표현을 쓸 수밖에 없어서 좀 죄송합니다만…
십수년 리눅스(클라이언트용 리눅스와 서버용 리눅스 모두 포함)를 써왔지만, 클라이언트용 리눅스에 ClamAV를 설치하고 사용하는 경우는 들은 적도, 본 적도 없네요.
Package 소개를 인용합니다.
clamAV는 백신중에서 성능이 좋지 못한 편입니다.오픈소스라유명한거지 거의 못쓰죠 아마. 카스퍼스키나 소포스에서 상업용 리눅스용 백신이 나온게 있고. 제 동기가 영국 모대학에 있는데 리눅스에서 백신설치를 강제한다고 들었습니다.
[관리자 추가: 다른 나라라면 모르겠습니다만, 영국에서 그런 일은 없습니다
]
이니텍 김기영 상무이사님의 발표 “아이폰의 보안 문제 및 개선 방안“을 끝으로 이 쓰레드의 논의를 마무리하고자 합니다.
김기영 상무님께서 발표하신 내용(동영상 꼭 보시기 바랍니다)의 핵심을 요약하면
1. 업체들이 정신없이 만드는 보안프로그램이 제대로 검증되고 안정성을 가지려면 많은 시간이 걸린다. 이미 훌륭하게 만들어져 있고 계속 취약점을 보완해가고 있는 웹브라우저의 보안기능을 그대로 사용하는 것이 오히려 안전할 수 있다.
2. 누구를 위한, 무엇을 위한 보안이냐를 근본적으로 반성해야 한다. 지금은 규제 준수를 위한 보안 나열에 지나지 않는다.
3. 사용자의 이용편의(usability)와 서비스의 범용성, 가용성을 고려하지 않은 보안은 실패한다.
그동안 이 포스팅에 댓글로 논의해 주신 여러분들께 감사드립니다.
Pingback: hackken.org » hackken weekly #3