Twitter Facebook Google+ Flickr Tumblr
Comments Closed

구글의 Adam Langley 그의 블로그에 이번 iOS 업데이트와 관련한 세부사항에 대해서 설명했다. SSL/TLS 버그와 관련된 것으로 이번 iOS 7.0.6과 iOS 6.1.6 업데이트로 패치됐지만, OS X은 여전히 위험에 노출되어 있다.

어제, 애플은 다소 무시무시한 iOS 보안 업데이트를 실시했다. 이는 iOS에서 SSL/TLS에 끔찍한 문제가 있다는 것을 말하지만, 자세한 사항에 대해선 알려주지 않았다. 해커 뉴스의 탑 쓰레드에 이에 대한 답이 있기에, 나는 이미 숨겨졌던 사실이 드러났고, 우리가 잘못된 정보를 억누르는 단계에 와있다고 생각한다.

English

이게 정확히 어떤 버그인지는 ONE™님이 한글로 자세히 풀어서 설명해주셨다. 간단히 말하면, 이는 아주 초보적인 실수로 불필요한 코드가 한 줄 더 들어간 것이다. 이에 대해 John Gruber가 제기한 의문도 한번 읽어볼만하다.

단순히 우연인지, 아니면 의도된 필연인지는 알 수 없지만 타이밍이 참 공교롭기는 하다. SSL/TLS 버그가 처음 나타난 것은 iOS 6 때부터였는데, iOS 6는 2012년 9월 24일에 공개됐다. 그리고 NSA의 PRISM 프로그램에 애플이 추가된 것은 2012년 10월이었다. 이 세가지 사실만으로 증명할 수 있는것은 아무것도 없지만 John Gruber는 이를 토대로 5가지의 가능성(본인 말로는 과대망상)을 제시한다.

  1. NSA는 이 보안 취약점을 인식하지 못했다.
  2. NSA는 이에 대해 알고 있었지만, 이를 활용하진 않았다.
  3. NSA는 이에 대해 알고 있었고, 이를 활용했다.
  4. NSA는 비밀스럽게 이 코드를 집어넣었다.
  5. 애플이 NSA와 공범이며 코드를 집어넣었다.

음모론이라고 생각될 수도 있겠지만, 이런 생각이 들 정도로 이번 버그는 치명적이다. 더군다나 현재 Mac OS X은 버그가 그대로 있는 상태다. 1,2번은 가능성이 거의 없는 얘기고, 3번부터는 충분히 가능성이 있다.

애플은 이런 기본적인 코드 중복 문제를 미연해 방지하지 못한 걸까?