최근 인터넷에는 맥OS가 30초만에 해킹당했다는 소식이 퍼지면서 맥OS의 안정성에 대한 논란이 일었습니다. 호주 ZDNET의 보도에
따르면, Independent Security Evaluators (ISE)라는 보안회사는 CanSecWest 경진대회에서
사파리의 약점을 이용해 맥북에어를 해킹하는데 성공했습니다. 공식적으로는 8분이 걸렸지만, 이는 시동을 하는 등의 시간을 포함한
것이고, 실제로는 30초만에 해킹이 끝났다는군요. ISE의 분석가인 찰리 밀러는 우분투나 비스타가 아닌 맥OS를 공격 대상으로
선택한 이유에 대해 "셋 중 레오파드가 가장 공략하기 쉬웠기 때문"이라고 말했다고 합니다.
이러한 소식이 평소에 맥OS가 해킹에 대해 안전하다고 믿었던 많은 사람에게 충격을 주었음은 당연합니다. 물론 지금은 맥을 쓰면서 걱정할만한 바이러스가 없긴 하지만, 이런 식으로 보안이 취약하다면 곧 바이러스가 나타날 것은 자명한 사실입니다. 사실 어떤 해커는 "맥용 바이러스가 없는 이유는 단지 맥 사용자가 적어서 바이러스를 만드는 것이 의미가 없기 때문"이라고 했다는군요. 그런데 요즘 같이 맥 사용자가 늘어나는 상황에서 맥OS의 취약점까지 알려졌으니 맥이 바이러스 없는 운영체제라는 명성을 유지하기도 힘들어 보입니다.
그런데 이러한 걱정과 근심의 근거가 되는 "맥OS 30초 해킹" 보도 이면에는 기사에 나오지 않은 다른 사실이 숨어 있습니다. 우선, 맥OS가 해킹당한 CanSecWest 경진대회의 스폰서 중 하나가 바로 마이크로소프트입니다. 이는 대한항공이 스폰서한 기내식 경연대회에서 대한항공 팀이 1등한 결과 만큼이나 신빙성을 떨어뜨리는 사실입니다.
다음으로, 맥을 해킹한 찰리 밀러는 작년에 iPhone의 보안 문제를 제기하여 유명해진 사람입니다. 이번에도 맥을 해킹했다고 유명해졌으니, 애플에서 만든 제품의 보안상 허점을 찾아낸다면 보안전문가로서 명성을 얻을 수 있다는 사실을 잘 이용하는군요. 하지만 그도 맥OS의 약점을 바로 찾아내지는 못했습니다. CanSecWest 경진대회 첫날은 네트워크를 통해 OS를 직접 공격하는 방식이었는데, 이때는 성공한 팀이 없었고, 둘째날은 OS에서 이메일을 열거나 웹사이트를 방문하도록 허용하자 해킹을 하는데 성공했습니다. 이때도 엄밀히 말해서 OS의 약점을 이용한 것은 아니고, 사파리 브라우저의 약점을 이용했다고 합니다.
그럼 "해킹에 30초가 걸렸다"는 말이 무슨 뜻인지를 생각해 봅시다. 언뜻 이 말을 읽으면 아무나 마음만 먹으면 쉽게 해킹할 수 있도록 보안이 허술하다는 뜻으로 보입니다. 하지만 정말 컴퓨터를 키고 여기 저기 헛점이 없나 실험해 보다가 보안상 취약점을 찾는데 30초에 가능하겠습니까? 마치 복잡한 수학문제를 30초 내에 푸는 유일한 비결은 이미 문제를 알고 해답을 쓰는 연습을 하는 것 뿐이듯, 찰리 밀러도 평소에 맥의 보안상 허점을 연구하다가 어떻게 하면 사파리의 버그를 통해 운영체제를 통제할 수 있는지를 발견하였고 (특정한 악성 자바스크립트 코드가 있는 웹사이트를 사파리 브라우저로 방문하면 운영체제를 조작할 수 있다), 이러한 지식을 이용했을 것입니다. 물론 그는 대회를 위해 미리 이러한 웹사이트를 준비해 놓았겠죠.
그렇다면 "30초만에 해킹당한 맥"은 사실
1. 마이크로소프트에서 후원한 대회에서
2. 애플 제품의 보안을 공략하는 것으로 유명한 전문가가
3. 맥OS 운영체제 자체의 약점을 발견하는데는 실패하였고
4. 평소에 알던 맥용 웹브라우저의 약점을 이용해 해킹을 하는데 성공하였다
는 것입니다.
이렇게 본다면 이번 사건은 애플에서 만든 웹브라우저인 사파리에 약점이 있다는 사실을 보여줬을 뿐, 맥OS 플랫폼의 보안이 부실하다는 사실을 증명하지는 않습니다. 실제로 맥OS에는 바이러스가 거의 없고 ("전혀 없다"고 하고 싶지만, 제가 모르는 맥용 바이러스가 세상 어딘가 존재할찌도 모르죠), 그런 점으로 볼 때 보안이 부실하다고 보이지는 않습니다.
맥이 사용자가 적기 때문에 바이러스가 없다는 말도 생각해 보면 별로 근거가 없습니다. 우선, 지금보다도 맥 사용자가 더 적었던 90년대에는 오히려 맥 바이러스가 있었습니다. 그에 비해 지금은 시장 점유율에 8%에 달하고, 특히 미국의 가정, 교육용 컴퓨터 시장에서는 맥 사용자가 10-20%에 달하기에 충분히 바이러스나 말웨어 제작자들이 탐을 낼만한데도 바이러스나 말웨어가 없다는 것은 맥OS가 과거의 운영체계 (Classic OS)에서 OSX으로 옮겨오면서 안정성이 강화되었기 때문으로 봐야 할 것입니다.
그렇다고 맥이 결점이 전혀 없다거나, 앞으로도 바이러스가 나올 가능성이 제로라고 말할 수도 없겠죠. 사실 바이러스 제작자와 OS 제작 회사 사이엔 늘 끊임없는 전투가 벌어지기 마련입니다. 지금까지 맥OS에 바이러스가 적은 원인은 애플이 제때에 보안관련 패치를 잘 해주었기 때문입니다 (실제로 애플은 이번 CanSecWest 경진대회에서 사파리 버그가 발견되자 이 문제를 해결하는 업데이트를 바로 발표했습니다). 애플이 한 순간이라도 방심하면 어떠한 틈을 타고서라도 바이러스가 생겨나겠죠. 하지만 이번 맥 해킹 기사 때문에 갑자기 맥의 보안에 대해 의심을 할 필요는 전혀 없다고 생각합니다.
참고글: CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security
이 블로그를 Hanrss에서 구독하세요--> 
이러한 소식이 평소에 맥OS가 해킹에 대해 안전하다고 믿었던 많은 사람에게 충격을 주었음은 당연합니다. 물론 지금은 맥을 쓰면서 걱정할만한 바이러스가 없긴 하지만, 이런 식으로 보안이 취약하다면 곧 바이러스가 나타날 것은 자명한 사실입니다. 사실 어떤 해커는 "맥용 바이러스가 없는 이유는 단지 맥 사용자가 적어서 바이러스를 만드는 것이 의미가 없기 때문"이라고 했다는군요. 그런데 요즘 같이 맥 사용자가 늘어나는 상황에서 맥OS의 취약점까지 알려졌으니 맥이 바이러스 없는 운영체제라는 명성을 유지하기도 힘들어 보입니다.
그런데 이러한 걱정과 근심의 근거가 되는 "맥OS 30초 해킹" 보도 이면에는 기사에 나오지 않은 다른 사실이 숨어 있습니다. 우선, 맥OS가 해킹당한 CanSecWest 경진대회의 스폰서 중 하나가 바로 마이크로소프트입니다. 이는 대한항공이 스폰서한 기내식 경연대회에서 대한항공 팀이 1등한 결과 만큼이나 신빙성을 떨어뜨리는 사실입니다.
다음으로, 맥을 해킹한 찰리 밀러는 작년에 iPhone의 보안 문제를 제기하여 유명해진 사람입니다. 이번에도 맥을 해킹했다고 유명해졌으니, 애플에서 만든 제품의 보안상 허점을 찾아낸다면 보안전문가로서 명성을 얻을 수 있다는 사실을 잘 이용하는군요. 하지만 그도 맥OS의 약점을 바로 찾아내지는 못했습니다. CanSecWest 경진대회 첫날은 네트워크를 통해 OS를 직접 공격하는 방식이었는데, 이때는 성공한 팀이 없었고, 둘째날은 OS에서 이메일을 열거나 웹사이트를 방문하도록 허용하자 해킹을 하는데 성공했습니다. 이때도 엄밀히 말해서 OS의 약점을 이용한 것은 아니고, 사파리 브라우저의 약점을 이용했다고 합니다.
그럼 "해킹에 30초가 걸렸다"는 말이 무슨 뜻인지를 생각해 봅시다. 언뜻 이 말을 읽으면 아무나 마음만 먹으면 쉽게 해킹할 수 있도록 보안이 허술하다는 뜻으로 보입니다. 하지만 정말 컴퓨터를 키고 여기 저기 헛점이 없나 실험해 보다가 보안상 취약점을 찾는데 30초에 가능하겠습니까? 마치 복잡한 수학문제를 30초 내에 푸는 유일한 비결은 이미 문제를 알고 해답을 쓰는 연습을 하는 것 뿐이듯, 찰리 밀러도 평소에 맥의 보안상 허점을 연구하다가 어떻게 하면 사파리의 버그를 통해 운영체제를 통제할 수 있는지를 발견하였고 (특정한 악성 자바스크립트 코드가 있는 웹사이트를 사파리 브라우저로 방문하면 운영체제를 조작할 수 있다), 이러한 지식을 이용했을 것입니다. 물론 그는 대회를 위해 미리 이러한 웹사이트를 준비해 놓았겠죠.
그렇다면 "30초만에 해킹당한 맥"은 사실
1. 마이크로소프트에서 후원한 대회에서
2. 애플 제품의 보안을 공략하는 것으로 유명한 전문가가
3. 맥OS 운영체제 자체의 약점을 발견하는데는 실패하였고
4. 평소에 알던 맥용 웹브라우저의 약점을 이용해 해킹을 하는데 성공하였다
는 것입니다.
이렇게 본다면 이번 사건은 애플에서 만든 웹브라우저인 사파리에 약점이 있다는 사실을 보여줬을 뿐, 맥OS 플랫폼의 보안이 부실하다는 사실을 증명하지는 않습니다. 실제로 맥OS에는 바이러스가 거의 없고 ("전혀 없다"고 하고 싶지만, 제가 모르는 맥용 바이러스가 세상 어딘가 존재할찌도 모르죠), 그런 점으로 볼 때 보안이 부실하다고 보이지는 않습니다.
맥이 사용자가 적기 때문에 바이러스가 없다는 말도 생각해 보면 별로 근거가 없습니다. 우선, 지금보다도 맥 사용자가 더 적었던 90년대에는 오히려 맥 바이러스가 있었습니다. 그에 비해 지금은 시장 점유율에 8%에 달하고, 특히 미국의 가정, 교육용 컴퓨터 시장에서는 맥 사용자가 10-20%에 달하기에 충분히 바이러스나 말웨어 제작자들이 탐을 낼만한데도 바이러스나 말웨어가 없다는 것은 맥OS가 과거의 운영체계 (Classic OS)에서 OSX으로 옮겨오면서 안정성이 강화되었기 때문으로 봐야 할 것입니다.
그렇다고 맥이 결점이 전혀 없다거나, 앞으로도 바이러스가 나올 가능성이 제로라고 말할 수도 없겠죠. 사실 바이러스 제작자와 OS 제작 회사 사이엔 늘 끊임없는 전투가 벌어지기 마련입니다. 지금까지 맥OS에 바이러스가 적은 원인은 애플이 제때에 보안관련 패치를 잘 해주었기 때문입니다 (실제로 애플은 이번 CanSecWest 경진대회에서 사파리 버그가 발견되자 이 문제를 해결하는 업데이트를 바로 발표했습니다). 애플이 한 순간이라도 방심하면 어떠한 틈을 타고서라도 바이러스가 생겨나겠죠. 하지만 이번 맥 해킹 기사 때문에 갑자기 맥의 보안에 대해 의심을 할 필요는 전혀 없다고 생각합니다.
참고글: CanSecWest and Swiss Federal Institute of Tech Deliver Attacks on the Reality of Mac Security
