구글이 지난달 안드로이드용 게임 '포트나이트' 앱의 보안취약점을 찾아 개발업체에 조치를 유도했는데, 그 방식이 부적절했다. 문제를 인지한 개발업체에서 '패치를 만들었다'고 밝힌지 일주일만에 세부내용을 인터넷에 공개해버린 것이다. 개발업체 '에픽게임즈' 측은 게임 이용자들이 패치로 취약점을 해결한 앱의 업데이트를 적용하려면 시간 여유가 필요하니 석달을 기다려달라고 요청했지만, 구글은 무시했다.
무슨 일이 벌어졌고 그게 무슨 의미인지 다시 찬찬히 살펴 보자. 일단, 구글은 '이슈 트래커(Google Issue Tracker)'라는 웹사이트를 운영한다. 이슈 트래커는 구글에서 웹 및 클라우드 서비스 제품을 개발하는 동안 버그를 추적하거나 기능을 요청할 목적으로 만든 일종의 내부 포럼이다. 구글 직원이 자체 제품이나 타사 제품에서 보안취약점을 찾아 올리고 그 개발담당자에게 정보를 제공해 해결되도록 할 수 있다.
이런 이슈 트래커에 한 구글 직원이 지난 8월 15일 뭔가를 올렸다. 그가 에픽게임즈에서 배포한 포트나이트 인스톨러(설치프로그램)에서 찾아낸 보안취약점 정보다. 인스톨러의 버그를 악용하면, 그걸 실행한 이용자의 안드로이드 기기에 가짜 앱(APK)을 설치할 수 있었다. 기기 이용자에겐 자신도 모르게 안드로이드 기기에 에픽게임즈의 게임 파일로 위장한 악성 파일이 설치돼 실행될 수 있는 위험이 발생했다.
구글 직원이 이슈 트래커에 이런 포트나이트 인스톨러 버그를 제보하고 41MB 용량의 버그 악용 시연 영상도 친절하게 첨부했다. 에픽게임즈 보안팀은 제보 당일 해당 버그를 확인했고, 8월 17일에 인스톨러의 버그를 해결했다. 제보 이틀만의 패치는 꽤 빠른 대응이다. 다만 완전히 문제가 해결된 건 아니었다. 이제 버그를 품은 인스톨러를 설치한 이용자들이, 패치된 인스톨러 최신 버전을 새로 내려받아야 했다.
에픽게임즈 직원은 8월 17일 구글 직원에게 버그를 패치한 인스톨러 업데이트를 만들었다고 알렸다. 인스톨러 새 버전에 또 문제가 있는지 알려 주면 곧바로 해결하겠다고 밝혔다. 그리고 한가지 부탁을 보탰다. 기기에 버그를 품은 인스톨러를 설치한 상태로 공격에 노출된 이용자들이 새 인스톨러를 설치해 안전해질 때까지 보안취약점 공개를 늦춰 달라는, 최장 비공개 시한인 '90일'을 기다려달라는 요청이었다.
이슈 트래커 제보와 피드백은 비공개로 진행된다. 구글의 제보 당사자와 그에 대응해야 하는 개발업체만 볼 수 있다. 인터넷에 바로 노출되면 불특정 범죄자들이 취약점을 악용할 위험이 커져서다. 하지만 비공개는 시한부다. 90일이 지나면 누구나 제보 및 대응 이력을 볼 수 있다. 제품 개발업체가 망신을 피하고 이용자를 보호하려면 그 안에 패치를 배포해야 한다. 일정기간 후 제보 공개 정책은 그 유인책이다.
에픽게임즈는 패치를 이틀만에 만들었지만, 실제 이용자들에게 새 버전을 배포하려면 시간이 더 필요하다고 판단했다. 그래서 구글 직원에게 최장 비공개 시한인 90일을 채운 다음 공개해 달라고 요청한 것이다. 8월 25일이 되자 구글 직원이 답했다. "빠른 수정 고맙다"고. 그리고 "메일로 얘기했다시피 패치 버전이 나온지 '7일'이 지났으니까, 구글 표준 공개활동에 따라 외부 접근이 풀릴 거"라고. 즉 거절 통보였다.
결국 에픽게임즈의 포트나이트 인스톨러 버그 제보 이슈는 보안팀이 패치를 만들었다고 구글 측에 알린 뒤 7일이 지난 시점에 인터넷으로 누구나 열람할 수 있게 됐다. 80일을 더 기다렸다가 공개해 달라는 에픽게임즈의 요청은 거절당했다. 팀 스위니 에픽게임즈 최고경영자는 트위터를 통해 구글이 "값싼 홍보" 때문에 수많은 포트나이트 게임 이용자를 불필요한 위험에 빠뜨렸다고 공개적으로 비판했다.
구글의 타사 제품 보안취약점 공개 관련된 마찰 자체는 새로운 일이 아니다. 이슈 트래커와 별개로 타사 제품의 제로데이 보안취약점을 찾고 발표하는 '프로젝트제로' 팀이 마이크로소프트와 애플 등의 운영체제(OS) 및 웹브라우저 보안취약점 정보를 패치 배포 전에 공개해 수차례 반발을 샀다. 구글도 2015년부터 90일 공개 방침을 무조건 고집하지 않는다. 정기 패치 일정을 고려한 14일 유예기간을 두게 됐다.
이번 구글의 조치에선 그런 참을성을 찾아볼 수 없었다. 구글 직원은 포트나이트 인스톨러 보안취약점 이슈 공개 결정의 근거로 '구글의 표준 (취약점 정보) 공개활동'을 언급했다. 구글 애플리케이션 보안 웹페이지의 '구글 보안취약점 공개 정책(Google's vulnerability disclosure policy)'에 그 비슷한 얘기가 나온다. 하지만 이 내용을 봐도, 에픽게임즈의 요청을 무시한 정보 공개가 꼭 필요한 조치였다고 보기 어렵다.
구글의 보안취약점 공개 정책을 일부 한국어로 옮기면 이렇다. "우리는 취약점을 (발견한) 즉시 개발업체에 알리고, 90일이 지나면, 또는 개발업체가 수정판을 배포하면, 외부 보안 커뮤니티에 세부 내용을 공유한다." 즉 원칙은 패치가 이뤄지든 말든 90일 후 공개인데 그보다 일찍 패치가 만들어진 걸로 확인되면 공개 시점이 더 앞당겨진다는 것으로 해석된다. 하지만 패치 배포 후 '7일'만에 공개한다는 근거는 없다.
결국 구글 직원의 포트나이트 인스톨러 버그 처리 방식은 에픽게임즈의 반발을 자초한 측면이 있다. 에픽게임즈 측이 보안취약점에 내 알 바 아니라는 식으로 나온 것도 아니고, 부지런히 패치를 준비하면서 원칙적 비공개 시한인 90일을 기다려 달라는 요청을 했는데, 뚜렷한 근거도 없이 서둘러 공개한 셈이기 때문이다. 구글플레이 생태계를 이탈해 포트나이트를 자체 배포한 것에 '앙값음'했다는 의혹만 샀다.
구글이 '7일'을 기준으로 보안취약점 정보를 공개하는 경우는 따로 있다. 패치나 별다른 대책이 없어 '시급한 조치(urgent action)'를 요할 경우다. 게다가 오히려 90일을 넘긴 개발업체에 추가로 14일의 유예를 적용하는 상황도 있다. 개발업체가 90일을 넘겼지만 그후 이어지는 14일 안에 돌아오는 '정기 패치 일정'을 통해 패치를 배포할 경우다. 그럼 구글은 그 패치 배포 당일까지 취약점정보 공개를 미뤄 준다고 한다.
관련기사
- "보안취약점 신고포상제, SW→서비스로 확대돼야"2018.09.16
- "구글은 사이버보안 회사"2018.09.16
- 김석환 KISA 원장 "KISA 뚫는 해킹대회 열겠다"2018.09.16
- 한국SW 보안취약점, 전세계서 알아본다2018.09.16
구글이 앞으로 타사 제품 보안취약점을 처리할 때 이번처럼 나오면 되레 반발이 커질 수 있다. 제품 개발업체는 협조적으로 대응해봐야 소용 없으니 오히려 버그를 인정하지 않거나, 내부에선 패치를 준비하더라도 그걸 구글에 숨긴 채 시간을 끌려 할 것이다. 에픽게임즈처럼 제보된 취약점을 바로 인정하고 부지런히 패치해 봤자, 그 배포 시간을 벌 수도 없고, 이용자 불만을 누그러뜨릴 수도 없기 때문이다.
과거 구글이 타사 OS나 브라우저 패치 전 취약점을 공개할 땐 90일의 시한을 넘겼다는 명분이라도 있었다. 이번엔 그렇지도 않았다. 취약점 공개시한이 120일인 '제로데이이니셔티브(ZDI)'는 패치 여부를 기준삼아 공개를 서두르지 않는다. 패치 배포 1주일만에 취약점을 공개한다는 구글 측 정책의 근거도 불분명하다. 구글엔 이를 정당화할 논리가 아니라 앞으로 타사의 협력을 이끌어낼 수 있는 참을성이 필요했다.
