협력하는 취약점 공개

이번 주 레드먼드의 마이크로소프트 보안 관련 팀은 라스베이거스에서 열리는 블랙햇 2010에 대규모로 참가 중입니다. 마이크로소프트는 최근 5년간 이 행사의 플래티넘 스폰서였기도 하죠.

행사에 맞춰 마이크로소프트 보안 대응 센터(MSRC, Microsoft Security Response Center)는 몇 가지 발표를 했는데요, 그 중 “Coordinated Vulnerability Disclosure (CVD)”라는 게 있습니다. 한국어로는 뭐라고 번역하게 될까요? 예전에 responsible disclosure를 책임있는 공개라고 했으니 이번엔 다소 직역을 하자면 조화를 이루는 취약점 공개라고 해야 하나요. 여러 주체들이 노력해 “통합”된 취약점 공개라고 부를 수도 있겠습니다. 이전에 구글 직원이 마이크로소프트 제품의 취약점을 공개한 이후로 특히 많은 논의가 있었다고 합니다.

개념은 이렇습니다. 소프트웨어나 하드웨어, 서비스 등에서 새로 발견되는 취약점은 (1) 해당 제조 업체로 직접 보고되거나 (2) 업체로 직접 보고할 수 있는 CERT 또는 기타 기관으로 보고되거나 (3) 업체 측에 비공개로 보고할 가능성이 큰 특정인이나 단체로 보고됩니다. 취약점 발견자는 취약점 세부 사항이나 공격 방법을 대중에 공개하기 전에 제품의 공급업체가 패치를 만들거나 대안을 개발해 충분히 테스트할 수 있는 시간을 줍니다. 공격이 광범위하게 진행되려고 하면 발견자와 제품 공급업체가 함께 최대한 공동 대응해 고객이 시스템과 데이터를 보호할 수 있는 안내문과 기타 조치 사항을 신속하게 만들어 냅니다. 이 단계에서는 기존의 취약점 세부 사항은 완전히 공개될 수 있습니다.

어찌 보면 당연해 보이는 절차이기도 합니다. 또 책임있는 공개와 아주 많이 다를 것도 없습니다. 핵심은 coordination, 그리고 협력이지요. 지금까지 그렇지 못했던 수많은 제로데이 취약점 공개를 개선시키려는 노력이 효과를 거두게 되기를 희망합니다.