애플의 비난 받는 패치 행태

애플이 이번 DNS 이슈에서도 늦어진 패치로 인해서 욕을 먹고 있는듯 하다(Apple Still Has Not Patched the DNS Hole).

물론 일반 사용자도 문제이지만 더 큰 문제는 Mac OSX 서버의 패치이다. DNS 서버로 사용되고 있다면 모든 클라이언트들에 영향을 주므로 더더욱 시급한 문제이다. 이번 DNS 패치는 단지 소스포트 랜덤화만 구현하면 되기 때문에 기술적으로 크게 문제가 될 부분이 없어 보인다. 하지만 거의 3주가 다 되어 가는 시점에도 아직 애플의 패치가 나오지 않았다는 것은 의문이다.

iWoz에도 살짝 언급 되지만, 애플의 QA 프로세스는 엉망인듯 하다. 일반 사용자들도 이렇게 저렇게 유추하고 테스트해볼 수 있는 사안에 대해서 조차도 전혀 테스트를 하지 않는 경우도 있는 듯 하다. 애초 애플의 창립자였던 워즈니악은 맥용 “Internet Explorer”의 블루스크린 문제에 대해서 나름대로의 해법을 제시하면서 안타깝게 그러한 문제에 대해서 기술하고 있다.

eEye Digital Security사의 Marc Maiffret이 이미 오래전에 지적했듯이 마이크로소프트가 이미 지난 10여년간 행해 온 실수를 다른 회사들도 반복하고 있는 것으로 보인다. 코드 레드 웜등으로 보안과 관련해서는 수난기를 보내었던 마이크로소프트사는 초기에 자사 제품에서 아주 기초적인 보안 취약점들의 발견으로 인해서 많은 질타를 받았었다. 하지만 패치투스데이(Patch Tuesday)를 도입하여 매달 정기적으로 패치를 릴리즈하고, 그 권고문에 원 발견자에게 크레딧을 줌으로 인해서 더 많은 보안 취약점 연구자들이 자사 제품을 연구하도록 하는 효과를 가져 오게 되었다.

결국 자신의 문제를 인정하고, 그것을 적극적으로 고치려고 하는 자세가 마이크로소프트에 대한 비난의 시각을 바꾸게 만들었고, 이제는 적극적으로 보안 시장을 공략해 나가는 단게에까지 이르게 되었다. 자신의 문제를 제대로 본다면 자신의 문제만 해결하는 것이 아니라 덤으로 새로운 이득을 얻게 되는 경우도 생기는 것이다.

마이크로소프트보안과 관련해서 정반대의 행보를 보여 주는 회사가 있는데 바로 오라클사이다. 오라클데이타베이스 시장을 거의 점유하고 있는 정도의 회사로서 특히 한국에서의 영향력은 절대적이다. 하지만, 많은 보안 이슈들이 제기 되고 그를 이용한 실제로 익스플로잇이 나와도 오라클대응은 느리기 그지 없다. 1년씩 묵혀 두었다가 한번에 수백개의 보안 패치를 한꺼번에 올리기도 하고, 보안 연구자들에게 크레딧도 제대로 주지 않는 것으로 알려져 있고, 특히나 보안 연구자들의 취약점 보고에 대해서 침묵으로 일관한다는 소식이 있다.

최근 애플사 제품에 대한 보안 이슈들이 늘어 나고 있는데 이번을 기회로 애플사도 오라클이 아닌 마이크로소프트의 좋은 선례를 따라가기를 바란다.

4 thoughts on “애플의 비난 받는 패치 행태

  1. 애플 업데이트는 서버쪽 문제만 해결하고 클라이언트 쪽 문제는 아직 그대로 남아 있네요.

Leave a Reply