리눅스 xz 결함: 기술적 문제가 아닌 윤리적 문제

1. Linux xz and the Great Flaws in Open Source

https://thenewstack.io/linux-xz-and-the-great-flaws-in-open-source/

Linux xz and the Great Flaws in Open Source

 

 

 

[ 요약 ]

1. Linux xz utils의 유지 관리자가 새로운 릴리스에 악성 코드를 추가하여 프로젝트를 손상시켰다. 

2. 유지 관리자이자, 공격자는 업스트림 xz 저장소에 백도어 맬웨어를 삽입했다. 

3. Microsoft 엔지니어가 SSH를 사용하여 xz 유틸리티를 다운로드하는 과정에서 속도가 비정삭적으로 느려져 이를 조사하던 중 맬웨어를 발견했다.

4. 해당 라이브러리는 OpenSSH와 함께 사용되며, 일부 코드에 백도어를 생성하여 SSH 연결 시 공격자가 기본적으로 접근할 수 있게 했다. 이를 통해 원격으로 코드를 실행하거나 해당 서버에 직접 로그인이 가능했다.

5. 오픈 소스는 취약하다. CVE 대응과 업데이트가 필요하지만, 경제적 요인으로 인해 원활하게 이루어지지 않은 경우가 많다. 공격자는 이 점을 악용했다.

6. 오픈 소스의 수요는 기술적 문제뿐만 아니라 경제적 문제와도 깊이 연관되어 있다. 많은 비즈니스가 오픈 소스 소프트웨어에 의존하기 때문에, 유지 관리자의 역할이 매우 중요하다.

 

 

 

➕

CVE 취약점?

• Common Vulnerabilities and Exposures의 약자로, 소프트웨어의 보안 취약점을 식별하고 기록하기 위해 사용되는 표준화된 시스템
• 특정 보안 취약점에 대해 고유식별 번호를 부여하여 전 세계적으로 취약점을 보고하고 대응할 수 있도록 해줌

 

---

 

🤔 이에 대한 나의 생각

오픈 소스 프로젝트에서 가장 신뢰받는 사람이 동료들을 배신한 것이 매우 충격적이다. 리눅스 xz 맬웨어 이슈는 단순한 기술적 문제가 아니라, 신뢰와 윤리에 관한 심각한 사건이다. 

이번 사건을 통해, 기술을 다루는 데 있어 윤리의식이 얼마나 중요한지다시 한번 깊이 느끼게 되었다.