SW 보안전문가-개발사 갈등

　SW의 보안 결함을 찾아내는 보안 연구자들과 SW업체들이 추가 정보 제공 및 대우 등을 놓고 SW업체들과 논쟁을 벌이고 있다.

　C넷에 따르면 보안 연구자들이 SW업체들에 자신들이 보고한 결함을 어떻게 수정하려고 하는지 더 많은 정보를 말해 줄 것을 요구하고 있다.

　예전 보안 연구자들은 발견한 보안 결함의 세부내용에 대해 수정이 가능한지 여부는 무시한 채 메일링 리스트나 보안 웹사이트에 공개했지만, 최근에는 문제가 발견된 SW의 개발사에 연락해 결함의 세부내용을 제공하는 절차를 따른다. SW 업체들이 결함을 수정할 패치가 준비되기까지 결함의 세부내용이 공개되지 않기를 바라기 때문이다.

　그러나 일부 보안 연구자들은 자신들의 행동이 제대로 대우받지 못하고 있다고 느낀다. 대부분은 SW업체로부터 자신들이 하는 일에 대해 거의 존중받지 못한다고 말한다.

　침입차단시스템 업체인 ‘티핑포인트’의 테리 포슬로프 보안대응관리자는 “SW업체들이 제품을 안전하게 만들도록 도왔는데도 친절한 대화를 나누지 못하는 것은 나를 너무 좌절시킨다”고 말했다. 이달초 열린 블랙 햇 보안 콘퍼런스 참석자들도 비슷한 의견을 내놨다.

　폴 프록터 가트너 분석가는 “보안 연구자들과 SW업체들이 그 어느 때보다 서로 잘 협조하고 있지만, 많은 기업들은 보안 연구자들을 대우하는 더 나은 절차를 갖춰야 한다”고 지적했다.

　한편 SW업체들이 외부 보안 연구자들을 대하는 방법은 다르다. 시스코시스템스의 존 스튜어트 최고보안책임자(CSO)에 따르면 마이크로소프트는 외부 보안 연구자들과 협력할 필요성을 수용하고 있고, 시스코는 보안 연구자들에게 화를 내는 데서 수용 단계로 옮겨가고 있으며, 오라클은 거부에서 화를 내는 단계로 바뀌고 있다.

　전문가들은 SW업체들이 보안 결함을 제공하는 연구자들과 상호작용을 위한 협약을 마련하지 않을 경우 SW 결함에 대해 책임있는 발표를 해 온 그간의 프로세스를 잃어버릴 수도 있다고 지적했다.

　정소영기자@전자신문, syjung@