얼마 전, 파일 압축 라이브러리인 xz/liblzma의 최신 버전에서 백도어가 발견되어 오픈 소스 커뮤니티가 발칵 뒤집힘

이 라이브러리는 높은 압축율 덕에 리눅스 생태계에선 안쓰이는 곳이 없을 정도로 중요한 라이브러리인데,

하필 그런 라이브러리에서 백도어가 발견되었으니...

게다가 이 백도어는 다름아닌 xz의 프로젝트 관리자(!)가 심은 것으로 밝혀졌음

처음엔 다들 관리자의 일탈이라고 생각했는데, 사실은 이렇게 된 내막이 좀 있다...

때는 2005년, Tukaani라는 리눅스 배포판 프로젝트가 태동했는데
xz는 본디 이 프로젝트의 배포판을 압축하기 위해 만들어진 알고리즘이었음

Tukaani는 오래 가진 못했지만 xz는 기존 압축 알고리즘대비 상당히 고효율이었기에
Tukaani는 쓰지 않아도 xz는 너도 나도 쓰길 원했음
그래서 xz는 따로 독립된 프로젝트가 되어 배포되었다.

(Lasse Collin, 프로젝트 핵심 멤버)

에잉... 원래 만들던 배포판은 별로 인기가 없네
그래도 xz 하나만큼은 다들 좋다고 하니까 이거 독립시켜야겠다.

잘 되가냐, 콜린?

아무래도 나는 여기까지만 고치고 관리자는 그만둬야겠다...

헉... 야 안돼!!
너 나가면 이제 나만 남는데 혼자서 관리하라구??

그래도 어떡하냐... 현생부터 챙겨야지...
이게 오픈소스의 숙명이라고 생각해

아... 안돼... ㅠㅠ

프로젝트를 콜린 혼자 관리하게 되면서, 콜린이 해야할 업무는 가중되었다.
 다행인 점은 그래도 xz 프로젝트는 콜린 혼자 관리함에도 무탈하게 잘 운영되었다는 점.

그러나 2021년 겨울 즈음, 한 기여자가 등장하면서, 사건은 시작되었다.

Jia Tan이라는 이 기여자는 처음엔 평범하게 쓸만한 코드들을 추가하면서,

프로젝트의 유일한 관리자인 콜린에게 메일을 보내 접근했다.

(Jia Tan)

콜린씨, 이런 코드 어떤가요?

오 괜찮네요 ㅎㅎ Jia씨가 요즘 기여해주시는게 많네요

앞으로도 많은 참여 부탁드려용

Jia님이 저렇게 열심히 해주시는데
프로젝트 관리에 참여시켜도 되겠는걸?

나도 내 일이 있으니 내가 저분 기여하는 내용 일일히 확인하기엔 벅차고...

의욕적으로 프로젝트에 참여하는 Jia Tan.

그러나 콜린이 Jia의 모든 기여 내역을 일일히 확인하고 반영하기엔 너무 바쁜 몸이었다.
결국 Jia Tan의 기여는 점점 쌓이게 되는데, 여기서부터 문제가 터진다

(Jigar Kumar, 지나가던 기여자 1)

아니 Jia가 제출한거 언제 확인함? 관리자 자냐?

(Dennis Ens, 지나가던 기여자 2)

이러니까 프로젝트가 백날천날 발전이 없지 ㅋㅋㅋ

아니 나도 할건 하고 살아야죠;;

너무 재촉하지 마세요

프로젝트 유기했다느니 자냐느니 말들이 심하네 너무

그러게요, 저는 천천히 해도 상관 없는데...

이왕 이렇게 된거, 그냥 Jia님 관리자 권한 드릴게요

앞으로도 잘해봅시다

Jia가 기여를 시작한지 5개월쯤 되던 무렵, 콜린에게 압박을 가하는 사용자들이 나타나기 시작한 것.

장기간의 프로젝트 관리와 지속되는 압박에 콜린은 결국 Jia Tan을 관리자로 합류시킨다.

이후 2년간, Jia Tan은 평범하게 프로젝트를 관리했고

콜린도 이에 만족하며 휴가를 계획하던 2024년 1월...

xz 새 버전 나왔어요 다들 업데이트 하세요~

(다른 리눅스 배포판 유저들)

아니 님 이거 버그 뱉는데요? 뭔가 건드리심?

그럴리가 없는데~ 패치 했음

다시 받아보세용 츄라이 츄라이

왜 이렇게 업데이트 하라고 강권하는겨...?

(이 시점에서, Jia Tan은 다른 배포판에 '버그 해결을 위해 xz 최신판을 사용하라'고 권하고 다녔다)

대체 뭘 바꿨길래 오작동 하는거야? 뭔가 이상한데...

(Andres Freund, 백도어 최초 발견자)

헉!! 님들 이거 백도어에요 받지 말아요!!!
데비안이나 레드헷... 이미 업데이트 한 곳들 많은데 큰일났다!!!

??? 백도어라구??? Jia님 이게 어떻게 된거에요?

Jia님?? 연락이 안되네??? 잠수탄겨???

망했다... 내 휴가 ㅠㅠ

그렇다. Jia Tan은 악의적인 목적을 가지고 접근한 '공격자'였고,

프로젝트에 기여하면서 차근차근 콜린의 신뢰를 쌓아 권리자 권한을 획득,

이를 통해 차근차근 백도어를 만들고 배포한 것이었다.

게다가 충격적인 것은 콜린의 신뢰를 사면서도, 콜린이 자신을 관리자로 지명하도록

익명의 계정으로 압박을 가해왔다는 것.

Jigar Kumar, Dennis Ens 등 사건에 깊게 개입된 사용자들은 xz 커뮤니티를 제외하곤 인터넷 어디서도 찾을 수 없었고,

같은 작명법에, gmail이나 프로톤 메일 등 만들기 쉬운 메일 서비스를 사용하고 있었다.

모두 Jia Tan이 악의적인 목적으로 만든 계정이라는 것이 확실해진 상황.

공격자는 프로젝트 관리자의 피로감과 신뢰를 악용한 것이었다.

백도어가 발견 된 이후 데비안, 레드햇 등 최신버전의 xz 라이브러리가 적용된 배포판은 배포 중단되었고,

공격의 여파가 더 없는지 분석중이다.

원 프로젝트 관리자인 Lasse Collin은 휴가 기간 전체를 이 문제를 해결하는 데 쓸 수밖에 없었고,

xz 라이브러리를 사용하는 수 없이 많은 코드들이 보안 패치를 해야만 했다...

"오픈 소스 프로젝트 관리자의 번아웃은 분명하게 실존하는 보안 위협이다.

우리는 얼마나 이 문제에 대비되어 있는가?"

                            - 한 트위터 유저, 이 사건에 대한 촌평