MS-모질라, 웹3D표준 보안 논쟁 '불꽃'

일반입력 :2011/07/05 10:03    수정: 2011/07/05 11:27

최근 마이크로소프트(MS)는 보안 취약성 때문에 표준 웹3D 기술 '웹GL(WebGL)'지원을 않겠다 했지만, 모질라는 이를 대신할 '실버라이트'에도 같은 약점이 있다고 맞받아쳤다. 웹GL 보안을 분석한 MS 보안대응센터(MSRC)의 직원조차 비공식적으로는 웹GL이 액티브X 같은 플러그인 기술보단 안전해 보인다는 속내를 드러내, 당초 MS의 주장이 궁색해졌다.

미국 씨넷 등 외신들은 지난달 MS가 웹GL 기술을 지원하지 않으려는 이유로 보안상 문제가 많다고 주장했지만 이는 실버라이트에도 같은 문제점이 있다고 지적한 모질라 개발자에 의해 즉각 반박됐다고 보도했다.

웹GL은 웹에서 3D로 만든 시각 요소와 게임 등을 그래픽 처리 장치(GPU) 기반 가속 기술로 구현할 때 자바스크립트로 프로그래밍해서 쓰는 그래픽 라이브러리다. 모질라와 비영리 컨소시엄 '크로노스그룹'이 표준화를 이끌고 구글, 오페라소프트웨어, 애플이 참여하고 있다.

지난달 MS가 지적한 보안 취약성은 이처럼 브라우저가 웹에서 내려받은 코드를 실행해 GPU라는 하드웨어를 다룰 수 있게 함으로써 생긴다는 게 요지다. 이를 지원할 GPU 제조사들이 브라우저에 알맞은 장치드라이버를 매번 최적화해 내놓기는 어렵다는 것이다.

이에 모질라는 MS가 개발중인 플러그인 기술, 실버라이트 5 버전에서도 같은 취약점이 존재할 수 있다며 웹GL만의 일방적인 문제로 치부할 수 없다는 뉘앙스를 풍겼다.

■맥용 실버라이트나 웹GL이나 모두 오픈GL 기반

당시 마이크 셰이버 모질라 기술 전략 부사장은 MS가 실버라이트로 3D를 구현할 때 쓰는 '다이렉트3D(D3D) 애플리케이션 프로그래밍 인터페이스(API)'를 갖고 웹GL(보안점검)을 수행할 때도 보안상 개선의 여지가 있을 것이라 본다면서 게다가 매킨토시(이하 '맥')용 실버라이트는 '오픈GL(OpenGL)'에 기반하기에 나는 (실버라이트가 웹GL과 같은 문제가 있다고) 확신할 수 있다고 말했다.

D3D는 MS가 만든 윈도 전용 3D 그래픽 라이브러리다. 그리고 오픈GL은 웹GL이 뿌리를 박고 있는 데스크톱용 3D 그래픽 라이브러리 기술로, 역시 크로노스그룹에서 표준화한다. 실버라이트가 있다지만 맥에서는 D3D를 못 쓰기 때문에 오픈GL을 통해 웹3D를 구현할 수밖에 없다.

셰이버 부사장은 MS가 자체 보안 검토 절차를 통해 기술적인 문제를 우려한 것은 합리적이라며 (이미) 그와 유사한 주제가 웹GL 표준화를 이끄는 논의에서 상당부분을 차지해왔다고 말했다.

그는 이어 MS 그래픽 팀은 (보안 취약점 공격인) '무효값 입력'에 대응해 광범위한 D3D '셰이더(Shaders)' 파이프라인 기술을 훌륭하게 만든 것으로 보인다며 웹GL에 포함된 보안문제들은 고쳐지고 있지만 눈에 잘 띄진 않는다고 말했다.

미국 씨넷은 셰이더가 3D 그래픽 하드웨어용 명령어 코드 가운데 하나로, 대규모 공격에 쓰일 수 있도록 악의적으로 만들어진 그래픽 프로그램이나 악성코드를 걸러 피해를 막아줄 수 있는 기술이라고 설명하며 셰이버 부사장이 웹GL에 관한 보안 취약성을 파악하고 있었다고 전했다.

■실버라이트5 보안은?

또 모질라 개발자 베노이트 제이코브는 최근 실버라이트에 포함된 서비스거부(DoS) 취약점을 발견해 문제점 수정을 요청한 것으로 알려졌다.

MS 관계자는 답변서를 통해 실버라이트5 버전은 현재 베타 상태로 정식판이 나올 때는 강화된 보안성을 구현해 완전한 제품을 내놓을 계획이며 (접수된) DoS 관련 문제는 곧 선보일 버전에 반영할 것이다고 밝혔다.

제이코브는 MS측에 실버라이트5에서 DoS 관련 부분을 해결하기 위해 어떤 구성요소를 손보고 있는지 궁금하다고 물으며 웹GL 작업그룹은 DoS에 유연하게 대응할 수 있는 3D API를 만들기 위해 GPU 개발사들과 협력하는데 혹시 MS도 (실버라이트5에 대해) 같은 일을 한다면 공동 진행하는 게 좋겠다고 제안했다.

MS는 그러나 내부 빌드에 DoS를 무력화할 수 있는 기술을 만드는 중이고 실버라이트5 정식판을 통해 이를 선보일 계획이라고만 언급했다. 다시 말해 보안성을 높이기 위해 '뭔가' 고치는 중이긴 한데, 그게 뭐라고 말은 못 해준단 얘기다.

■웹기술 위험성, 액티브X만큼은 아니다

이가운데 한 MS 보안 대응 센터(MSRC) 소속 엔지니어조차 회사가 제기한 웹GL 보안취약성 문제에 회의적인 입장을 보였다. 영국 온라인 IT미디어 더레지스터는 웹GL에 관한 MS의 주장이 자사 직원에게마저 배척당했다고 보도했다.

MSRC의 직원 아비 바르 지브는 개인 블로그를 통해 (MS가 제기한) 웹GL 취약성이 심각하거나 확실성이 큰 주장인지 의심스럽다며 보안 측면에서 확실히 보완이 필요하지만 '액티브X' 컨트롤처럼 브라우저에 덧붙는 어떤 기술만큼도 위험하지 않다고 지적했다.

그에 따르면 MS 개발자 네트워크(MSDN) 사이트조차 액티브X 컨트롤에 대한 소개 항목을 '액티브X 컨트롤은 특정 기능을 제공할 때 매우 보안상 불안한 방법이 될 수 있다'는 문장으로 시작한다는 것이다.

관련기사

또 바르 지브는 액티브X는 플러그인 기술로 OS에 준하는 주 메모리 접근, 디스크에 쓰기, 공식 인증된 그래픽 드라이버에서 중앙 처리 장치(CPU) 코드 분리하기 등을 할 수 있다며 웹GL은 플러그인이 아니기 때문에 액티브X처럼 시스템 내부에 대놓고 접근하도록 허용하지 않는다고 말했다.

바르 지브가 지난달 중순 작성한 해당 블로그 포스팅 제목은 'MS와 인터넷 익스플로러(IE)에 웹GL이 (그리고 그 역으로도) 필요한 이유'였다. 그러나 MS는 공식적으로 웹 환경을 위한 3D 기술로 실버라이트5를 제시할 전망이다. 일단 IE 9 버전에서 웹GL을 지원할 계획이 없으며, IE 10 버전에서 지원할지 여부는 확정되지 않은 것으로 보인다.