[기자수첩]SW보안에 대한 구글의 자가당착

구글이 소프트웨어(SW)에 대한 '보안'을 말할 때는 2가지를 기억하자. 첫째, 구글은 자사와 타사 제품에 적용하는 보안의 기준이 완전히 다르다는 점. 둘째, 구글은 제품의 사용자를 위한 개념으로 보안이라는 표현을 쓰는 게 아니라는 점.

최근 구글은 구형 안드로이드 운영체제(OS)의 내장 브라우저 '웹뷰'에 대한 보안 패치를 포기했다. 이후 전체 안드로이드 사용자 60% 규모, 약 9억3천만명으로 추산되는 안드로이드 4.3 버전 이하 사용자가 잠재적 보안 위협에 방치될 것이란 우려가 확산됐다.

구글은 이런 정책을 지난해 10월 안드로이드 5.0 버전을 공개할 무렵에 결정했던 모양인데, 그 내용이 사람들에게 알려진지는 보름밖에 안 됐다. 그나마 구글이 이를 직접 공지한 게 아니라 보안 솔루션 업체 소속 연구원이 이를 밝혔고, 여러 IT매체에서 기사화한 결과다.

이후 구글 안드로이드 보안담당 수석엔지니어라는 사람이 구글플러스 서비스에 몇 마디를 남겼는데 대충 요약하면 최근 패치를 중단한 게 맞고, (적잖은 자원을 투입해) 계속 패치하는 건 실용성이 떨어진다고 판단했다는 것이다.

구글이 안드로이드 4.3 이하 버전대 웹뷰 패치를 포기한 이유로 든 건 거기에 넣은 오픈소스 렌더링 기술 '웹킷'이 2년도 더 전부터 관리해 온 터라 원조 기술과 많이 달라졌다는 점, 안드로이드 4.4 이상 단말기가 자연스럽게 확산될 것이라는 점 등이다.

회사 정책에 이런게 있어서가 아니라 업계 상황이 어떻다는 이유다.

구글은 이 내용을 자사 '공식입장'으로 삼았다. 다른 발표는 없었다. 정황상 외부 보안연구원만 아니었다면 구글은 이번 업데이트 중단 건을 조용히 넘겼을 기세다. 이런 안드로이드 보안담당자의 갑작스러운 통보를 '안드로이드 보안 업데이트 정책'이라 부르긴 어렵다.

구글은 필요하다면 몇년 뒤 안드로이드 4.4 또는 5.0 버전을 포기할 다른 이유를 만들어낼 수 있다. 안드로이드 기반 제품 개발 파트너와 서비스 업체 및 사용자들을 불안하게 만든다. 주요 윈도 버전과 서비스팩에 대한 업데이트 지원 기간을 공식 사이트에 명시하고, 기간 만료를 정기 발표하며, 경우에 따라 연장도 하는 마이크로소프트(MS)와는 대조적이다. (☞링크)

이 대목에서 구글 옹호론자는 MS와 구글의 사업구조가 전혀 다르다는 점을 들어 항변할 것이다. 물론 구글은 MS가 아니다.

MS는 SW제품의 라이선스를 팔지만 구글은 SW제품을 그냥 쓰게 내주고 광고나 클라우드 서비스 매출로 연결시킨다. MS는 특히 정기적인 기업용 SW 라이선스 계약으로 직접적으로 막대한 매출을 얻는 만큼 충실한 사후지원이 가능하다.

하지만 구글이 MS처럼 SW 사용료를 받지 받지 않는다는 게 면죄부로 통할 수는 없다. 제품을 사용자들에게 제공했고 그로써 어떤 형태로든 수익이 나온다면 일정한 책임을 지는 게 시장의 상식이다. MS는 12년을 이어온 윈도XP 업데이트 제공 기간에 대해서도 충분치 않다며 지난해 4월 지원 중단을 앞두고 업계의 집중 포화를 맞았다.

사용자 입장에서 구글과 MS의 차이는 수익모델이 아니라 SW 제품을 통해 느끼는 책임의 수준에 있을 것이다. 이는 각 버전별로 사후지원 기간을 제시하고 보안 취약점 등 문제 발생시 책임소재를 파악할 수 있는 업데이트 정책을 갖췄는지 여부에서 단적으로 드러난다.

구글에서 운영하는 보안현상금 프로그램 '프로젝트 제로'를 보면, 구글도 SW 제품에 대한 '책임' 개념을 전혀 모르는 것 같진 않다. 프로젝트 제로는 패치가 안 된 보안취약점을 발견한 보안연구원들에게 포상금을 지급하고 그 내용을 해당 SW 개발업체에 알려 수정을 권고하는 식으로 운영된다.

구글도 SW 개발업체에 그 보안취약점을 해결할 책임과 권한이 있다는 것 정도는 안다는 얘기다. 오히려 구글은 프로젝트 제로에서 타사 제품의 보안취약점을 발견했을 때 그에 대한 책임을 더욱 엄격하게 요구하는 것처럼 보이기도 한다.

연초 MS의 사례가 대표적이다. 한 구글 보안 연구원은 윈도8.1 OS에서 관리자 권한을 빼앗는 제로데이 취약점을 찾아 지난해 9월말 MS에 알렸다. 이후 자신들의 '정책'에 따라 그 내용을 90일만에 일반에 공개했다. 윈도 개발업체인 MS에 윈도 취약점을 알린 건 상식적 조치였지만, MS는 미처 패치를 못 내놓은 상태였다. (☞관련기사)

구글처럼 SW취약점을 발견한 뒤 해당 업체의 패치 개발을 압박하기 위해 일정기간 이후 그 내용을 일반에 공개하는 정책을 취할 수 있다. 다만 HP 보안사업부 티핑포인트에서 운영하는 '제로데이이니셔티브(ZDI)'의 경우 그 기간이 4개월인데 프로젝트 제로에선 그 기간이 3개월로 짧다.

구글이 취약점 공개시한을 굳이 3개월로 한 이유가 뭔지는 모르겠지만, 취약점이 외부에 알려지기 전에 패치를 내놓아야 할 입장에선 일정에 맞춰야 하는 부담이 클 것이다. 실제로 MS는 해당 패치를 준비하던 중에 구글이 그 취약점을 너무 일찍 공개해 여러 사용자들을 위험에 빠뜨렸다며 불만을 표시했다. (☞관련기사)

한 외신 보도(☞링크)에 따르면 MS는 그마나 구글이 취약점을 외부에 공개한지 며칠만에 그걸 막을 수 있었지만, 이번엔 애플 SW가 표적이 됐다고 전했다. 최근 프로젝트 제로에서 최신 맥 OS '요세미티'의 취약점 3건을 공개했는데 아직 해결되지 않았다는 내용이다.

외신들이 이를 보도한 시기는 구글이 웹뷰 보안 패치를 중단키로 결정해 파장을 일으킨 뒤 이를 공식화할 무렵의 기간과 묘하게 겹친다.

관련기사

이쯤 되면 구글이 어떻게 프로젝트 제로 활동의 명분을 살릴 수 있을지 의문이다. 프로젝트 제로의 현상금을 타가는 인력들이 이번에 손 떼기로 공언한 안드로이드 웹뷰 보안에 더 공을 들이도록 독려할 수는 없었을까?

프로젝트 제로 활동과 안드로이드 웹뷰 보안 업데이트 중단의 명시적인 공통점은 하나다. 많은 사용자들을 일시적이든 영구적이든 잠재적인 보안 위협에 노출시켰다는 점이다. 구글의 SW보안에 대한 자가당착을 상징적으로 보여주는 대목이다.