구글이 자사에 관대하고 타사에 가혹했던 소프트웨어(SW) 보안 기준의 모순을 조금이나마 깨달은 것일까? 구글이 최근 보안 취약점을 개발업체에 발견해 알려준 뒤 그게 고쳐지든 말든 90일만에 그 내용을 공개했던 정책의 기준을 완화했다.
주요 외신들은 지난 15일 구글이 '프로젝트제로'라 불리는 보안취약점 현상수배 프로그램의 규칙을 얼마간 완화해, 해당 SW개발업체가 취약점 공개 이전에 대응할 시간을 늘려줬다고 보도했다. 지난 13일 구글이 프로젝트제로 공식블로그를 통해 공개한 내용에 따르면, 접수된 보안취약점은 여전히 90일만에 공개되지만, 예전보다는 좀 더 늦게 공개될 수도 있게 됐다. (☞링크)
바뀐 점은 3가지다. 우선 취약점 공개 시한이 미국 기준으로 공휴일이나 주말 중에 만료될 경우, 해당 휴일이 끝나는 업무일로 연장된다. 취약점 공개 시한이 하루이틀 정도 늘어날 수 있다는 뜻이다.
구글은 또 SW개발업체의 패치 개발 일정도 약간 배려하기로 했다. SW업체가 구글 측에 취약점 패치 배포 시점을 예고하면, 구글이 취약점 공개 시한을 최대 14일까지 연장해 주기로 했다.
프로젝트제로 나머지 변화는 구글이 사람들의 혼동을 줄이기 위해 취약점 정보를 공개할 때 이를 가리키기 위해 업계 표준인 '커먼벌너러빌리티즈앤드익스포저(CVE)' 일련번호를 붙이기로 한 점이다.
CVE 일련번호는 보안취약점 공개 시한과 무관하지만, 구글이 외부 보안업계 시선을 의식했다는 점을 방증하는 요소로 봄직하다. 이전까지 구글은 프로젝트제로를 다소 제멋대로 운영해 왔다.
프로젝트제로는 구글이 보안취약점을 분석해낸 사람에게 포상을 하고, 그 정보를 공유함으로써 많은 사용자들이 쓰는 SW의 보안성을 높이겠다는 취지로 지난해 7월 시작됐다. (☞관련기사)
타사 SW에 대한 보안취약점을 찾은 사람에게 구글이 직접 포상한다는 게 프로젝트제로 특징이다. 과거 구글 서비스의 취약점을 파악한 사람에게 현상금을 줬던 '취약점 보상 프로그램'을 확대한 것이다.
구글은 프로젝트제로를 통해 발견한 보안취약점을 '구글시큐리티리서치'라는 외부 데이터베이스에 저장하고 관련 내용을 SW개발업체에 전달하는데, 보안패치를 내놓을 때까지 딱 90일만 기다려왔다.
발견된지 90일을 넘긴 보안취약점은 해당 SW업체가 문제를 해결했든 말든, 그 제품을 쓰는 사용자 규모가 얼마나 되든, 온라인을 통해 공개돼 누구나 볼 수 있었다.
패치를 만드는 입장에서 90일은 촉박할 수 있었지만 구글은 봐주지 않았다. 이 방식은 좋게 해석할 때 해당 SW업체의 패치 개발을 사회적으로 압박하기 위한 장치였다. 하지만 여기엔 문제가 있었다.
프로젝트제로를 통해 보안취약점이 공개된 SW 중에는 마이크로소프트(MS) 윈도나 애플 맥처럼 사용자 비중이 큰 PC용 운영체제(OS)도 있다. 이런 SW의 취약점은 범죄 수단으로 악용될 가능성이 컸다.
관련기사
- [기자수첩]SW보안에 대한 구글의 자가당착2015.02.17
- 안드로이드4.3 이하 기본 브라우저 쓰지마라?2015.02.17
- MS, 구글 보안취약점 90일 공개정책 비판2015.02.17
- 구글 연구원이 찾은 윈도8.1 취약점 90일째 방치2015.02.17
실제로 연초 구글은 MS와 애플이 패치를 내놓기 전에 '윈도8.1'과 OS X '요세미티'같은 최신 OS의 보안취약점을 공개함으로써 많은 사용자를 보안상 위험에 빠뜨렸다는 거센 비판을 받았다.
구글은 사용자가 많은 경쟁사 SW의 보안취약점 파악에 열을 올리면서도 최근 자사 SW인 구버전 안드로이드의 보안 패치를 조용히 중단하는 모순된 행동에서 또다른 비판을 자초했다. (☞관련기사)
