구글의 프로젝트 제로, 느슨한 보안 패치 정책을 가진 기업에 강력한 조치

구글 주식회사는 프로젝트 제로라는 해커 및 프로그래머의 엘리트 팀을 보유하고 있으며, 이는 개발자가 알기 전에 악용되는 “제로 데이” 보안 결함에서 이름을 따왔습니다.

프로젝트 제로는 자사 및 경쟁사의 소프트웨어에서 보안 결함을 찾아내고, 기업에 소프트웨어 취약점을 패치할 90일의 기한을 부여합니다. 기한 내에 패치하지 않으면 해당 결함을 공개할 것입니다.

이는 마이크로소프트와 애플과 같은 경쟁자들이 패치되지 않은 코드의 결함을 악용하기 전에 결함이 있는 소프트웨어를 수정하도록 “동기 부여”하기 위한 노력입니다. 물론, 마이크로소프트와 애플 모두 이에 대해 긍정적이지 않습니다.

구글의 프로젝트 제로의 관행에 반대하는 사람들은 결함이 수정되기 전에 공개함으로써 온라인 보안을 위험에 빠뜨린다고 주장합니다. 물론, 정보를 알고 있는 해커들은 결함이 알려지면 신속하게 이를 악용하기 위해 움직입니다.

중국 지원 해커들이 커뮤니티 헬스 시스템을 공격하기 위해 하트블리드로 알려진 웹 보안 결함을 악용했을 때를 생각해 보십시오. 소프트웨어 결함이 공개된 지 단 일주일 만에 발생한 일입니다.

애플조차도 구글에 공개하기 전에 기다려 달라고 요청하여 Mac OS X 운영 체제의 결함을 수정할 수 있도록 했습니다. 구글은 수정이 곧 이루어질 것이라는 것을 알고 있었고, 당시 애플의 개발자로서 업데이트된 소스 소프트웨어를 소유하고 있었습니다. 구글은 이를 거부하고 결함에 대한 세부 정보를 공개했습니다. 마이크로소프트 또한 윈도우 OS의 결함을 수정할 추가 시간을 요청했습니다. 구글은 다시 거부하고 버그를 공개했습니다.

구글 지지자들은 프로젝트 제로의 90일 강경 접근 방식이 소프트웨어 산업이 더 나은 보안 패치 관행에 집중하도록 동기를 부여할 수 있다고 말합니다. 많은 기업들이 버그를 패치하는 데 몇 개월 또는 몇 년이 걸릴 수 있습니다.

현재까지 구글의 프로젝트 제로는 애플 제품에서 39개의 취약점을, 마이크로소프트 제품에서 20개의 취약점을 확인했습니다. 이 팀은 또한 어도비 시스템의 소프트웨어에서 37개의 결함과 글꼴 렌더링을 위한 FreeType 소프트웨어 개발 라이브러리에서 22개의 결함을 발견했습니다.

구글의 프로젝트 제로가 패치하지 않으면 보고하겠다는 역할을 맡은 것은 소비자에게 좋은 일입니다. 많은 기업의 제품이 사용자를 해킹에 취약하게 만들 수 있으며, 이를 방지하지 않으면 더 큰 문제를 초래할 수 있습니다.

프로젝트 제로는 이제 선을 그었습니다. 영향을 받은 기업들이 어떻게 반응하느냐에 따라 앞으로 여러분의 데이터에 대해 정말 신뢰할 수 있는 제품이 무엇인지 결정될 것입니다.