모질라 출신 개발자 "백신 다 지워라"

"안티바이러스, 오히려 보안에 도움 안 돼"

컴퓨팅입력 :2017/01/30 10:47    수정: 2017/02/01 13:30

윈도용 바이러스를 잡기 위한 백신 프로그램을 쓰지 말라는 과격한 주장이 제기됐다. 안티바이러스 소프트웨어(SW)를 써도 득보다 실이 많다는 메시지다. 해당 발언 주인공은 모질라 출신 엔지니어 로버트 오칼라한(Robert O'Callahan)이다.

오칼라한은 지난 26일 개인 블로그에 마이크로소프트(MS) '윈도 디펜더'를 제외한 모든 안티바이러스 SW를 버리라는 글을 썼다. 과거 모질라에서 일할 때 고수 개발자에게 부여되는 '디스팅기시드 엔지니어(Distinguished Engineer)' 직함을 받은 인물이 내놓은 메시지라 눈길을 끈다.

[☞참조링크: Disable Your Antivirus Software (Except Microsoft's)]

[사진=Pixabay] 안티바이러스 백신 보안 사이버공격 가드 실드 디펜더 방어 전투 방패 검투사 병사 전쟁

오칼라한은 글에서 "안티바이러스SW 제조사는 끔찍하다"며 "안티바이러스SW를 사지 말고, 이미 갖고 있다면 삭제하라(MS의 윈도용 제품은 예외로 두라)"고 주장했다. 다만 이는 사용자 운영체제(OS)가 최신 업데이트를 적용한 경우 얘기다. 오칼라한은 윈도XP처럼 더 이상 OS 제조사 보안 패치를 지원받을 수 없는 환경에선 안티바이러스SW가 '약간 덜 불운하게' 만들어 줄 것이라고 덧붙였다. 요컨대 최신 패치를 적용한 OS의 자체 보안 기능에만 의존하는 게, 안티바이러스 SW를 쓰는 것보다 오히려 안전하다는 얘기다.

오칼라한이 이런 주장을 펴는 근거는 상용 안티바이러스 SW제품에서 숱하게 발견되는 '보안결함'들이다. 그는 취약점 발견자에게 포상금을 주는 구글의 '프로젝트 제로'에 제보된 안티바이러스의 버그 목록이 단지 해당 제품들이 공격 통로를 열어줄 뿐아니라, 보안업체 소속 개발자들이 표준적인 보안성 준수 조치를 행하지 않았다는 점을 보여준다고 지적했다. 그는 이어 안티바이러스 제품들은 그 침습적이고 서툴게 구현된 코드 때문에 브라우저 개발업체 및 다른 개발자가 스스로 보안을 향상시키기 어렵게 만든다고 비판했다.

그는 윈도용 파이어폭스에 주소공간배치난수화(ASLR) 기술을 처음 구현했을 때 상황을 예로 들었다. 당시 안티바이러스 제조사들은 파이어폭스의 구동 프로세스에 ASLR 무력화 DLL 기능을 적용하는 식으로 이런 보안 불능 상태를 만들었다. 안티바이러스 SW가 사용자들의 중요한 보안 픽스를 내려받기 위한 파이어폭스 업데이트를 수차례 차단하기도 했다. 안티바이러스 SW로 인한 오작동 문제를 해결하는데 개발자의 상당한 시간이 허비됐다. 본래 제품의 보안을 향상시키는 데 쓰일 수도 있는 시간이었다.

미국 지디넷은 지난 27일 오칼라한의 블로그를 인용 보도하며 "전직 모질라 엔지니어는 크롬 보안엔지니어 저스틴 슈어(Justin Schuh)가 크롬에 여러 보안 문제를 소개하며 안티바이러스 제조사를 비판한 후 안티바이러스 사용자들에게 경고를 보내기로 결정했다"고 보도했다.

[☞참조링크: Ex top Mozilla dev to Windows users: Ditch all antivirus except Microsoft's Defender]

저스틴 슈어는 오칼라한이 블로그를 게재한 날짜와 같은 날 자신의 개인 트위터 계정을 통해 한 안티바이러스 업계 전문가와 대화하면서 "안티바이러스는 보안상 안전한 브라우저를 제공하는 데 단일한 최대 장애물"이라고 말했다. 이어 "안티바이러스의 간섭이 수년간 윈도 플래시 퇴출을 늦추고 있다"며 "우리는 안티바이러스의 취약점 감염으로 끊임없이 고통을 겪고 망가진 안티바이러스의 중간자공격은 지속적인 TLS 스트림 실패를 생성해 HSTS같은 실제 보안 기술도 망가뜨린다"고 직격탄을 날렸다.

오칼라한과 저스틴 슈어의 주장을 브라우저 개발사 입장만을 반영한 것이라 치부하기는 어렵다. 지난 25일자 미국 경제지 포브스 보도에 따르면 연구원 2명이 지난해 중순이래 보안업체 트렌드마이크로 제품 11개에 포함된 취약점을 200개 넘게 찾아냈다. 트렌드마이크로 측은 이런 결함을 빠르게 수정하긴 했지만, 어째서 해당 점검이 진행될 동안에는 보안업체 측이 스스로 그걸 찾아내지 못했느냐는 의문이 제기될 만하다.

[☞참조링크: Hackers Tear Apart Trend Micro, Find 200 Vulnerabilities In Just 6 Months]

관련기사

미국 지디넷은 "안티바이러스의 가치에 의문을 제기한 건 오칼라한이 처음이 아니다"라며 "(안티바이러스 제품인) 노턴 개발업체 시만텍조차 안티바이러스가 사용자를 보호하는 데 실패했음을 인정했다"고 지적했다. 이는 브라이언 다이 시만텍 정보보안 부문 수석부사장이 지난 2014년 5월 월스트리트저널과의 인터뷰에서 발언한 내용이다. 악성SW 대응 기술 시장이 서비스거부 공격, 스피어피싱, 네트워크 침입 등으로 확대되는 가운데 시만텍의 엔드포인트 보안기술만으로는 전체 보안 수요에 잘 대응하지 못한단 언급이었다.

[☞참조링크: Symantec calls antivirus 'doomed' as security giants fight for survival]