보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

미네소타대학의 연구 프로젝트, 리눅스 커널 커뮤니티와 충돌해

  |  입력 : 2021-04-23 16:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오픈소스 생태계에서의 공급망 공격이 최근 커다란 문제가 되고 있다. 이에 ‘정말로 어느 정도나 위험한가?’가 궁금했던 대학 연구원들이 커널 커뮤니티에 취약점을 일부러 배포했다. 커뮤니티 측은 발끈했다. ‘감히 우리를 실험해?’

[보안뉴스 문가용 기자] 미국의 미네소타대학이 연구 프로젝트 하나를 중단시켰다. 참여한 학생 두 명이 리눅스 생태계 내에서의 공급망 공격을 연구 조사하기 위해, 의도적으로 취약한 코드를 리눅스 커널 개발자에게 전달했다는 항의가 나왔기 때문이다.

[이미지 = utoimage]


소동의 중심에 있는 논문은 다음 달 열리는 IEEE 심포지움 행사에 발표될 예정이었다. 오픈소스 소프트웨어 프로젝트들에 오류가 있는 패치를 적용했을 때 어떤 반응을 일으키는지 알아본다는 것이 연구 목적이었다. 즉 공격자들이 오픈소스에 공급망 공격을 실시할 때 얼마나 버틸 수 있는지를 알아본다는 것이었다. 연구원들은 리눅스 커널에 최소 세 가지 ‘취약한’ 업데이트를 추가했다고 한다.

그런데 지난 4월 21일, 리눅스재단(Linux Foundation)과 리눅스 커널 관리자인 그렉 크로아하트만(Greg Kroah-Hartman)은 “미네소타대학 측은 더 이상 리눅스 커널에 기여할 수 없다”고 발표했다. 동시에 미네소타대학 측이 그 동안 제공해 적용했던 모든 패치들을 되돌리겠다고도 덧붙였다. “연구자들의 연구 범위를 가지고 이렇다 저렇다 할 생각은 없고, 제가 판단할 것도 아닙니다. 다만 리눅스 커널 리뷰어들에게 아무런 고지도 없이 이런 행위를 함으로써 의도적으로 시간을 낭비케 하는 건 반대합니다.”

최근 소프트웨어 생태계의 공급망 공격이 큰 문제가 되고 있다. 올해 초 솔라윈즈 오리온(SolarWinds Orion)을 통해 대대적으로 발생한 공격이 대표적인 사례다. 공격자들은 소프트웨어의 업데이트가 배포되는 망에 침투해 업데이트 파일을 조작함으로써, 오리온을 사용하는 고객들 대다수를 한 번에 감염시켰다. 이번에 미네소타대학의 연구원들이 한 행위도 그것과 비슷하다. 물론 의도는 전혀 다르지만.

당사자인 연구원들은 치우시 우(Qiushi Wu)와 캉지에 루(Kangjie Lu)이다. 이들이 리눅스 커널 개발자들 측에 제공한 패치 파일들에는 취약점 혹은 악성 요소가 숨겨져 있었다. 이런 요소들이 리눅스 커널 생태계에 도입되었을 때 얼마나 빠른 시간 안에 탐지 및 해결되는가를 알아내기 위함이었다. 악의적인 의도는 없었던 것으로 보인다. 이들은 논문을 통해 “오픈소스 생태계 내 취약점들이 오랜 시간 방치될 경우, 악의적으로 활용될 가능성이 커진다”고 주장하기도 했다.

하지만 이러한 실험 때문에 리눅스 커널 관계자들은 어마어마한 노동력과 시간을 낭비해야 했다고 크로아하트만은 말한다. 또한 생태계 내 유지되고 있던 ‘신뢰’를 저버린 행위였으며, 따라서 ‘선을 넘는’ 행동이었다고 비판했다. “아무런 언급도 없이 실험 대상이 된 것이 매우 불쾌합니다. 연구원들은 알고서도 패치 기여에 대한 저희의 신뢰를 무참히 짓밟았고, 커뮤니티 내 여러 사람들에게 위험을 초래하기도 했습니다.”

이에 미네소타대학의 컴퓨터과학공과대학 학부는 공식 발표를 통해 이번 사건에 대한 조사에 착수했다고 밝혔다. “저희 대학 측은 이번 사태를 매우 심각하게 받아들이고 있으며, 조사에 들어갈 것을 약속합니다. 또한 조사 전에 이미 연구를 중단시켰음도 알려드립니다. 해당 연구원들은 물론, 이러한 연구 방식을 승인한 관계자들과 승인 과정도 조사 대상입니다.”

리눅스 커널 개발자인 로라 애봇(Laura Abbot)은 “공급망 공격은 이미 잘 알려진 사안이고, 공급망 공격에 대한 증거가 더 필요하지도 않은데 이러한 연구를 진행했다는 게 문제”라고 자신의 블로그를 통해 지적했다. “실험이 성공적으로 진행되었다고 하더라도, 무슨 새로운 것이 밝혀졌을까요? 일으킨 문제에 비해 사소한 것이었을 거라고 봅니다. 공급망 공격은 적어도 리눅스 커널 생태계에 있는 사람들에게는 고리타분한 이야기일 뿐입니다.”

하지만 연구원들은 논문을 통해 “실험이 안전하게 진행됐으며, 패치가 이메일 교환이라는 특수한 상황에서만 작동하고, 실제 애플리케이션 코드와는 접목되지 않도록 했기 때문에 실제 피해가 발생할 가능성은 없다”고 주장했다. 또한 “리눅스 커뮤니티의 개발자들과 관리자들을 존중하지만, 이러한 방법 외에 실험을 진행시킬 방법을 찾을 수가 없었다”고 쓰기도 했다.

4줄 요약
1. 미네소타대학, 리눅스 커널 커뮤니티에서 추방됨.
2. 대학 연구원들이 연구를 위해 취약점을 커뮤니티에 퍼트렸기 때문.
3. 커뮤니티는 “새로울 것 없는 연구.”
4. 연구원들은 “안전 장치 충분히 갖췄음.”

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북