OSS에 대한 단신 한가지!

OSS에 대하여 서울경제 신문의 기사 한토박입니다.

미 국방부에서도 OSS의 안전성에 대해서 한마디 했나 보네요.

우리나라의 국정원은 언제쯤 OSS의 가치와 안전성에 대해서 알게 될까요?

[url:2ea4i41x]http://economy.hankooki.com/lpage/opinion/201010/e2010103117270296930.htm[/url:2ea4i41x]

중국 군대는 FreeBSD를 고쳐서 쓴다고 하죠. 오픈소스는 무료로 가져다 쓸 수 있다는게 중요한게 아니라 소스를 확인할 수 있다는게 가장 중요합니다. 윈도우에 미국 NSA가 백도어를 몇 개나 심어놨는지 누가 알겠어요?

[quote="ahavatar":28jge7h1]중국 군대는 FreeBSD를 고쳐서 쓴다고 하죠. 오픈소스는 무료로 가져다 쓸 수 있다는게 중요한게 아니라 소스를 확인할 수 있다는게 가장 중요합니다. 윈도우에 미국 NSA가 백도어를 몇 개나 심어놨는지 누가 알겠어요?[/quote:28jge7h1]

소스 없다고 뭐하는 코드인지 알 수 없는 건 아니예요. 백도어 심어져 있다면 벌써 알려졌고 스티브 발머는 청문회 주인공이 됐겠죠. -_-

윗분말이 맞습니다.

정부 기관급 고객들에 대해서는 국정원이나 그에 준하는 기관에 소스를 공개하는 것으로 알고 있습니다.

[quote="chahoolee":ea49l1cj][quote="ahavatar":ea49l1cj]중국 군대는 FreeBSD를 고쳐서 쓴다고 하죠. 오픈소스는 무료로 가져다 쓸 수 있다는게 중요한게 아니라 소스를 확인할 수 있다는게 가장 중요합니다. 윈도우에 미국 NSA가 백도어를 몇 개나 심어놨는지 누가 알겠어요?[/quote:ea49l1cj]

소스 없다고 뭐하는 코드인지 알 수 없는 건 아니예요. 백도어 심어져 있다면 벌써 알려졌고 스티브 발머는 청문회 주인공이 됐겠죠. -_-[/quote:ea49l1cj]

청문회 주인공? NSA가 청문회에 나온거 본적이 있는지?

소스를 확인하고 직접 컴파일해서 쓰지않는 한 알 수 없는 법입니다.

요즘 시끄러운 Stuxnet 도 개인이 만든거라고는 그 누구도 감히 주장하지 못하고 있죠. 소스가 공개되었다면 이런 일이 벌어지기 힘들었을 것입니다.

[quote="tuberosity":3od89qhq]윗분말이 맞습니다.

정부 기관급 고객들에 대해서는 국정원이나 그에 준하는 기관에 소스를 공개하는 것으로 알고 있습니다.[/quote:3od89qhq]

소스 받아서 확인해서 컴파일해서 쓴다는 소리는 들어본 적이 없네요. 아주 옛날에 빌 게이츠가 KAIST에 윈도우 소스를 학술용도로 기증했다는 소식은 기억이 납니다만. 그 윈도우는 요즘 쓰는 윈도우가 아니죠.

윈도우즈의 소스는 몇몇 기관에 제공하는 것으로 알고 있습니다. 심지어 몇몇 기관에서는 소스를 변경하여 쓰기도 한다는군요.

[quote="떠돌이":13v2rwhj]윈도우즈의 소스는 몇몇 기관에 제공하는 것으로 알고 있습니다. 심지어 몇몇 기관에서는 소스를 변경하여 쓰기도 한다는군요.[/quote:13v2rwhj]

http://www.microsoft.com/korea/resource ... fault.mspx

조금 된 글이긴 하나 GSP나 ESLP를 보시면 …

GSP
사용 및 제한
정부 기관은 소스 코드를 읽고 참조할 수 있지만 수정할 수 없습니다.
ESLP
사용 및 제한
정식 사용자는 소스 코드를 읽고 참조할 수 있지만 수정할 수 없습니다.

라고 나오네요…

오래된 뉴스지만 비스타 시절인가 윈도우 소스코드에 NSA 라는 단어가 들어간 파트가 발견되어서 좀 시끄러웠어요. 당연히 마이크로 소프트사는 백도어가 아니라고 했었지만 말이지요. 제 기억엔 암호화 관련 소스였는데 이렇게 윈도우처럼 소스 코드를 못보면 정확히 알 수가 없는 법입니다.

예를 들어서 마이크로소프트사 윈도우7 얼티밋이 제공하는 암호화 기술에 백도어가 있는지 없는지 어떻게 확인하나요? 소스를 안보고 말입니다. 윈도우 같은 운영체제가 소스코드 싸이즈가 수백 수천만 라인이 넘는 규모일텐데 소스코드도 없이 백도어가 있는지 없는지 찾아낸다구요?
이건 무슨 우주를 창조한 신의 능력을 갖고 있는 천재급인지 착각하고 있다고밖에 안보이네요.

다시 강조합니다만 오픈소스가 무료로 가져다 쓸 수 있고, 원하는대로 고쳐서 쓸 수 있다는것도 중요한 장점이지만, 보안 측면에서 소스를 검사해서 백도어 여부를 파악할 수 있다는 점, 설사 파악을 못했어도 훗날 보안 문제가 생겼을 때 소스를 대조해 보면서 원인 파악을 할 수 있다는 점, 이게 소스가 공개안된 운영체제하고는 비교가 안되게 보안에 강력한 이유가 됩니다.

duck 님 말씀도 일리가 있지요.

다행히 대부분의 데비안/우분투 패키지는 책임 소재가 분명하지요.

package maintainer가 패키지마다 지정되어있습니다.

(비대칭키 방식으로 사인을 해야하니 도용은 문제가 덜합니다.)

다만 워낙 소스가 공개되어있으니 모두 백도어가 없겠지 하다가 간과되는 경우도 있다고 합니다.

아마 최근에 XirC가 대표적인 예였던것으로 알고 있습니다.

[quote="duck":16k5xj2n]프로그램에 백도어가 있는지 없는지를 소스를 보고 판단해야 한다면
오픈소스 프로그램을 컴파일해서 바이너리로 프로그램을 배포했을 때
컴파일 한 사람이 백도어를 심었는지 안심었는지 어떻게 알 수 있나요?[/quote:16k5xj2n]

컴파일해서 쓰면 되죠. 소스도 있겠다 패키지에 보면 컴파일하고 설치하는 방법 다 들어있겠다 보안을 중시하면 소스코드를 직접 보안 심사를 하고 컴파일해서 써야합니다.

일반 유저가 이렇게까지 할 필요는 없어보이지만 국방부라던지 보안이 매우 중요한 기관에서 이렇게 하지 않는다면 그건 직무유기라고 봅니다.

제가쓰는 FreeBSD는 제가 거의 다 컴파일해서 쓰거든요, 커널부터 시작해서 유저랜드 프로그램부터 포트까지… 리눅스에도 이렇게 다 컴파일해서 쓰게되있는 배포본도 존재해요. 그렇다고 해서 제가 소스코드를 다 들여다보면서 검사한다는건 아니지만, 개인이 전부 컴파일해서 설치해서 쓰는게 가능할정도로 요즘 나오는 컴퓨터 성능이 좋은데 (반나절에서 하루정도 걸립니다. 물론 설치하는 프로그램 수량에 따라 달라지지만) 국방부 같은 보안이 생명인 기관에서 이렇게 컴퓨터를 쓰지 않는다면 문제가 있는거겠죠.

[quote="duck":1hiy0g88]스포츠카를 타고 다니는 사람이 있는 반면 자전거 타고 다니는 사람도 있고 걸어다니는 사람도 있지요.
자기 PC성능이 좋다고 타인의 PC성능까지 좋을거라 넘겨 짚으신것 같네요.

젠투같은 배포본이 아니라면
예를들어 우분투 같은 배포본이라면 소스코드를 직접 확인 해보지 않는이상
바이너리 파일을 설치하나 컴파일해서 설치하나 보안레벨을 같은 레벨입니다.

받은 소스코드를 (확인하지않고) 컴파일한 파일에 백도어가 없다고 믿는것은
받은 바이너리 파일에 백도어가 없다고 믿는것과 같은것이지요.[/quote:1hiy0g88]

아니요 국방부처럼 보안이 중요한 기관에서는 소스코드를 확인하고 컴파일해서 써야한다고 했는데요?

우분투도 소스 패키지가 다 공개되있으니깐, 우분투도 소스코드를 확인하고 직접 컴파일해서 쓰면 되는거죠.

더구나 국방부같은 기관에서 소스 컴파일을 할 컴퓨터조차 마련 못할까요 대한민국 국방부를 뭘로 보시는지?

[quote="duck":27b0ae9u][quote="ahavatar":27b0ae9u][quote="duck":27b0ae9u]스포츠카를 타고 다니는 사람이 있는 반면 자전거 타고 다니는 사람도 있고 걸어다니는 사람도 있지요.
자기 PC성능이 좋다고 타인의 PC성능까지 좋을거라 넘겨 짚으신것 같네요.

젠투같은 배포본이 아니라면
예를들어 우분투 같은 배포본이라면 소스코드를 직접 확인 해보지 않는이상
바이너리 파일을 설치하나 컴파일해서 설치하나 보안레벨을 같은 레벨입니다.

받은 소스코드를 (확인하지않고) 컴파일한 파일에 백도어가 없다고 믿는것은
받은 바이너리 파일에 백도어가 없다고 믿는것과 같은것이지요.[/quote:27b0ae9u]

아니요 국방부처럼 보안이 중요한 기관에서는 소스코드를 확인하고 컴파일해서 써야한다고 했는데요?

우분투도 소스 패키지가 다 공개되있으니깐, 우분투도 소스코드를 확인하고 직접 컴파일해서 쓰면 되는거죠.

더구나 국방부같은 기관에서 소스 컴파일을 할 컴퓨터조차 마련 못할까요 대한민국 국방부를 뭘로 보시는지?[/quote:27b0ae9u]
ahavatar님이 인용한 제 글에 국방부란 단어는 없습니다.[/quote:27b0ae9u]

분명하게 국방부같은 보안을 중요시하는 기관에서 소스코드를 확인하고 컴파일해서 써야한다고 한 글에 댓글을 달았으니깐요.

앞으로는 상대방이 올린 글을 똑바로 읽고 댓글을 달기 바래요.

아무 관련도 없는 글이면 새로 쓰레드를 시작하는 글을 쓰던지 말이지요.

[quote="duck":3nndd6lz]논점을 잘못 파악하셨네요
국방부가 보안을 중요시하나 안하나에 대해서 글을 쓴게 아니라
소스코드를 확인하지 않고 컴파일해서 쓰나 그냥 바이너리쓰나
보안측면에서는 비슷한 상황이란걸 말한겁니다.

p.s. ahavatar님은 이상하게 말이 섞이면 자꾸 꼬리를 잡으시네요.
그냥 지금부터 대응 안하겠습니다. 앞으로는 편한데로 생각하세요.[/quote:3nndd6lz]

분위기 파악을 전혀 못하고 글을 올리는군요? 이 글타레 제일 처음 올라온 글부터 차근차근 읽어보세요. 보안이 중요한 국방부 같은 곳에서 소스를 확인하고 쓴다는 것의 중요점에 대해서 올라온 글이고, 제가 썼던 모든 댓글이 이렇게 보안에 대한 내용입니다.

그런데

[quote:3nndd6lz]
스포츠카를 타고 다니는 사람이 있는 반면 자전거 타고 다니는 사람도 있고 걸어다니는 사람도 있지요.
자기 PC성능이 좋다고 타인의 PC성능까지 좋을거라 넘겨 짚으신것 같네요.
[/quote:3nndd6lz]

이런 무슨 자다가 봉창 두들기는 댓글을 쓴건 댁입니다.

리버스엔지니어링에 능한 해커들 능력을 과소 평가하시는 듯. 과거에 WGA나 IE 업데이트 따위에 MS가 사악한 짓을 했다는 건 소스같은 거 없어도 해커들이 하루만에 밝혀냈지만 무슨 정보기관이 백도어를 넣었다는 음모론은 실제로 밝혀진 적이 없습니다.

윈도우에 백도어 있다면 이미 밝혀내도 수백번 밝혀냈습니다. 소스가 있다 없다의 차이는 밝혀내는데 시간과 노력이 얼마나 더 필요하냐 차이일 뿐 밝혀낼 수 없게 만드는 요인은 아닙니다.

[quote="chahoolee":2pqvuoce]리버스엔지니어링에 능한 해커들 능력을 과소 평가하시는 듯. 과거에 WGA나 IE 업데이트 따위에 MS가 사악한 짓을 했다는 건 소스같은 거 없어도 해커들이 하루만에 밝혀냈지만 무슨 정보기관이 백도어를 넣었다는 음모론은 실제로 밝혀진 적이 없습니다.

윈도우에 백도어 있다면 이미 밝혀내도 수백번 밝혀냈습니다. 소스가 있다 없다의 차이는 밝혀내는데 시간과 노력이 얼마나 더 필요하냐 차이일 뿐 밝혀낼 수 없게 만드는 요인은 아닙니다.[/quote:2pqvuoce]

해커의 능력을 과대평가하는듯한데 암호화 기술에 백도어 넣은거 소스가 없으면 못찾습니다. 기껏해야 버퍼 오버플로우 같은 프로그램 버그를 악용하는거하고 차원이 다릅니다.

아 네.

예전에 잠겼던 글도 이제 풀렸는데 한마디 써 보시는 건 어떨지.