정부 감시 염려없는 브라우저는 파이어폭스뿐?

모질라 CTO, 다른 제품과 차별화 주장

일반입력 :2014/01/15 11:20    수정: 2014/01/15 11:23

파이어폭스가 정부 감시에서 자유로울 수 있는 유일한 브라우저다?

파이어폭스 브라우저를 만드는 모질라의 최고기술책임자(CTO)가 일반 사용자들에게 소프트웨어(SW) 개발사들을 무턱대고 믿지 말라며 정부의 감청 규제에서 자유로울수 있는 SW는 오픈소스 뿐이라고 주장해 주목된다.

브렌던 아이크 모질라 CTO는 지난주 안드레아스 갈 모질라 부사장의 블로그에 모질라연구소와 공동 작성한 글 '신뢰하되 검증하라(Trust but Verify)'를 통해 이같이 주장했다. 갈 부사장은 모질라 연구소에서 연구개발을 이끌고 모바일 엔지니어링 부문을 담당하는 임원이다.

아이크 CTO는 현존하는 모든 주요 브라우저들은 정부 감청법의 영향아래 있는 조직을 통해 배포된다며 감청법 체제에서 정부는 SW업체들이 제품에 (사용자에 대한) 감시 역할을 수행하는 코드를 넣도록 강제할 수 있고, 해당 업체가 그런 코드의 존재여부를 외부에 확인해주지 못하게 할 수 있다고 주장했다.

그에 따르면 오픈소스SW는 이런 정부 감청 위험을 누그러뜨리는 데 도움이 된다. 제품 사용자들이 소스코드를 검토해 잠재적으로 SW가 구동되고 있는 전산시스템에 몰래 접근할 수 있는 우회통로(백도어)를 발견할 기회를 확보할 수 있기 때문이다.

아이크 CTO는 이와 같은 이유로 보안연구원들이 오픈소스 프로젝트의 원본 소스코드를 컴파일한 결과물과 해당 SW업체가 배포하는 실행가능한 파일(바이너리)을 대조해, 일반 사용자들이 내려받는 SW에 공개되지 않은 구성요소들이 포함돼 있는지 확인할 수 있다는 점도 중요하다고 지적했다.

그는 이처럼 결과물과 오픈소스 프로젝트의 소스코드를 컴파일한 실행파일을 대조하는 방식이 마이크로소프트(MS)에서 제공하는 웹브라우저, 인터넷익스플로러(IE)같은 제품에 적용될 수 없다고 지적했다. MS가 독점적인 SW제품의 소스코드를 사용자들에게 제공하지 않기 때문이다.

여기에 아이크 CTO는 오픈소스 브라우저 렌더링 기술인 애플 웹킷(Webkit)이나 구글 블링크(Blink)조차 안전하지 않다고 덧붙였다. 애플이 웹킷을 사용해 만든 브라우저 사파리와 구글이 블링크를 담아 만든 크롬도 오픈소스가 아닌 독점 코드를 포함해 여기에 정부의 감시용 기술이 투입될 수 있다는 이유에서다.

그의 결론은 모질라가 만드는 파이어폭스만이 정부의 감청 기능을 수행할 수 있는 코드를 절대 품지 않아 온전히 믿을 수 있는 브라우저라는 주장이다. 이는 비영리 조직인 모질라재단이 그 자산에서 경비를 충당해 파이어폭스를 100% 오픈소스 프로젝트 기반으로 만들어온 덕분이라는 설명이다.

아이크 CTO가 주장의 논거로 동원한 오픈소스 관련 언급은 사실이지만, 비판의 여지도 있다. 영국 IT미디어 더레지스터는 14일(현지시각) 이를 소개하며 파이어폭스가 100% 오픈소스라는 사실이 반드시 사용자를 감청에서 막아준다는 건 아니다라고 지적했다.

일례로 사용자의 신원을 감춰주는 '토르(Tor)' 네트워크를 통해 지난 8월 배포된 파이어폭스 변종에서 사용자의 맥어드레스를 공격자에게 빼돌릴 수 있는 보안취약점이 발견되기도 했다. 또 디지털 사기 범죄자들이 파이어폭스 사용자들에게 악성코드가 담긴 가짜 업데이트를 내려받도록 유도할 가능성도 있다.

관련기사

아이히 CTO는 이처럼 사용자를 속이는 방식의 위협에 대항하기 위한 방법으로 업계 보안연구원들에게 자동화 처리기법을 포함한 모든 효과적인 수단을 동원해 모질라 소스코드와 컴파일한 결과물(빌드)에 대한 정기 감사 활동과 이로써 파악된 이상 내역을 공개해 달라고 요청했다.

그는 보안 전문가들의 정기 감사를 받은 브라우저들은 비밀 감청 코드가 깔린 인터넷 환경에서 '신뢰의 정착점(trust anchors)'으로 통할 수 있다고 기대했다. 또 모든 방법은 제한적일 뿐 만병통치약은 없지만 오픈소스의 감사가능성(audibility)은 소스와 바이너리 감사 방식의 한계를 극복케 해준다고 덧붙였다.