얼마 전, 파일 압축 라이브러리인 xz/liblzma의 최신 버전에서 백도어가 발견되어 오픈 소스 커뮤니티가 발칵 뒤집힘
이 라이브러리는 높은 압축율 덕에 리눅스 생태계에선 안쓰이는 곳이 없을 정도로 중요한 라이브러리인데,
하필 그런 라이브러리에서 백도어가 발견되었으니...
게다가 이 백도어는 다름아닌 xz의 프로젝트 관리자(!)가 심은 것으로 밝혀졌음
처음엔 다들 관리자의 일탈이라고 생각했는데, 사실은 이렇게 된 내막이 좀 있다...
때는 2005년, Tukaani라는 리눅스 배포판 프로젝트가 태동했는데
xz는 본디 이 프로젝트의 배포판을 압축하기 위해 만들어진 알고리즘이었음
Tukaani는 오래 가진 못했지만 xz는 기존 압축 알고리즘대비 상당히 고효율이었기에
Tukaani는 쓰지 않아도 xz는 너도 나도 쓰길 원했음
그래서 xz는 따로 독립된 프로젝트가 되어 배포되었다.
(Lasse Collin, 프로젝트 핵심 멤버)
에잉... 원래 만들던 배포판은 별로 인기가 없네
그래도 xz 하나만큼은 다들 좋다고 하니까 이거 독립시켜야겠다.
잘 되가냐, 콜린?
아무래도 나는 여기까지만 고치고 관리자는 그만둬야겠다...
헉... 야 안돼!!
너 나가면 이제 나만 남는데 혼자서 관리하라구??
그래도 어떡하냐... 현생부터 챙겨야지...
이게 오픈소스의 숙명이라고 생각해
아... 안돼... ㅠㅠ
프로젝트를 콜린 혼자 관리하게 되면서, 콜린이 해야할 업무는 가중되었다.
다행인 점은 그래도 xz 프로젝트는 콜린 혼자 관리함에도 무탈하게 잘 운영되었다는 점.
그러나 2021년 겨울 즈음, 한 기여자가 등장하면서, 사건은 시작되었다.
Jia Tan이라는 이 기여자는 처음엔 평범하게 쓸만한 코드들을 추가하면서,
프로젝트의 유일한 관리자인 콜린에게 메일을 보내 접근했다.
(Jia Tan)
콜린씨, 이런 코드 어떤가요?
오 괜찮네요 ㅎㅎ Jia씨가 요즘 기여해주시는게 많네요
앞으로도 많은 참여 부탁드려용
Jia님이 저렇게 열심히 해주시는데
프로젝트 관리에 참여시켜도 되겠는걸?
나도 내 일이 있으니 내가 저분 기여하는 내용 일일히 확인하기엔 벅차고...
의욕적으로 프로젝트에 참여하는 Jia Tan.
그러나 콜린이 Jia의 모든 기여 내역을 일일히 확인하고 반영하기엔 너무 바쁜 몸이었다.
결국 Jia Tan의 기여는 점점 쌓이게 되는데, 여기서부터 문제가 터진다
(Jigar Kumar, 지나가던 기여자 1)
아니 Jia가 제출한거 언제 확인함? 관리자 자냐?
(Dennis Ens, 지나가던 기여자 2)
이러니까 프로젝트가 백날천날 발전이 없지 ㅋㅋㅋ
아니 나도 할건 하고 살아야죠;;
너무 재촉하지 마세요
프로젝트 유기했다느니 자냐느니 말들이 심하네 너무
그러게요, 저는 천천히 해도 상관 없는데...
이왕 이렇게 된거, 그냥 Jia님 관리자 권한 드릴게요
앞으로도 잘해봅시다
Jia가 기여를 시작한지 5개월쯤 되던 무렵, 콜린에게 압박을 가하는 사용자들이 나타나기 시작한 것.
장기간의 프로젝트 관리와 지속되는 압박에 콜린은 결국 Jia Tan을 관리자로 합류시킨다.
이후 2년간, Jia Tan은 평범하게 프로젝트를 관리했고
콜린도 이에 만족하며 휴가를 계획하던 2024년 1월...
xz 새 버전 나왔어요 다들 업데이트 하세요~
(다른 리눅스 배포판 유저들)
아니 님 이거 버그 뱉는데요? 뭔가 건드리심?
그럴리가 없는데~ 패치 했음
다시 받아보세용 츄라이 츄라이
왜 이렇게 업데이트 하라고 강권하는겨...?
(이 시점에서, Jia Tan은 다른 배포판에 '버그 해결을 위해 xz 최신판을 사용하라'고 권하고 다녔다)
대체 뭘 바꿨길래 오작동 하는거야? 뭔가 이상한데...
(Andres Freund, 백도어 최초 발견자)
헉!! 님들 이거 백도어에요 받지 말아요!!!
데비안이나 레드헷... 이미 업데이트 한 곳들 많은데 큰일났다!!!
??? 백도어라구??? Jia님 이게 어떻게 된거에요?
Jia님?? 연락이 안되네??? 잠수탄겨???
망했다... 내 휴가 ㅠㅠ
그렇다. Jia Tan은 악의적인 목적을 가지고 접근한 '공격자'였고,
프로젝트에 기여하면서 차근차근 콜린의 신뢰를 쌓아 권리자 권한을 획득,
이를 통해 차근차근 백도어를 만들고 배포한 것이었다.
게다가 충격적인 것은 콜린의 신뢰를 사면서도, 콜린이 자신을 관리자로 지명하도록
익명의 계정으로 압박을 가해왔다는 것.
Jigar Kumar, Dennis Ens 등 사건에 깊게 개입된 사용자들은 xz 커뮤니티를 제외하곤 인터넷 어디서도 찾을 수 없었고,
같은 작명법에, gmail이나 프로톤 메일 등 만들기 쉬운 메일 서비스를 사용하고 있었다.
모두 Jia Tan이 악의적인 목적으로 만든 계정이라는 것이 확실해진 상황.
공격자는 프로젝트 관리자의 피로감과 신뢰를 악용한 것이었다.
백도어가 발견 된 이후 데비안, 레드햇 등 최신버전의 xz 라이브러리가 적용된 배포판은 배포 중단되었고,
공격의 여파가 더 없는지 분석중이다.
원 프로젝트 관리자인 Lasse Collin은 휴가 기간 전체를 이 문제를 해결하는 데 쓸 수밖에 없었고,
xz 라이브러리를 사용하는 수 없이 많은 코드들이 보안 패치를 해야만 했다...
"오픈 소스 프로젝트 관리자의 번아웃은 분명하게 실존하는 보안 위협이다.
우리는 얼마나 이 문제에 대비되어 있는가?"
- 한 트위터 유저, 이 사건에 대한 촌평
(IP보기클릭)104.28.***.***
그러나 그 호의에 기댈 수 밖에 없는게 오픈소스...
(IP보기클릭)1.225.***.***
보수 없는 인간의 호의에 기대면 안됨.
(IP보기클릭)211.189.***.***
여기에 주목해야 할 점은 오픈소스 프로젝트였기 때문에 백도어를 발견했다는 것이다. 이게 상용 소프트웨어라면 소스를 볼 수 있는 권한을 가지고 있는 사람이 아니면 백도어 발견이 쉽지 않다.
(IP보기클릭)211.234.***.***
백도어니까 뭐 북한 중국 러시아 셋 중 하나겠지
(IP보기클릭)221.149.***.***
결국 모든 핵심작업은 사람이 하는 거라 보안도 휴먼 에러로 뜛리는 케이스가 제일 많음 이 경우도 그 취약점을 제대로 노린 케이스로구만
(IP보기클릭)61.73.***.***
??? : 윈도우 쓰세요
(IP보기클릭)58.76.***.***
이렇게 또 인간에 대한 신뢰는 사라져 가고..........
(IP보기클릭)1.237.***.***
(IP보기클릭)61.73.***.***
??? : 윈도우 쓰세요
(IP보기클릭)223.39.***.***
(IP보기클릭)222.99.***.***
(IP보기클릭)58.120.***.***
이용자의 수와 접근할 수 있는 정보의 차이에 따라 많이 다름 | 24.04.03 13:20 | | |
(IP보기클릭)175.116.***.***
마이크로소프트 서버 중추로 접근하는 백도어면 막말로 북한 정도는 살 수 있을듯 | 24.04.03 20:58 | | |
(IP보기클릭)1.225.***.***
보수 없는 인간의 호의에 기대면 안됨.
(IP보기클릭)104.28.***.***
그러나 그 호의에 기댈 수 밖에 없는게 오픈소스... | 24.04.03 13:20 | | |
(IP보기클릭)211.235.***.***
하지만 현대 오픈소스 소프트웨어는 보수없는 호의를 기반으로 돌아가는걸 | 24.04.03 13:23 | | |
(IP보기클릭)211.235.***.***
그리고 오픈소스 없으면 마소나 애플같은 일부 기업이 판을 다 먹는다는건데 it기반 현대사회에서 그건 사실상 왕정복고임 리눅스와 같은 무료 플랫폼에는 그만한 가치와 사상이 있음 | 24.04.03 13:24 | | |
(IP보기클릭)182.216.***.***
보수가 있어도 신뢰를 어길 수 있음 보수는 단지 공급자 유인책이지 인간의 악의를 해결해주는 요소가 아님 | 24.04.03 13:32 | | |
(IP보기클릭)121.157.***.***
보수 없는 인간의 호의로 수많은 사람들이 이루 말 할 수 없는 풍요를 누리며 살아가고 있음 GNU GPL 라이선스의 존재를 그렇게 일축해선 안 된다 | 24.04.03 13:33 | | |
(IP보기클릭)222.120.***.***
오픈소스도 무보수라기에는 큰프로젝트는 다들 기업에서 고용한 인원을 중심으로 돌아가던데 | 24.04.03 13:42 | | |
(IP보기클릭)58.76.***.***
이렇게 또 인간에 대한 신뢰는 사라져 가고..........
(IP보기클릭)223.39.***.***
(IP보기클릭)211.234.***.***
M@ster!
백도어니까 뭐 북한 중국 러시아 셋 중 하나겠지 | 24.04.03 13:20 | | |
(IP보기클릭)211.234.***.***
이런식으로 '나쁜일이 일어났으니 레드팀이 잘못한 걸거야'하는 건 사건 이해나 해결에 아무런 도움도 안되고 그저 혐오하기 위한 빌드업에 불과해 | 24.04.03 13:24 | | |
(IP보기클릭)106.101.***.***
Nsa나 cia도 충분히 가능성 있음 ㅋㅋㅋㅋ | 24.04.03 13:24 | | |
(IP보기클릭)104.28.***.***
국적이야 얼마든지 조작 가능하겠지만 일단 Jia Tan의 출신으로 유력한 지역은 싱가포르임 | 24.04.03 13:25 | | |
(IP보기클릭)118.235.***.***
이득을 위해 해킹을 하는건 색깔을 안가려 | 24.04.03 13:25 | | |
(IP보기클릭)121.74.***.***
정말 나이브하구나. 미제 프리즘이나 국산 카카오 감청 맛도 좀 보쉴? | 24.04.03 13:51 | | |
(IP보기클릭)59.21.***.***
본명일지는 의문이지만 일단 Jia Tan이라는 이름은 중국계 이름인 듯. 국적이 중국인지는 알 수 없고... | 24.04.03 13:58 | | |
(IP보기클릭)106.102.***.***
(IP보기클릭)118.217.***.***
(IP보기클릭)106.102.***.***
(IP보기클릭)221.149.***.***
결국 모든 핵심작업은 사람이 하는 거라 보안도 휴먼 에러로 뜛리는 케이스가 제일 많음 이 경우도 그 취약점을 제대로 노린 케이스로구만
(IP보기클릭)218.236.***.***
(IP보기클릭)211.246.***.***
대통령되기 ㅋㅋㅋㅋ | 24.04.03 13:25 | | |
(IP보기클릭)211.246.***.***
아니 이상한데… | 24.04.03 13:25 | | |
(IP보기클릭)117.111.***.***
이파수:ㅎㅎㅋㅋ | 24.04.03 13:40 | | |
(IP보기클릭)222.120.***.***
나라를 해처먹을려면 대통령되는게 제일좋지 | 24.04.03 13:44 | | |
(IP보기클릭)211.48.***.***
(IP보기클릭)211.234.***.***
(IP보기클릭)211.243.***.***
(IP보기클릭)211.226.***.***
(IP보기클릭)211.234.***.***
(IP보기클릭)121.74.***.***
빌어먹을, 동시에 돌리는 깡계가 160개는 되나보구나! | 24.04.03 13:52 | | |
(IP보기클릭)223.62.***.***
이그젝틀리 | 24.04.03 14:09 | | |
(IP보기클릭)211.189.***.***
여기에 주목해야 할 점은 오픈소스 프로젝트였기 때문에 백도어를 발견했다는 것이다. 이게 상용 소프트웨어라면 소스를 볼 수 있는 권한을 가지고 있는 사람이 아니면 백도어 발견이 쉽지 않다.
(IP보기클릭)223.39.***.***
애초에 분탕놈들 입사도 못하고 정상인 관리자가 생업으로 코드 들여다보니 미리미리 거를텐데 | 24.04.03 13:37 | | |
(IP보기클릭)211.189.***.***
틱톡도 그런 의심을 받고 있고 중국 네트웍 장비들에서 백도어 발견된 거 모르심? 그리고 정상적인 회사라고 해서 관리자가 소스 코드 다 확인한다는 보장은 없음. 관리자가 바쁘고 일 잘하는 팀원이면 믿고 그냥 넘어가는 경우 충분히 있지 그걸 죄다 한줄한줄 보고 있는 관리자는 거의 없다고 봄. | 24.04.03 13:42 | | |
(IP보기클릭)223.39.***.***
틱톡은 설치한 사용자에게 백도어짓 의심되는거지 회사입장에선 정상적인 프로그램이잖음 ㅋㅋㅋㅋㅋㅋ 그리고 일잘하는 팀원이라 관리자가 믿고 맡기는거면 그 직원은 파딱급(부관리자)이란거지 | 24.04.03 13:47 | | |
(IP보기클릭)106.102.***.***
이거 백도어 발견경위는 오픈소스라서라고 할순 없고, 누군가 마이크로커널 프로파일링 하다가 이상한 시스템 딜레이를 발견해서임 분석은 오픈소스라 쉬웠던건 맞지만, 발견경위는 그거아님 | 24.04.03 14:57 | | |
(IP보기클릭)218.55.***.***
뭐.. 쉽지는 않지만 상용 소프트웨어라도 백도어는 유무는 발견됨.. | 24.04.03 16:39 | | |
(IP보기클릭)39.7.***.***
(IP보기클릭)118.235.***.***
(IP보기클릭)211.234.***.***
루리웹-9491699345
백도어 자체가 목적이었나봄 | 24.04.03 13:25 | | |
(IP보기클릭)104.28.***.***
루리웹-9491699345
'악의적인 목적'은 보안계열에서 그냥 해킹을 말하는 거임 | 24.04.03 13:25 | | |
(IP보기클릭)160.238.***.***
루리웹-9491699345
저렇게 다수의 거대 프로젝트들이 쓰는 라이브러리에 침투하면 어마어마하게 백도어를 설치할수있으니까 | 24.04.04 10:30 | | |
(IP보기클릭)61.79.***.***
(IP보기클릭)36.38.***.***
(IP보기클릭)104.28.***.***
사람을 믿었던 대가... | 24.04.03 13:26 | | |
(IP보기클릭)117.111.***.***
(IP보기클릭)104.28.***.***
"It's also good to keep in mind that this is an unpaid hobby project." "이게 무급 취미 프로젝트란 것을 알아주셨으면 좋겠습니다." 콜린이 익명 계정들한테 압박당하고 있을때 반론을 위해 꺼낸 문장임... 너무 짠해 | 24.04.03 13:28 | | |
(IP보기클릭)183.97.***.***
오픈 소스 생태는 기본 무급임. 기부 형식으로 아예 돈 안받는거도 아니지만 강제가 아니니까 기부액이 적어거 생계 유지도 힘든 사람들이 많음. | 24.04.03 13:36 | | |
(IP보기클릭)211.189.***.***
오픈 소스 프로젝트도 규모가 크면 기업들이 지원을 해주는데 저건 많이 쓰는 거에 비해서는 지원이 없었나 봄. | 24.04.03 13:43 | | |
(IP보기클릭)124.53.***.***
(IP보기클릭)121.142.***.***
(IP보기클릭)115.88.***.***
(IP보기클릭)110.15.***.***
와ㅋㅋㅋ | 24.04.03 13:31 | | |
(IP보기클릭)125.128.***.***
(IP보기클릭)125.128.***.***
옛날에야 죄다 저수준 언어니까 어쩔 수 없었지만. 요즘에는 js나 go 등의 대안이 많아졌고. cli같은 분야도 이미 rust에 잡아먹힌지 오래니 말이지 | 24.04.03 13:31 | | |
(IP보기클릭)222.120.***.***
C++은 스폰서하는 기업이 없어? | 24.04.03 13:47 | | |
(IP보기클릭)118.235.***.***
C++쓸 프로젝트는 러스트로 감 ㅋ | 24.04.03 15:40 | | |
(IP보기클릭)119.64.***.***
(IP보기클릭)180.66.***.***
(IP보기클릭)211.119.***.***
(IP보기클릭)104.28.***.***
문제는 이 경우 그 재촉질 하는 놈들이 공격자의 익명계정이었다는 것 분신술임 말 그대로 | 24.04.03 13:35 | | |
(IP보기클릭)211.119.***.***
그렇긴 하지만 차후에도 저런 일 없게는 해야지.. 물론 오픈소스가 어느 정도는 되는 거라면 상관없는데 너무 그지같으면 해달라고는 하겠지만. 아니지 너무 그지같으면 걍 안 쓰지.. | 24.04.03 13:37 | | |
(IP보기클릭)175.118.***.***
모두가 공격자의 익명계정은 아니겠지. 게임 모드나 유저번역에서도 존나 감놔라 배놔라 하는데 | 24.04.04 10:01 | | |
(IP보기클릭)211.58.***.***
(IP보기클릭)118.235.***.***
(IP보기클릭)183.97.***.***
(IP보기클릭)112.160.***.***
(IP보기클릭)210.217.***.***
(IP보기클릭)104.28.***.***
오픈 소스 프로젝트는 대부분 누구나 참여해서 수정할 수 있음. 근데 그렇다고 진짜 다 받아주면 안되니까 보통 관리자가 심사 및 병합을 하는데, 이것도 일인지라 사람이 피로할 수 밖에 없음 | 24.04.03 13:39 | | |
(IP보기클릭)183.97.***.***
모든 리눅스 유저가 프로그래밍 지식이 있는게 아니거든. 지식이 있어도 대체로 오픈소스 진영에서 개발자가 만든거 자기컴에 적용하거나 약간 수정하는 정도의 기초적인거만 아는 사람들이 대부분임. 물론 다른 개발자가 가져가서 변형한거 푸는 경우도 있는데 그 경우는 결국 원본 어플의 하위호환으로 마이너로 남는 경우가 대부분. 애당초 리눅스나 오픈소수 어플이 지향하는게 개발자들만 쓰는 운영체제나 프로그램이 아니라 윈도나 맥같은 일반인에게도 접근성이 있는 범용성임. 그런 의미에서 개인 PC용 버전들이 나오는거고. | 24.04.03 13:40 | | |
(IP보기클릭)183.97.***.***
거기에 아무나 소스 지원한다고 다 무지성으로 적용하는 식으로 돌아가면 프로그램 자체가 쓸데없는 기능이 많아져 무겁고 버그도 많은 못쓰는 물건이 됨 그래서 소스 공개는 하되, 기본 개발자가 기여한 부분을 선택해 적용하는 관리는 필요함. | 24.04.03 13:42 | | |
(IP보기클릭)211.234.***.***
한글 번역패치 내놓으면 저작권 드립치면서 신고한다는 인간들도 널렸는디 뭘 ㅋㅋㅋㅋ | 24.04.03 13:45 | | |
(IP보기클릭)222.120.***.***
애니자막도 안만들어준다고 협박하는 ㅂㅅ이 있으니까 저기도 ㅂㅅ은 많겠지 | 24.04.03 13:48 | | |
(IP보기클릭)106.101.***.***
누군가는 검증하고 리뷰해야 하니까요 | 24.04.04 10:33 | | |
(IP보기클릭)61.98.***.***
(IP보기클릭)223.39.***.***
(IP보기클릭)106.102.***.***
(IP보기클릭)211.114.***.***
(IP보기클릭)211.114.***.***
와 아니네 cve 문서 보니까 해당하는 os에 있네 소오름ㄷㄷㄷ 변경 사항은 revert 기록말살형 당해서 없나봐... | 24.04.03 13:48 | | |
(IP보기클릭)59.10.***.***
(IP보기클릭)182.215.***.***
(IP보기클릭)222.120.***.***
(IP보기클릭)175.117.***.***
(IP보기클릭)118.235.***.***
프로그램이 아니라 알고리즘 라이브러리임 xz/liblzma 리눅스 계열에선 엄청 쓰임 | 24.04.03 13:54 | | |
(IP보기클릭)220.118.***.***
왜 못들어 봤냐면 xz이기 때문에 | 24.04.03 13:57 | | |
(IP보기클릭)1.235.***.***
아예 리눅스 생태계에 관심 없으면 모를만 하지 | 24.04.03 14:02 | | |
(IP보기클릭)121.143.***.***
개발자 인생 17년이 라이브러리가 뭔지도 모름? ㅋㅋㅋㅋㅋㅋㅋㅋㅋ | 24.04.03 14:31 | | |
(IP보기클릭)106.102.***.***
17년동안 tar xzvf 한번 안해봤음? | 24.04.03 15:00 | | |
(IP보기클릭)220.92.***.***
본문을 어렵게 쓴것도 아니고 것도 맨 첫줄에 압축 라이브러리라고 적어놨는데 개발자 맞긴 함? ㅋㅋㅋ | 24.04.04 00:12 | | |
(IP보기클릭)211.208.***.***
개발자면 못 들어볼 수가 없는건데 | 24.04.04 03:33 | | |
(IP보기클릭)153.242.***.***
아카이브 된 로그 확인할떄도 무심코 쓰는게 xzcat인데.... 압축 관련해서 xz라이브러리 안쓰는데가 과연 있긴 한가.. | 24.04.04 09:11 | | |
(IP보기클릭)211.234.***.***
(IP보기클릭)118.218.***.***
밑도 끝도 없이 특정 국가나 인종으로 결론 지어서 멸칭부터 박고보는 이런 것들이 문제임 | 24.04.03 15:36 | | |