제목 : MS IIS 죽이기: 보안, 성능 모두 최악?
글번호:
|
|
31
|
작성자:
|
|
Gordon Benett
|
작성일:
|
|
2001/11/12 오후 11:54:00
|
조회수:
|
|
4806
|
오래 전 일이지만, 지난 9월 11일 뉴욕에서 비행기 충돌 테러가 있었을 때 사람들 사이에 다음과 같은 논쟁이 일었다. 과연 이 무너진 무역 센터 건물을 다시 지어야 하느냐는 것이었다.
‘당연히 무너진 건물을 대체할 또 다른 건물을 지어야 한다’는 사람도 있었고, ‘그 자리를 싹 밀어 버리고 테러 희생자들을 추모하기 위한 공원으로 만들어야 한다’는 의견도 있었다.
이들 중 흥미로운 주장이 하나 있었는데, “더 크면 클수록, 더욱 무참히 무너진다”라는 내용이었다. 이들의 견해인 즉, 성공한 존재일수록 몸을 낮춰야지 그렇지 않았다간 변을 당한다는 것였다.
진짜 나쁜 사람들은 건물에 테러를 감행한 이들이건만, 이들의 논리는 이 건물을 지은 사람에게도 잘못이 있다는 것이었다. 하지만 건물을 모두 똑 같은 크기로 올망졸망하게 짓건 말건 그건 건물주와 도시 계획 담당자의 자유다. 사실 테러를 당하지 않으려면 몸을 바짝 낮추라는 주장은 전체적인 토론 분위기에 벗어나는 주제일 뿐이었다.
MS, 바이러스를 자초했다?
무역 센터 테러 사태 전후로 발생한 코드 레드와 님다 바이러스 사건 때에도 이렇게 ‘주제를 벗어난 주장’이 드세게 일었다. 8월의 코드 레드, 9월의 님다 바이러스가 마이크로소프트의 인터넷 인포메이션 서버(Internet Information Server: IIS)를 덮친 뒤, 어느 유명 IT 전문가는 IIS의 허약한 보안 체계를 지적하며 기업들은 이제 MS 웹 서버를 다른 업체 제품으로 대체해야 한다고 주장했다. 이 전문가가 추천한 대체 웹 서버는 선 마이크로시스템(Sun Microsystems)의 아이플래닛 웹 서버(iPlanet Web Server)였다. 이 기사가 발표된 후 Sun은 즉각 이 기사의 전문을 자사의 아이플래닛 웹 사이트에 게재했고, 이때부터 Sun은 더욱 적극적으로 반 MS 서버 공세에 나설 수 있었다.
IIS를 바꿔버리자는 이 전문가의 주장은 논지가 박약할 뿐더러 근본적으로 잘못된 것이다. IIS를 노린 바이러스에 당했다고 MS의 제품은 더 이상 구입해선 안 된다는 논리는 다음과 같은 논리와 일맥상통한다.
“뉴욕에서 지갑을 도둑 맞았다고? 그러길래 왜 뉴욕 시내를 걸어 다니고 그러니?”
“강간을 당했다고? 그런 옷을 입고 다니니까 그런 일이 나는 거 아냐.”
범죄가 발생하면 응당 피해자를 위로해 주고 범죄자를 처결해야 하는 법이다. 그러나 인터넷에서 범죄가 일어나면 기이하게도 그 범죄에 관련된 누군가를 희생양으로 삼으려 한다.
사이버 공간에서 일어나는 범죄는 단지 특정 기업의 제품이나 서비스에만 국한되는 것이 아니다. 사이버 범죄는 인터넷이라는 자유로운 통신 공간, 그리고 인터넷 비즈니스의 신뢰에 해를 끼치는 존재로 이해돼야 한다.
거짓말, 새빨간 거짓말, 그리고 통계
MS가 보안 허점에 가장 큰 책임이 있다는 주장은 여러 조사 결과에 의해 허위로 판명되고 있다. 지난 몇 년간 SANS 보안 연구소에서 조사한 “톱 10 인터넷 보안 위협 보고서(top ten Internet security threats)”를 살펴보자. 이 보고서는 유닉스와 윈도 시스템의 보안 상태를 비교 체크하는 조사로 알려져 있다. 이 보고서의 통계에 따르면, 10개의 보안 위협 중 9개는 유닉스 환경에서 일어나는 것으로 나타났다.
말하자면, 인터넷 보안 위협은 주로 IIS가 아닌 유닉스 시스템과 유닉스 관련 소프트웨어에서 발생하고 있다는 것이다. 그렇다고 MS의 시스템이 안전하다는 말은 결코 아니다. SANS에도 역시 윈도 소프트웨어의 보안 결함 기사들이 무수히 많이 저장돼 있다. 요지인 즉, 더 넓게 바라본다면 보안 결함에 대해 MS만 탓할 것이 아니라는 것이다.
SANS이 MS의 사주를 받은 기관으로 의심하는 사람들도 있을 테지만, SANS은 상업적인 목적이 없는, 기업으로부터 완전한 중립을 지키는 보안 연구소다. SANS를 잘 모른다면, 좀더 유명한 공공 기관이 발표한 보고서를 살펴보도록 하자.
FBI의 국가 기반 보호 센터(National Infrastructure Protection Center: NIPC)는 최근 새로운 종류의 DDoS(Distributed Denial of Service) 해킹에 대한 보고서를 발표했다. 이 보고에 따르면 DDoS 해킹의 주 공격 대상은 Sun의 RPC 쪽인 것으로 밝혀졌다. 특히 2000년 5월에 발표된 NIPC의 추가 DDoS 공격 보고서에 따르면 리눅스와 유닉스 컴퓨터에서도 상당히 많은 DDoS 공격이 있었던 것으로 나타났다.
그러나 이런 통계 수치만 갖고 모든 유닉스나 Sun 소프트웨어를 윈도 시스템으로 바꿔야 한다는 주장을 한다면 비웃음만 사기 십상이다.
코드 레드와 님다 바이러스는 어떨까? 이런 악질적인 웜들은 오직 MS가 만든 소프트웨어에서만 활동하고 있는 것일까? 결코 그렇지 않다. 카네기 멜론 대학의 유명 보안 단체, CERT에 따르면, “웜과 같은 자동화된 시스템 공격은 전통적으로 유닉스 기반 OS의 보안 결함에서 더욱 기승을 부려왔다”고.
실례로 올해 8월 코드 레드가 윈도 컴퓨터에서 기승을 부리는 동안, 유닉스 시스템의 FreeBSD, 선 솔라리스(Sun Solaris), IBM AIX, 그리고 리눅스 여러 버전에서 버퍼 오버플로우(buffer overflow) 결함을 노린 x.c 웜이 활동한 바 있다.
각 시스템마다 일어나는 보안 결함과 해킹 사례를 일일이 열거하자면 끝도 없다. 각 시스템 간에 보안 결함을 세세히 비교하는 것 자체가 무의미한 짓일 뿐이다. 인간이 만든 모든 종류의 프로그램에는 버그가 존재하기 마련이다. 가장 간단한 종류의 소프트웨어에도 버그가 존재하는데 하물며 기업에서 사용하는 대단위 웹 서버 소프트웨어야 더 말할 필요도 없지 않겠는가.
더 크고 널리 알려져 있을수록, 사용자가 더 많을수록, 그 소프트웨어에 대한 공격은 더욱 거세지기 마련이다. 그리고 이런 식의 보안 유린은 앞으로 더욱 기승을 부릴 것이 불보듯 뻔하다.
보안 관련 재난이 발생했을 때, 전문가들은 그 재난의 피해를 책임질 희생양을 찾아선 안 된다. 전문가들은 해킹과 바이러스의 피해가 더욱 극심할수록 보안에 대한 인식을 높이고 근본적인 대책을 마련할 수 있는 쪽으로 사람들의 관심을 유도해야 한다.
보안 피해가 발생한 뒤에 단순히 ‘분노의 대상’을 찾는 행위는 결코 건설적이지 못하다. 정작 비난을 받고, 분노의 대상이 되야 할 사람은 ‘희생양 게임’을 통해 특정 업체의 이익을 대변하려는 자들이다.