얼마 전, 파일 압축 라이브러리인 xz/liblzma의 최신 버전에서 백도어가 발견되어 오픈 소스 커뮤니티가 발칵 뒤집힘
이 라이브러리는 높은 압축율 덕에 리눅스 생태계에선 안쓰이는 곳이 없을 정도로 중요한 라이브러리인데,
하필 그런 라이브러리에서 백도어가 발견되었으니...
게다가 이 백도어는 다름아닌 xz의 프로젝트 관리자(!)가 심은 것으로 밝혀졌음
처음엔 다들 관리자의 일탈이라고 생각했는데, 사실은 이렇게 된 내막이 좀 있다...
때는 2005년, Tukaani라는 리눅스 배포판 프로젝트가 태동했는데
xz는 본디 이 프로젝트의 배포판을 압축하기 위해 만들어진 알고리즘이었음
Tukaani는 오래 가진 못했지만 xz는 기존 압축 알고리즘대비 상당히 고효율이었기에
Tukaani는 쓰지 않아도 xz는 너도 나도 쓰길 원했음
그래서 xz는 따로 독립된 프로젝트가 되어 배포되었다.
(Lasse Collin, 프로젝트 핵심 멤버)
에잉... 원래 만들던 배포판은 별로 인기가 없네
그래도 xz 하나만큼은 다들 좋다고 하니까 이거 독립시켜야겠다.
잘 되가냐, 콜린?
아무래도 나는 여기까지만 고치고 관리자는 그만둬야겠다...
헉... 야 안돼!!
너 나가면 이제 나만 남는데 혼자서 관리하라구??
그래도 어떡하냐... 현생부터 챙겨야지...
이게 오픈소스의 숙명이라고 생각해
아... 안돼... ㅠㅠ
프로젝트를 콜린 혼자 관리하게 되면서, 콜린이 해야할 업무는 가중되었다.
다행인 점은 그래도 xz 프로젝트는 콜린 혼자 관리함에도 무탈하게 잘 운영되었다는 점.
그러나 2021년 겨울 즈음, 한 기여자가 등장하면서, 사건은 시작되었다.
Jia Tan이라는 이 기여자는 처음엔 평범하게 쓸만한 코드들을 추가하면서,
프로젝트의 유일한 관리자인 콜린에게 메일을 보내 접근했다.
(Jia Tan)
콜린씨, 이런 코드 어떤가요?
오 괜찮네요 ㅎㅎ Jia씨가 요즘 기여해주시는게 많네요
앞으로도 많은 참여 부탁드려용
Jia님이 저렇게 열심히 해주시는데
프로젝트 관리에 참여시켜도 되겠는걸?
나도 내 일이 있으니 내가 저분 기여하는 내용 일일히 확인하기엔 벅차고...
의욕적으로 프로젝트에 참여하는 Jia Tan.
그러나 콜린이 Jia의 모든 기여 내역을 일일히 확인하고 반영하기엔 너무 바쁜 몸이었다.
결국 Jia Tan의 기여는 점점 쌓이게 되는데, 여기서부터 문제가 터진다
(Jigar Kumar, 지나가던 기여자 1)
아니 Jia가 제출한거 언제 확인함? 관리자 자냐?
(Dennis Ens, 지나가던 기여자 2)
이러니까 프로젝트가 백날천날 발전이 없지 ㅋㅋㅋ
아니 나도 할건 하고 살아야죠;;
너무 재촉하지 마세요
프로젝트 유기했다느니 자냐느니 말들이 심하네 너무
그러게요, 저는 천천히 해도 상관 없는데...
이왕 이렇게 된거, 그냥 Jia님 관리자 권한 드릴게요
앞으로도 잘해봅시다
Jia가 기여를 시작한지 5개월쯤 되던 무렵, 콜린에게 압박을 가하는 사용자들이 나타나기 시작한 것.
장기간의 프로젝트 관리와 지속되는 압박에 콜린은 결국 Jia Tan을 관리자로 합류시킨다.
이후 2년간, Jia Tan은 평범하게 프로젝트를 관리했고
콜린도 이에 만족하며 휴가를 계획하던 2024년 1월...
xz 새 버전 나왔어요 다들 업데이트 하세요~
(다른 리눅스 배포판 유저들)
아니 님 이거 버그 뱉는데요? 뭔가 건드리심?
그럴리가 없는데~ 패치 했음
다시 받아보세용 츄라이 츄라이
왜 이렇게 업데이트 하라고 강권하는겨...?
(이 시점에서, Jia Tan은 다른 배포판에 '버그 해결을 위해 xz 최신판을 사용하라'고 권하고 다녔다)
대체 뭘 바꿨길래 오작동 하는거야? 뭔가 이상한데...
(Andres Freund, 백도어 최초 발견자)
헉!! 님들 이거 백도어에요 받지 말아요!!!
데비안이나 레드헷... 이미 업데이트 한 곳들 많은데 큰일났다!!!
??? 백도어라구??? Jia님 이게 어떻게 된거에요?
Jia님?? 연락이 안되네??? 잠수탄겨???
망했다... 내 휴가 ㅠㅠ
그렇다. Jia Tan은 악의적인 목적을 가지고 접근한 '공격자'였고,
프로젝트에 기여하면서 차근차근 콜린의 신뢰를 쌓아 권리자 권한을 획득,
이를 통해 차근차근 백도어를 만들고 배포한 것이었다.
게다가 충격적인 것은 콜린의 신뢰를 사면서도, 콜린이 자신을 관리자로 지명하도록
익명의 계정으로 압박을 가해왔다는 것.
Jigar Kumar, Dennis Ens 등 사건에 깊게 개입된 사용자들은 xz 커뮤니티를 제외하곤 인터넷 어디서도 찾을 수 없었고,
같은 작명법에, gmail이나 프로톤 메일 등 만들기 쉬운 메일 서비스를 사용하고 있었다.
모두 Jia Tan이 악의적인 목적으로 만든 계정이라는 것이 확실해진 상황.
공격자는 프로젝트 관리자의 피로감과 신뢰를 악용한 것이었다.
백도어가 발견 된 이후 데비안, 레드햇 등 최신버전의 xz 라이브러리가 적용된 배포판은 배포 중단되었고,
공격의 여파가 더 없는지 분석중이다.
원 프로젝트 관리자인 Lasse Collin은 휴가 기간 전체를 이 문제를 해결하는 데 쓸 수밖에 없었고,
xz 라이브러리를 사용하는 수 없이 많은 코드들이 보안 패치를 해야만 했다...
"오픈 소스 프로젝트 관리자의 번아웃은 분명하게 실존하는 보안 위협이다.
우리는 얼마나 이 문제에 대비되어 있는가?"
- 한 트위터 유저, 이 사건에 대한 촌평
그러나 그 호의에 기댈 수 밖에 없는게 오픈소스...
보수 없는 인간의 호의에 기대면 안됨.
여기에 주목해야 할 점은 오픈소스 프로젝트였기 때문에 백도어를 발견했다는 것이다. 이게 상용 소프트웨어라면 소스를 볼 수 있는 권한을 가지고 있는 사람이 아니면 백도어 발견이 쉽지 않다.
백도어니까 뭐 북한 중국 러시아 셋 중 하나겠지
결국 모든 핵심작업은 사람이 하는 거라 보안도 휴먼 에러로 뜛리는 케이스가 제일 많음 이 경우도 그 취약점을 제대로 노린 케이스로구만
??? : 윈도우 쓰세요
이렇게 또 인간에 대한 신뢰는 사라져 가고..........
ㄷㄷㄷㄷㄷ
??? : 윈도우 쓰세요
우와 ㄷㄷ
저런 취약점? 백도어?는 암거래하면 얼마 정도에 팔림?
이용자의 수와 접근할 수 있는 정보의 차이에 따라 많이 다름
마이크로소프트 서버 중추로 접근하는 백도어면 막말로 북한 정도는 살 수 있을듯
보수 없는 인간의 호의에 기대면 안됨.
그러나 그 호의에 기댈 수 밖에 없는게 오픈소스...
하지만 현대 오픈소스 소프트웨어는 보수없는 호의를 기반으로 돌아가는걸
그리고 오픈소스 없으면 마소나 애플같은 일부 기업이 판을 다 먹는다는건데 it기반 현대사회에서 그건 사실상 왕정복고임 리눅스와 같은 무료 플랫폼에는 그만한 가치와 사상이 있음
보수가 있어도 신뢰를 어길 수 있음 보수는 단지 공급자 유인책이지 인간의 악의를 해결해주는 요소가 아님
보수 없는 인간의 호의로 수많은 사람들이 이루 말 할 수 없는 풍요를 누리며 살아가고 있음 GNU GPL 라이선스의 존재를 그렇게 일축해선 안 된다
오픈소스도 무보수라기에는 큰프로젝트는 다들 기업에서 고용한 인원을 중심으로 돌아가던데
이렇게 또 인간에 대한 신뢰는 사라져 가고..........
와 무슨 목적이였던거지?
M@ster!
백도어니까 뭐 북한 중국 러시아 셋 중 하나겠지
이런식으로 '나쁜일이 일어났으니 레드팀이 잘못한 걸거야'하는 건 사건 이해나 해결에 아무런 도움도 안되고 그저 혐오하기 위한 빌드업에 불과해
Nsa나 cia도 충분히 가능성 있음 ㅋㅋㅋㅋ
국적이야 얼마든지 조작 가능하겠지만 일단 Jia Tan의 출신으로 유력한 지역은 싱가포르임
이득을 위해 해킹을 하는건 색깔을 안가려
정말 나이브하구나. 미제 프리즘이나 국산 카카오 감청 맛도 좀 보쉴?
본명일지는 의문이지만 일단 Jia Tan이라는 이름은 중국계 이름인 듯. 국적이 중국인지는 알 수 없고...
오픈소스의 원대한 취지가!
와 이게 바로 내부공작이구나ㄷㄷㄷㄷ
ㅡㅡ....
결국 모든 핵심작업은 사람이 하는 거라 보안도 휴먼 에러로 뜛리는 케이스가 제일 많음 이 경우도 그 취약점을 제대로 노린 케이스로구만
가장 효과적인 해킹은 나 스스로 주딱이 되는것이다
대통령되기 ㅋㅋㅋㅋ
아니 이상한데…
이파수:ㅎㅎㅋㅋ
나라를 해처먹을려면 대통령되는게 제일좋지
결국 관리자가 사람이란걸 이용한 공격이네 너무 악질이다...
뭐가 있을지 모르는 시스템을 공격하는것보다 그 시스템을 관리하는 자를 공격하는것이 쉽다
코드 보안 자체를 어떻게 바로 하기는 빡시니까 약한 연결고리인 사람을 공략...... 대털 만화에서나 보던걸 현실에서 보네
재밌네
뭔가 디씨식으로 바꾸면 이용자 많은 디씨 마갤에 주딱이 혼자 관리하고 있다가 성실해보이는 사람 있어서 파딱 완장을 줬는데 주변 깡계들이 주딱 일 안 한다고 고나리질 해서 파딱을 주딱으로 바꿔줬는데 어느날 갑자기 그 넘겨받은 주딱이 게시판에 전술핵 테러해버린건가? 그리고 알고보니 고나리질하는 깡계는 파딱 부계정이었고?
빌어먹을, 동시에 돌리는 깡계가 160개는 되나보구나!
이그젝틀리
여기에 주목해야 할 점은 오픈소스 프로젝트였기 때문에 백도어를 발견했다는 것이다. 이게 상용 소프트웨어라면 소스를 볼 수 있는 권한을 가지고 있는 사람이 아니면 백도어 발견이 쉽지 않다.
애초에 분탕놈들 입사도 못하고 정상인 관리자가 생업으로 코드 들여다보니 미리미리 거를텐데
틱톡도 그런 의심을 받고 있고 중국 네트웍 장비들에서 백도어 발견된 거 모르심? 그리고 정상적인 회사라고 해서 관리자가 소스 코드 다 확인한다는 보장은 없음. 관리자가 바쁘고 일 잘하는 팀원이면 믿고 그냥 넘어가는 경우 충분히 있지 그걸 죄다 한줄한줄 보고 있는 관리자는 거의 없다고 봄.
틱톡은 설치한 사용자에게 백도어짓 의심되는거지 회사입장에선 정상적인 프로그램이잖음 ㅋㅋㅋㅋㅋㅋ 그리고 일잘하는 팀원이라 관리자가 믿고 맡기는거면 그 직원은 파딱급(부관리자)이란거지
이거 백도어 발견경위는 오픈소스라서라고 할순 없고, 누군가 마이크로커널 프로파일링 하다가 이상한 시스템 딜레이를 발견해서임 분석은 오픈소스라 쉬웠던건 맞지만, 발견경위는 그거아님
뭐.. 쉽지는 않지만 상용 소프트웨어라도 백도어는 유무는 발견됨..
역시 사람을 공격하는게 유효한 해킹방법이군
존나 테러리스트네
루리웹-9491699345
백도어 자체가 목적이었나봄
루리웹-9491699345
'악의적인 목적'은 보안계열에서 그냥 해킹을 말하는 거임
루리웹-9491699345
저렇게 다수의 거대 프로젝트들이 쓰는 라이브러리에 침투하면 어마어마하게 백도어를 설치할수있으니까
역시 보안 뚫는데는 고무호스 기법이군
'망했다 내휴가 ㅠㅠ'가 너무 슬프다
사람을 믿었던 대가...
아니 저걸 돈 안받고 한다고 ㅋㅋ
"It's also good to keep in mind that this is an unpaid hobby project." "이게 무급 취미 프로젝트란 것을 알아주셨으면 좋겠습니다." 콜린이 익명 계정들한테 압박당하고 있을때 반론을 위해 꺼낸 문장임... 너무 짠해
오픈 소스 생태는 기본 무급임. 기부 형식으로 아예 돈 안받는거도 아니지만 강제가 아니니까 기부액이 적어거 생계 유지도 힘든 사람들이 많음.
오픈 소스 프로젝트도 규모가 크면 기업들이 지원을 해주는데 저건 많이 쓰는 거에 비해서는 지원이 없었나 봄.
인간의 선의에 기반하는 공동체를 홀라당해먹으려고 멍청하게본건가
휴가를 잃어버린...
저거 MS 직원이 '왜 평소보다 0.5초 느리지?' 하면서 파보고 발견했다던데
와ㅋㅋㅋ
그래서 c++같은 레서시 언어의 오픈 소스 커뮤니티가 미래가 밝지 않다는 이야기를 함. c++를 잘하는 사람들은 현생이 바쁘기 때문에 프로젝트에 기여할 시간이 없음. 그렇다고 갓 일을 시작한 주니어가 기여하기에는 이미 프로그램이 너무 최적화되어 있거나 복잡해서 어려움. 애초에 컴파일 된다고 장 땡이 아니기 때문에 초보자가 쓴 코드를 리뷰하는 건 생산성도 떨어지고 결국 점점 관리자는 늙고 시간이 없는데, 새로 와서 관리나 기여할 사람이 점점 줄어든다는 문제지.
옛날에야 죄다 저수준 언어니까 어쩔 수 없었지만. 요즘에는 js나 go 등의 대안이 많아졌고. cli같은 분야도 이미 rust에 잡아먹힌지 오래니 말이지
C++은 스폰서하는 기업이 없어?
C++쓸 프로젝트는 러스트로 감 ㅋ
철통보안을 뚫는법 보안 만든 사람에게 구멍을 뚫는다
개발자 컨퍼런스 나가서 오픈소스 컨트리뷰터들 얘기 들어보는데 일단 깊숙히 관여하는 순간 자기 인생은 사라짐..
터허허.. 오픈소스 받아 쓰면 그거 가지고 재촉질 하지 좀 마라. 꼬우면 니가 만들어 좀.. 네이티브는 장식이냐. 저사람들도 짬내서 하는 걸텐데 그걸 못 참고 그러니 결국 저렇게 넘어가게 만들지.
문제는 이 경우 그 재촉질 하는 놈들이 공격자의 익명계정이었다는 것 분신술임 말 그대로
그렇긴 하지만 차후에도 저런 일 없게는 해야지.. 물론 오픈소스가 어느 정도는 되는 거라면 상관없는데 너무 그지같으면 해달라고는 하겠지만. 아니지 너무 그지같으면 걍 안 쓰지..
모두가 공격자의 익명계정은 아니겠지. 게임 모드나 유저번역에서도 존나 감놔라 배놔라 하는데
마인드 해킹이네 진짜
오픈소스 최대 단점이지. 윈도 프로그램도 이런게 없는건 아니지만 대체로 개인개발자가 아니라 기업에서 개발하는거는 관리자 되기 쉽지 않고 사고쳐도 저지른놈 신원이 어느정도 확보되서 추적이 가능한데 오픈소스는 기존에 쓰던 신뢰받는 어플도 프로젝트가 다른 사람에게 넘어가면 어떻게 될지를 모르는데 심지어 익명의 개인 개발자가 대부분이니...
오픈소스라서 잘 와닿지 않는다면 게임계에서는 무급 모드 제작자나 한국어화 하는 사람들이 있지
이상하다? 오픈소스는 아무나 건드려도 소스 공개만 하면 되는거 아닌가? 왜 수정하라고 압박을 하죠? 유료로 기술지원 해주는 프로젝트인가???
오픈 소스 프로젝트는 대부분 누구나 참여해서 수정할 수 있음. 근데 그렇다고 진짜 다 받아주면 안되니까 보통 관리자가 심사 및 병합을 하는데, 이것도 일인지라 사람이 피로할 수 밖에 없음
모든 리눅스 유저가 프로그래밍 지식이 있는게 아니거든. 지식이 있어도 대체로 오픈소스 진영에서 개발자가 만든거 자기컴에 적용하거나 약간 수정하는 정도의 기초적인거만 아는 사람들이 대부분임. 물론 다른 개발자가 가져가서 변형한거 푸는 경우도 있는데 그 경우는 결국 원본 어플의 하위호환으로 마이너로 남는 경우가 대부분. 애당초 리눅스나 오픈소수 어플이 지향하는게 개발자들만 쓰는 운영체제나 프로그램이 아니라 윈도나 맥같은 일반인에게도 접근성이 있는 범용성임. 그런 의미에서 개인 PC용 버전들이 나오는거고.
거기에 아무나 소스 지원한다고 다 무지성으로 적용하는 식으로 돌아가면 프로그램 자체가 쓸데없는 기능이 많아져 무겁고 버그도 많은 못쓰는 물건이 됨 그래서 소스 공개는 하되, 기본 개발자가 기여한 부분을 선택해 적용하는 관리는 필요함.
한글 번역패치 내놓으면 저작권 드립치면서 신고한다는 인간들도 널렸는디 뭘 ㅋㅋㅋㅋ
애니자막도 안만들어준다고 협박하는 ㅂㅅ이 있으니까 저기도 ㅂㅅ은 많겠지
누군가는 검증하고 리뷰해야 하니까요
역시.... 고마운 사람에게는 돈으로 큰 도움을 주자
저 백도어 발견한게 발결한 마소 직원이었는데.. ssh접속이 0.5 초 느려져서 였던가 그랬던걸로..
좀더 자세한 타임라인은 https://news.hada.io/topic?id=14122 여기서
어쩐지 리눅스 쓰는데 얼마 전에 패키지 관리자에 critial 패치라면서 패키지 관리자 켜자마자 아무 것도 안 했는데 업데이트 항목으로 liblzma 자동 선택되더라고 하필 변경 사항에도 restore a bigger version number so that update. works 라고만 써놔서 검색하려다 귀찮아서 말았었는데 ㅋㅋ; 핫픽스 이전에 업데이트 기록이 몇 달간 없던 거 봐선 지금 쓰는 배포판은 백도어 영향은 없었지만 직접 빌드했거나 공식 저장소가 아닌 곳에서 설치한 경우 때문에 업데이트 한 거라 저렇게 써놨나봐
와 아니네 cve 문서 보니까 해당하는 os에 있네 소오름ㄷㄷㄷ 변경 사항은 revert 기록말살형 당해서 없나봐...
Blender 쓰다보면 종종 지원끊긴 애드온 발견하게되는데 저런 케이스겠다싶음.
저 개1새끼 댓가가 치뤄졌으면 좋겠네
저거보고 따라할것들이 우후죽순으로 나타날텐데. 큰일이네
난 개발자 인생 17년 동안 zx라는 압축 프로그램 첨 들어봄. 왜 7-zip 같은 거 안 씀?
프로그램이 아니라 알고리즘 라이브러리임 xz/liblzma 리눅스 계열에선 엄청 쓰임
왜 못들어 봤냐면 xz이기 때문에
아예 리눅스 생태계에 관심 없으면 모를만 하지
개발자 인생 17년이 라이브러리가 뭔지도 모름? ㅋㅋㅋㅋㅋㅋㅋㅋㅋ
17년동안 tar xzvf 한번 안해봤음?
본문을 어렵게 쓴것도 아니고 것도 맨 첫줄에 압축 라이브러리라고 적어놨는데 개발자 맞긴 함? ㅋㅋㅋ
개발자면 못 들어볼 수가 없는건데
아카이브 된 로그 확인할떄도 무심코 쓰는게 xzcat인데.... 압축 관련해서 xz라이브러리 안쓰는데가 과연 있긴 한가..
이래서 짱■들이문제임
밑도 끝도 없이 특정 국가나 인종으로 결론 지어서 멸칭부터 박고보는 이런 것들이 문제임