하트블리드 취약점 2년전 첫 제보자 인터뷰

"오픈소스 커뮤니티가 없었다면 하트블리드 취약점이 더 오랫동안 방치돼 누군가에게 악용됐을 겁니다." 

최근 대형 보안 이슈로 불거진 '하트블리드' 취약점에 대해 2년 전 관련 내용을 구글에 제보한 국내 개발자가 있다. SK플래닛에서 근무하는 개발자 전병권씨(34세)다.

알려진 것과 달리 그는 하트블리드 취약점을 처음부터 끝까지 밝혀낸 것은 아니다. 최초 제보자로 볼 수 있다.

13일 경기도 판교 SK플래닛 사옥에서 그를 만났다. 그는 하트블리드 취약점에 대한 내용을 제보하게 된 것을 두고 '소 뒷걸음질 치다 쥐 잡은 격'이라고 말했다.

'구글개발자그룹(GDG) 코리아 안드로이드' 운영자로도 활동 중인 그가 하트블리드 관련 버그를 발견한 것은 2012년 7월 초다. 그는 당시 안드로이드 4.1.1 젤리빈 운영체제(OS)로 업그레이드하고 나서 특정 프로토콜로 사내 네트워크용 무선랜(AP)에 접속할 때 오류가 발생한다는 사실을 알게 됐다. 당시 그가 사용하던 스마트폰은 삼성전자 갤럭시 넥서스였다.


▲ SK플래닛 전병권 개발자
버그리포트를 올리자 구글 레퍼런스폰 사용자들 사이에 댓글이 쏟아졌다. 이전 버전인 안드로이드 4.0 아이스크림샌드위치(ICS)에서는 오류 없이 작동하던 무선랜에서 생긴 문제이기 때문이다. 

전병권 개발자는 안드로이드 오픈소스 프로젝트(AOSP)에 공개된 젤리빈 코드를 살펴본 뒤 문제를 수정한 패치를 만들었다. 

하트블리드 취약점은 우리나라말로 직역하면 '심장출혈'을 말한다. 오픈소스로 공개된 암호화 통신 기술인 '오픈SSL'은 클라이언트(PC 혹은 스마트폰)와 서버 사이에 암호화 통신을 주고 받기 위해 필요한 표준 프로토콜이다. 문제가 된 것은 오픈SSL 암호화 통신 속도를 높이기 위해 사용된 확장기능인 하트비트 프로토콜이다. 

하트비트에서 발견된 취약점을 악용하면 서버에 저장된 개인정보, 서버키 등에 대한 정보가 심장에서 출혈이 나듯 새나가 조금씩 빼낼 수 있는 것이다. 

전병권 개발자가 이 점까지 염두에 두고 리포팅 한 것은 아니었다. 그러나 구글 본사 엔지니어인 브라이언 칼스트롬이 그가 올린 리포트를 보고 문제해결을 위해 서로 의견을 교환했다. 이 과정에서 나온 대안이 하트비트 프로토콜을 사용하지 않는 것이다.

만약 전병권 개발자가 해당 내용에 대한 리포트를 올리지 않았었다면 젤리빈에서 발견된 하트블리드 취약점은 지속적으로 문제를 발생시켰을 것이다. 그는 "이 같은 일련의 과정이 오픈소스 형태로 공개된 안드로이드, 관련 개발자들이 참여하는 커뮤니티가 없었다면 지금도 수년째 방치돼 더 심각한 문제를 초래했을 것"이라고 밝혔다.

일각에서는 오픈소스 개발 프로젝트에서 보안 문제가 불거진 것이 한두번이 아니라며, 현업 개발자들이 따로 시간을 내 자원봉사나 마찬가지로 이뤄지는 프로젝트 특성이 화를 키운 것이라고 지적한다. 개발자들이 미처 보안문제에 대해 사전에 검사하고 모니터링하기 위한 자금, 시간 등에 대한 지원이 없어 문제가 커졌다는 것이다. 

이러한 주장에 대해 전병권 개발자는 "만약 오픈SSL, 안드로이드가 오픈소스 형태로 공개되지 않았었다면 문제가 수면 위로 드러나기까지 지금보다 훨씬 오랜 시간이 걸렸거나 아예 공개되지 않았을 가능성이 컸다"고 설명했다. 공개되지 않은 소스였다면 이런 식으로 취약점이 밝혀지기 힘들었을 것이란 얘기다.
 
그는 오픈소스 생태계가 활발한 지금, GDG 안드로이드 커뮤니티와 같은 곳에서는 다른 개발자들이 생각하지 못했던 문제점들을 파악하고, 이를 공유해 집단지성으로 문제를 풀 수 있다는 장점이 있다고 강조했다.