케르베로스(Kerberos)는 아직 쓸만한가?

Security Analysis - Reporter’s Notebook

케르베로스(Kerberos)는 아직 쓸만한가

댄 기어(Dan Geer)가 가장 유명했던 순간은 5년 전 그가 마이크로소프트사의 독주가 국가 안보를 위협한다고 경고하는 논문을 공저한 이유로 @Stake에서 해고되었던 때다.

그러나 MIT에서 Kerberos 인증 프로토콜을 만들었던 프로젝트 아테네(Project Athena)와 함께 보안 업계에 대한 그의 기여가 시작되었고 이것은 오늘날 썬 마이크로시스템즈(Sun Microsystems)의 Solaris 운영 시스템, Red Hat Linux, MandrakeSoft Linux와 Debian Linux 등 다양한 제품에 편입되었다.

이 프로토콜이 현재의 위협 환경에서도 여전히 적절한지에 관한 물음에 기어는 “이 기술은 여전히 설계된 목적대로 수행하고 있다. 그러나 오늘날의 수많은 공격을 처리하고 있다는 의미는 아니다”고 답했다.

이어 “만일 트랜잭션의 가능성이 ‘나도 괜찮고, 당신도 괜찮고, 그저 인터넷이 문제’인 정도가 아니라 ‘다른 쪽의 엔드가 이미 손상된 것’이라면 어떻게 할 것인가?”라고 질문을 던진 기어는 “그러한 상황에서는 인증 기술이 문제가 아니다. 만일 인증하는 사람이 자기도 모르게 손상을 입었더라도 프로토콜은 작동한다. 그러나 그 사람의 컴퓨터는 다른 누군가에 의해 통제된다. 그것은 우리가 Kerberos로 해결하려던 문제가 아니다. 어떠한 프로토콜도 이것을 해결하지 못 한다. 이것은 엔드포인트의 문제다”라고 말했다.

반(反) 비스타

마이크로소프트사는 Vista SP1로 옮겨간 사람들에게 무료 지원을 제공하는 등 고객들이 비스타로 이동하도록 부추겨왔다. 그러나 IT 관리자들은 계속해서 마이크로소프트가 꿈꾸는 ‘적극적인 도입’에 저항하고 있다.

마이크로소프트는 2007년 초, 비스타 개시부터 지난 해 말 사이에 마이크로소프트가 생산한 보안 픽스와 기타 패치들이 완비된 윈도우 비스타 SP1을 지난 3월에 발매했다.

뮌헨의 Ludwig-Maximilian 대학 도서관의 IT 부서를 지휘하고 있는 시스템 관리자 Michael Pietroforte는 비스타 SP1을 광범위하게 테스트했고 그것이 많은 기업에 있어 여전히 너무 복잡한 OS라는 것을 확인했다.

그는 최종 분석을 통해 “그들은 종종 자신들의 제품의 복잡성을 더 이상 처리하지 못 하는 것처럼 보인다”고 말했다.

L0pht의 명성

최근의 Source Boston 컨퍼런스의 가장 흥미로운 부분은 그 주의 마지막 세션이었다. 그것은 패널 토론으로, L0pht의 전(前) 멤버 6명도 참석했다. 이 좌담에서는 수많은 토픽들이 거론됐는데 멤버들이 어떻게 다양하게 처리했는지, 그들이 어떻게 그들의 첫 ‘사무 공간’을 갖게 되었는지에 관한 내용도 있었다.

그러나 최고의 에피소드는 마이크로소프트사의 몇몇 중역들이 L0pht 멤버들을 저녁 식사에 초대해 그들에게 NDA 하의 윈도우 소스 코드를 제공하려던 것에 관한 것이었다. 물론 그것은 그들이 코드에서 발견한 결점을 폭로하는 것을 막기 위한 것이었다. 이에 대한 L0pht의 대답은 “우리는 이미 그 소스를 갖고 있다”는 것이었다고 Christien Rioux는 밝혔다.

<글·데니스 피셔 (Dennis Fisher)>

[정보보호21c 통권 95호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)