SW결함 즉각공개 않기로

　소프트웨어(SW)에 결함이 발견됐을 때 SW 제조업체가 보안패치를 만들 수 있도록 30일간의 여유를 주는 것을 골자로 하는 SW 결함 공개요령이 제정됐다.

　보안 및 소프트웨어 관련 업체들이 참여한 ‘안전한 인터넷을 위한 모임’(OIS:Organization for Internet Safety)은 최근 SW에 결함이 발견된 경우 이에 대한 보안전문가들과 SW업체들의 공개 및 보고요령에 대한 표준지침을 제정했다.

　이 지침은 SW업체가 보안패치를 발표할 때까지 적어도 30일의 여유를 주고 이 기간에는 보안전문가들이 SW의 결함을 공개적으로 발표하지 않도록 했다. 또 SW의 취약점이 해커들의 공격에 악용될 것을 우려, 보안패치가 발표된 후 30일 동안은 SW 결함에 대한 자세한 사항을 밝히지 않도록 보안전문가들에게 당부했다.

　30일의 ‘유예’ 기간은 보안전문가들의 양보로 풀이된다. 그동안 많은 보안전문가들은 SW업체들이 제품 결함을 감추려 하고 보완작업도 서두르지 않는 점에 불만을 느껴 독자적으로 결함을 공개해 왔다. 특히 ‘소프트웨어 결함 공개 운동(open-disclosure movement)’에 참여한 연구자들은 결함을 인지하는 즉시 이를 대중에 공개했다.

　보안업체 ‘@스테이크’의 연구원이며 이 지침의 초안을 작성한 크리스 와이소펄은 “SW기업들의 대응 노력이 향상되는 등 상황이 바뀌어 결함의 즉각 공개가 바람직하지 않게 됐다”며 “기업들이 결함 보완 노력을 게을리하면 지침을 재검토할 것”이라고 밝혔다.

　한편 SW 결함의 공개 유보로 소수 고객들을 대상으로 보안정보를 제공하는 일부 보안업체들만 이득을 볼 것이라는 우려도 있다.

　OIS 참여사로는 시맨텍·SCO·오라클 등이 있으며 현재 70여건의 SW 결함이 이 지침에 의거해 보고됐다.

　<한세희기자 hahn@etnews.co.kr>