12/08/2009

취약점 공개에 대한 생각

몇일전 버그 트럭 메일링에 올렸던 글을 다시 올린다.
 
<여기서 부터 방백>
취약점 공개에 대한 저의 생각을 이야기해 보겠습니다.
 
합법의 테두리라는 확신이 들면 취약점 공표를 하든 팔든 상관 없을 것 같네요. 잘하면 자신이 그 과정에서 만든 툴이나 자료들을 보안 컨퍼런스에서도 발표할 수도 있구요.
 
한국에서는 취약점 발표하면 사회적인 지탄을 받는다는데 미국도 그렇습니다. 특히 타겟이 된 회사에서 정말로 싫어하죠. 그래서 그런 회사들이 정신을 차리고 마이크로소프트처럼 보안에 엄청난 투자를 하거나 아예 그러한 취약점을 발표해 대는 사람들을 자사로 영입해 버리거나(쥬니퍼) 합니다. eEye라는 회사가 취약점 찾기로 이름을 알린 케이스인데, 여기서 이름 날리던 애들 중 상당수가 그러한 자사 보안을 강화하고 싶어하는 기업들로 이직하여 열심히 살고 있습니다.
 
물론 자기가 그렇게 공개를 해서 기분 나빠하거나 자신과 적이 될 사람도 있다라는 것은 알고 행동하는 것이 좋겠지요. 미국은 땅덩어리가 넓어서 어디 길가다 자기때문에 회사에서 짤린 그 사람을 마주칠 일이 없지만, 한국은 땅덩어리가 좁으니 길가다 마주치면 한대 맞을지도 모르니까요. 그냥 미국으로 오셔서 취약점 발표 열심히 하고 숨어 지내는 것도 좋은 방법입니다.
 
<여기서 부터 독백>
결국 세상은 광야다. 누군가가 아니면 어떠한 신념이 자신을 법이든 타인으로부터 지켜 줄 것이라는 착각은 애초에 버리는 것이 좋을 것 같다. 세상은 불법에 대해서 가혹하다. 그 불법이 선의에서 나온 것이라 하더라도 말이다. 불법이 아니라도 공공에 대한 선의가 때때로는 소수에 대해서는 가혹한 시험을 줄 수도 있다.
 
선의를 아름답게 실현하기 위해서는 지혜라는 것이 필요하다.
 

댓글 없음:

댓글 쓰기