버그 수「보안 강도에 비례」

버그 수「보안 강도에 비례」

모질라 유럽의 트리스탄 니토트(Tristan Nitot) 회장은 인터넷 익스플로러가 오픈 소스 웹 브라우저들보다 약점이 덜 알려졌다고 해서 더 안전하다는 의미는 아니라고 말했다. 모질라 재단은 MS의 인터넷 익스플로러(IE)를 대적하기 위해 개발된 오픈 소스 웹 브라우저 파이어폭스(Firefox)로 잘 알려져 있다. 트리스탄 니토트 회장은 브라우저 개발에 있어 MS와 모질라가 가진 시각의 차이점을 설명하기 위해 꾸준히 노력해 왔다. ZDNet UK는 이번 주 런던에서 개최된 온라인 정보 컨퍼런스에서 니토트 회장과 만나 파이어폭스와 인터넷 익스플로러의 보안, 온라인 사생활 보호, 그리고 오픈 소스의 미래 등을 주제로 이야기를 나누어 보았다. MS 제프 존스(Jeff Jones) 보안 전략 대표의 최근 연구 결과에 따르면 인터넷 익스플로러가 파이어폭스보다 더 안전하다는 결과가 나왔는데, 이 결과에 대해 놀라진 않으셨는지? 우선 연구결과에서 버그의 수를 세는 방법 자체가 매우 바람직하지 않다고 생각하는데, 이런 방식을 MS에서 사용했다는 사실 자체에 더 놀랐다. 서로간의 보안 안정성을 측정하고 비교하는 기준을 찾기란 상당히 어려운 일이다. 그러나 버그의 수를 비교하는 것은 정말 정확하지 않은 측정 방법이라고 생각한다. 차라리 우리 입장에서는 버그 발견 후 수정하는데 소요된 시간을 측정, 비교하는 것이 더 바람직하다고 주장하고 싶다. 우리의 입장에서는 그런 측정 방법이 더 유리하기 때문이다. 연구결과를 요약하자면, MS 측의 입장은 모질라 쪽이 2004년 이후 MS보다 더 많은 취약점들을 보완한 사실이 있기 때문에 인터넷 익스플로러가 파이어폭스보다 안전하다는 주장인데요. 이러한 견해에 대해서는 어떻게 생각하시는지? 모질라 시스템 개발 담당자 마이크 셰이버(Mike Shaver)의 비유를 인용하자면, 미국의 치과 의사들이 아프리카 의사들보다 더 많은 이빨을 치료한다고 해서, 미국 국민들의 이빨이 아프리카 사람들보다 덜 튼튼한 것은 아니라는 것이다. 단순히 같은 기간 내에 인터넷 익스플로러, 파이어폭스, 오페라(Opera)의 보안 관련 자문 숫자만 비교해보길 바란다. 더 많은 취약점들이 보완되었다는 말이 브라우저의 안정성이 떨어진다는 식으로 받아들여지는 것에 대해서는 어떻게 생각하는가? 잘못된 논리라고 생각한다. 만약 문제를 해결하지 않는다면, 겉으로 보기에는 좋겠지만 내부적으로 그 문제가 해결되지 못한 체 남아있게 된다. 지금 현재 우리가 처해 있는 상황을 그대로 비춰볼 수 있는 좋은 영화가 있는데, 바로 ‘Les Repos’, 해석하면 ‘부패한 것들’이라는 영화다. 한 젊은 형사와 늙은 형사의 이야기인데, 젊은 형사가 늙은 형사에게 점점 부패하는 방법을 배우는 과정을 그린 영화이다. 영화에서 범인을 잡으면 젊은이는 그 범인을 항상 경찰서로 데리고 가려 한다. 하지만 그 순간 늙은 형사는 "아니야 그렇게 하지마. 만약 우리가 그를 경찰서로 넘기면 범죄율이 증가하고, 그렇게 되면 우리의 평판도 안 좋아질 수밖에 없어. 그냥 그 자에게 돈을 받고 풀어주면 돼. 그게 그 범인을 처벌하는 유일한 방법이야."라고 말한다. 이는 현재 우리의 상황을 너무나 잘 투영하고 있는 듯 하다. 옳은 일을 꿋꿋하게 하게 되면, 내 스스로에 대한 평판은 낮아질 수도 있지만 결국 사용자들은 더욱 안정된 보안 속에서 활동할 수 있게 된다. 여기서 가장 중요한 것은, 우리의 제품을 선택한 사용자가 안전해야 한다는 것이고 사람들은 우리가 그렇게 만들어주길 바라고 있다는 것이다. 모질라 커뮤니티에 참여하는 개발자들은 옳은 일을 해야 된다는 사실에 대해 상당한 공감대를 형성하고 있고, 우리는 함께 협력해서 일을 해야 하기 때문에 서로를 믿어야 한다는 사실도 서로 잘 알고 있다. 만약 커뮤니티에서 제품의 결점을 숨기기 시작하면, 전체의 동기부여 면에서나 커뮤니티의 사기 면에서 상당히 부정적인 영향을 미칠 것이 뻔하다. 하지만 우리는 우리 팀을 위해 일하는 것이 아니라, 항상 사용자들을 위해 일하는 것이라 생각하고 마음을 다지고 있다. 가장 최근의 예를 하나 들어보자. 10일 전 우리는 파이어폭스 2.0.0.10.를 출시했다. 그러나 두 시간 후 우리는 새롭게 출시된 버전에 꼭 수정해야 할 오류가 있다는 사실을 발견해냈다. 몇몇 웹사이트 기능이 제대로 작동하지 않은 것이다. 우리는 재빨리 목요일 저녁 2.0.0.11 버전을 재차 내놓기로 결정했다. 3일 반 만에 새로운 버전을 내놓은 것이다. 이는 상당히 큰 전환점이 됐다. 우리는 일주일에 두 번이나 업데이트 하라고 사용자들에게 부탁하는 것을 좋아하지는 않지만, 결함을 그대로 묻혀 두는 것이 더 싫었기 때문이다. 그러니까 MS 측이 제시한 기준은 두 브라우저 간의 안정성을 비교하기에는 적합하지 않다는 말인가? 그렇다 마치 사과와 오렌지를 비교하는 것과 같다. 모질라가 버그를 세는 것과 MS가 버그를 세는 것은 상당히 다른 이야기라 할 수 있다. 우리는 오픈 소스이다. 우리는 버그가 발생한 사실을 숨기거나 조용히 고치고 넘어갈 수 없다. 그건 바로 우리 커뮤니티를 배신하는 일이기 때문이다. 우리는 매우 투명해야 한다. 게다가 우리 역시 투명한 것을 좋아한다. 대신 결함을 공개하면서 제품에 대한 이미지가 손상되기도 한다. 물론 MS의 경우에는, 얼마든지 비공개로 버그를 검색할 수 있고 버그를 발견했다는 사실을 발설하지 않을 수 있다. 이런 버그들은 알려지지 않은 채 조용히 처리되고 결국 업데이트나 서비스 팩을 통해 수정된다. 그럼에도 불구하고 MS 시스템의 또 다른 단점 중 하나는 서비스 팩이 나오는데 시간이 상당히 오래 걸린다는 것이다. 적어도 1년은 걸린다고 봐야 한다. 때로는 2년이 걸릴 때도 있다. 결국 그런 기간동안 사용자들은 새로운 위험에 노출되게 된다. 따라서 필자는 개인적으로 투명하고, 사용자들의 보안을 최우선시 하는 모질라 측의 정책을 선호한다. MS의 존스는, 파이어폭스의 새로운 버전의 수명 즉 최소 지원 보장 기간이 짧은 것에 대해 비판했다. 모질라가 우분투(Ubuntu: 2009년까지 파이어폭스1.5에 대한 보안 지원을 제공하도록 되어 있다)와 같은 운영체제들 보다 더 빨리 지원을 중단하는 것인데, 이에 대한 당신의 대답은 무엇인지? 우리는 6개월 주기로 새로운 버전의 제품을 출시하기 위해 노력하고 있다. 하지만 우리는 오픈 소스이다. 파이어폭스 2.2, 3, 그리고 1.5까지 마음대로 넘나들면서 수정사항을 적용할 수 있다. 우분투 또한 파이어폭스의 보안을 더욱 공고히 해줄 것이다. MS는 이제 거의 아무도 사용하지 않는 IE 5.01을 아직까지 지원하고 있다. IE 6도 거의 사양길에 접어든 상황에서 말이다. 웹 시장 전체를 봤을 때 아직 유아기 수준 정도에 머무르고 있다고 볼 수 있다. 하지만 우리는 이미 혁신이라는 이름으로 많은 시간을 허비했으며 브라우저의 획기적인 진화는 일구어내지 못했다. 5년 동안 IE 6을 사용하기엔 시간이 너무 아깝다. 웹사이트의 혁신을 틀어막는 구식 브라우저에 머물러 있을 이유가 없지 않는가? 윈도우를 사용하는가? 예전에는 사용했지만, 지금은 맥(Mac)을 쓴다. 왜 바꿨는지? 윈도우 XP 서비스 팩2의 엔드유저 라이센스 동의서[EULA]를 보았기 때문이다. 거기서 ‘동의’이라는 버튼을 누르면, 사용자는 그 즉시 MS와 계약관계를 맺은 것이나 다름없다. 만약 무엇인가를 서명할 일이 있다면 반드시 그 내용을 자세히 살펴보아야 한다. 나는 내 앞에서 동의 버튼을 클릭하기를 기다리고 있던 동의서에서 본 문구가 너무 걸렸기 때문에 동의 버튼을 누를 수 없었다. 동의서에는 하드 디스크 내 몇몇 파일들이 암호화 될 것이고, 해당 컴퓨터의 사용자 또한 MS의 허가 없이는 볼 수 없다는 조항이 들어 있다. 이건 디지털 저작권의 문제와 관계되어 있다. 이것은 내 컴퓨터이고, 내가 직접 산 윈도우이고, 나의 데이터들이다. 나는 MS뿐만이 아니라 그 어떤 회사도 내가 내 컴퓨터 내의 파일을 정리하는 것에 대해 왈가왈부하길 원하지 않는다. 그 이후로 나는 일상생활에서 윈도우를 사용하지 않았다. 컴퓨터는 인터넷과 소통하기 위한 필수적인 수단이다. 나의 인생이 그곳에 있다. 음악, 영화, 사진들, 글들, 그리고 나의 블로그 포스트들까지. 인터넷은 나의 친구들을 인스턴트 메시지 서비스와 소셜 네트워킹 서비스를 통해 연결해 준다. 이제는 거의 대부분의 사람들이 컴퓨터 없이는 일하지 못하는 사회가 도래했다. 그렇기 때문에 나는 인터넷과의 연결 고리 역할을 하는 브라우저라는 툴에 대한 통제의 열쇠를 쥐고 있고 싶었고, 그러기 위해 나는 윈도우 서비스 팩2를 거부하는 결단을 내렸다. 이후 리눅스로 옮겼다가 그 기계가 고장 나자 맥으로 옮긴 것이다. 오픈 소스는 현재 어느 정도 위치쯤 올라 있다고 생각하는가? 오픈 소스는 상당히 성공적인 결과들을 내고 있다. 아이폰은 BSD를 이용하고 있고, 노키아 N80 태블릿은 게코 1.9(Gecko 1.9)를 적용하고 있다. 내 집에 있는 모든 라우터들도 리눅스를 이용하고 있다. 어렸을 때 난 컴퓨터를 가지고 노는 것에 완전 중독이 된 적이 있었다. 나는 나 스스로 유닉스 기기들에 둘러싸여 있는 모습을 종종 상상하곤 했다. 난 약간 특이한 구석이 있다. 하지만 이것이 실제로 현실이 됐다. 우리는 인터넷으로 연결된 유닉스와 리눅스 기기들에 둘러싸여 삶을 살아가고 있다. 어디에든 오픈 소스가 산재해 있기 때문이다. 앞으로 오픈 소스 커뮤니티가 미래에 직면할 가장 큰 도전이 있다면? 오픈 소스 커뮤니티는 차기 버전에 사용자의 경험을 어떻게 반영할 지, 그리고 마케팅을 어떻게 할 것인지에 대해 생각해 봐야 한다. 제품의 질에 대한 자신감, 그리고 신뢰성 있는 운영체제로 오픈 소스는 소비자들의 이목을 끌어 왔다. 하지만 오늘날 대부분의 오픈 소스는 개발자들이 다른 개발자들을 위해 개발한 것이 대부분이다. 이러한 경향으로 인해 지금까지 오픈 소스 제품들은 그다지 사용자 지향적인 모습을 보여주지 못했다. 파이어폭스는 이런 고민들을 거친 끝에 개발된 사용자 지향형 제품 중 하나라 할 수 있다. 사용자 지향적 성향은 비단 파이어폭스 뿐만이 아니라 다른 프로젝트들에도 반드시 적용되어야 한다. 그렇다면 어떤 제품이 사용자 지향적이고, 어떤 제품이 사용자 지향적이지 않는지? 우분투는 상당히 흥미로운 운영체제이다. 리눅스를 사용하는 소비자라면 쉽게 우분투를 사용할 수 있다. 하지만 윈도우를 사용하던 소비자라면, 우분투 사용에 애를 먹을 수 밖에 없다. 특히 내부 기능 사용에 애를 먹을 가능성이 높다. 마케팅 문제라는 것은 무엇인가? 오픈 소스 커뮤니티들은 유료 제품을 개발하는 기업들보다 상대적으로 훨씬 적은 마케팅 비용을 책정해 놓고 있다. 특히 MS의 경우 비스타를 출시하는 데만 마케팅 비용으로 5억 달러(2억 5천만 파운드) 사용한 것으로 알려졌다. 모질라는 파이어폭스 3에 대한 첫 번째 베타 버전을 3개월 전에 출시했고, 두 번째 베타를 지난 화요일 공개했다. 파이어폭스 3에서는 웹 애플리케이션들을 오프라인 상태에서 이용할 수 있는 것으로 알려져 있는데, 이는 모든 웹 애플리케이션에 적용되는 것인가? 파이어폭스 3 베타는 웹 애플리케이션에게 오프라인 상태라는 사실을 전달하는 API를 보유하고 있다. 이를 통해 오프라인 상의 작업 내용을 부분적으로 저장하고, 이 후 불러올 수 있도록 되어 있다. 이는 곧 그 웹 애플리케이션이 API를 활용할 수 있는 능력을 보유하고 있다는 뜻을 함축하고 있다. 만약 이 기능이 정상적으로 실행되지 않는다면, 업데이트가 되지 않았다는 뜻이다. 보안 기능이 브라우저에서 차지하는 비중은 얼마나 되는가? 웹 2.0 애플리케이션들이 보안을 약화시키는 새로운 요인이 되고 있는 것은 아닌지? 브라우저는 인터넷으로 통하는 창문이라고 비유할 수 있다. 그렇기 때문에 우리는 보안에 상당히 신경을 쓰고 있는 것이다. 하지만 웹 2.0 애플리케이션이 보안상의 위험을 증가시키리라 생각하진 않는다. 그러나 사생활 침해 문제에 있어서는 최근 페이스북(Facebook)의 사례에서 보았듯 상당히 심각한 위험성을 내포하고 있는 것은 사실이다. 비콘(Beacon: 페이스북이 광고를 추적할 수 있도록 만든 기능, 이후 이 기능을 삭제했다) 논란을 말하는 것인가? 만약 그렇다면, 페이스북이 이러한 기능을 삽입했다는 사실 자체가 잘못된 아이디어라고 생각하는가? 비콘 기능을 만든 것 자체는 옳지 않은 선택이었다고 생각한다. 사용자들이 옳지 않다고 생각하고 있기 때문이다. 사람들은 흔히 ‘무료 서비스’를 바라고 또 선호하지만, 무료 서비스를 이용하는데 있어서도 반드시 지불해야 할 비용은 존재하기 마련이다. 사실 상당히 큰 대가를 지불하고 있다고 봐도 과언이 아니다. 사람들은 사생활 정보에 대한 그들의 권한을 포기하는 대가로 무료서비스를 즐기고 있는 것이다. 대부분의 경우, 사용자의 사생활 정보가, 이를 대가로 제공받는 무료 서비스보다 더 큰 가치를 지닌다. 사실 사생활 정보에는 가격을 매길 수 없기 때문이다. 따라서 얼마나 주고 얼마나 받아야 하는지 선택하고 또 조정하기에 상당히 곤란하다고 할 수 있다. 당신이 현재 이득을 보고 있는 지 손해를 보고 있는지도 판단하기 힘들다. 개인적으로 사용자들은 밑지는 장사를 하고 있다고 생각한다. 한 회원이 소셜 네트워킹 사이트에서 자신의 페이지를 운영한다고 할 때, 이러한 서비스를 제공해주는데 사이트가 부담하는 비용이 분명히 존재한다. 사이트 관계자들은 분명히 그 정확한 비용을 적어도 어림짐작하고 있을 것이다. 아마 1년에 2파운드를 넘어가지 않을 것이라 생각한다. 사용자들은 연간 2파운드어치의 서비스를 제공받기 위해 자신의 나이, 주소, 친구 정보, 방문하는 사이트의 종류, 최근 구매 내역 등 상세한 개인 정보들을 그들에게 제공한다. 이들 정보는 각각의 회원들에 특화된 광고를 노출할 때 매우 유용하게 이용된다. 당신의 정보들은 2파운드보다 훨씬 더 가치 있는 정보들인 것이다. 만약 비콘 기능이 계속 존재했다면, 나는 가장 앞장서서 그 기능의 폐지를 위해 싸웠을 것이다. @