모 바 일 타이젠 OS에서 심각한 보안 취약점 발견
2017.04.04 21:22
2일 카스퍼키랩의 보안 서밋에서 이 같은 내용을 발표한 이스라엘 보안업체 'Equus Software'의 연구원 아미하이 나이더만은 3일 공개된 '마더보드'와의 인터뷰에서 타이젠의 취약점을 다음과 같이 설명했다.
"모든 게 잘못 되어 있다. 보안에 대해서 조금이라도 아는 사람이 이 소스코드를 살펴봤거나 작성했다고 볼 수는 없다. 이건 마치 학부생을 데려다가 소프트웨어 프로그램을 맡긴 것 같다." (마더보드 4월 3일)
마더보드는 삼성이 기본적인 코드 개발 능력도 갖추지 못하고 있다는 것을 보여주는 부분이라고 지적했다.
그는 타이젠의 코드 상당수가 낡았으며, 삼성이 휴대폰 운영체제로 개발했던 '바다'를 포함해 이전에 벌여왔던 코딩 프로젝트에서 가져온 것이라고 말했다.
나이더만은 "이 코드를 전부 가져다가 타이젠에 집어넣었다는 걸 알 수 있다"고 말했다.
그러나 그가 발견한 취약점의 대부분은 사실 타이젠에 맞춰 지난 2년 간 새로 쓰여진 코드 부분에 있었다. 이들 중 상당수는 프로그래머들이 20년 전에 저질렀던 종류의 실수와 유사했다. 기본적인 코드 개발 능력이나 이런 결함들을 발견하고 잡아낼 능력을 삼성이 갖추고 있지 못하다는 것을 보여준다.
그가 지적한 것들 중 한 가지 사례는 'strcpy()'의 활용이었다. "strcpy()"는 메모리에서 데이터를 복제하는 기능을 수행한다. 그러나 이 안에는 데이터를 기록할 만큼의 저장공간이 있는지 체크하지 못하는 오류가 내장되어 있어서 해커들이 공략할 수 있는 버퍼 오버런(buffer overrun) 발생으로 이어질 수 있다. 버퍼 오버런은 데이터 데이터가 기록되는 저장공간이 너무 작아서 데이터가 인접한 위치의 메모리에 기록될 때 발생한다. 나이더만은 이같은 결함 때문에 현재 어떤 프로그래머들도 이 기능을 사용하지 않고 있지만 삼성 개발자들은 이걸 "모든 곳에서 사용하고 있다"고 말했다. (마더보드 4월 3일)
https://www.huffingtonpost.kr/2017/04/04/story_n_15798264.html?utm_hp_ref=korea
댓글 [18]
-
김두루미 2017.04.04 23:02
-
칠황보수 2017.04.05 03:21
그냥 웃지요 ㅎㅎ
티맥스 OS 수순을.. ㅋㅋ
-
logo.gif 2017.04.05 09:14
한국 개발자 대우와 형편을 아시면 저건 당연한 수순.
-
메리아 2017.04.05 09:55
_s 함수는 안쓰면 에러나서 무시하기도 힘든데 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
-
번개 2017.04.05 10:26
알바생이 개발하거나, 하청업체 갈구었나보군요
-
히지니 2017.04.05 11:52
SW 개발인력이 구글은 2만3000명, 삼성전자는 3만2000명이지만 문제해결 능력으로 따지면 삼성 인력의 1~2%만이 구글 입사가 가능한 수준...
이라는 기사도 있지요. 뉴스에서도 나왔었고요.
해당 기사 링크 읽어 보시면 삼성의 SW 개발자의 능력을 조금이나마 엿볼 수 있을 거에요.
https://www.hankyung.com/news/app/newsview.php?aid=2016062111431
그리고, 리눅스로 사기친 쓰레기 티맥스OS를 삼성SDS에서 인수한 것만 봐도 얼마나 멍청한지 답이 나오죠. ㅎㅎ
-
번개 2017.04.05 12:40
삼성SDS 프로젝트할때 관리자 선심쓰듯이 하는 말 : 전철 막차탈수 있게 퇴근시켜 드립니다.
-
두껍밥 2017.04.05 15:24
헐.. 삼성이 티맥스 인수했어요? 에고 .. 하여튼 지금의 안드로이드 개발자인 엔디 루빈도 면접때 우습게 보고 내 쫓더니.. 사람 보는 눈도 없고 인재 보는 눈도 없고.. 기업 보는 눈도 없고... 오로지 학벌 혈연관계만 혈안이 되어 있지 않는지 모르겠네.. 엔디 루빈이 안드로이드 갖고 와서 면접 볼때 삼성 관계자가 우스광 스러운 모습에 비웃고, 옷차림에도 비웃었다..
-
DarknessAngel 2017.04.05 16:12
애초에 국내의 보안에 대한 인식자체가 문제가 있습니다
삼성만 저러는게 아니라 거의 대부분의 회사가 보안은 커녕 디버그조차 제대로 안 된 경우 허다합니다
다단계 하청구조, 촉박한 개발일정, 보안불감증등 각종 문제점이 지적되어왔고, 10년도 더 전부터 저런게 문제시 되어왔지만, 개선된건 아무것도 없습니다 (물가대비 노동단가등을 고려하면 오히려 더 나빠짐)
-
Illuminati 2017.04.05 20:44
오버플로우면 보안 이전에 안정성문제 아닌가요?
-
DarknessAngel 2017.04.06 03:21
안정성의 문제도 있지만, 보안상도 치명적입니다
특정 지점 오버플로우시키면 원하는 데이터를 원하는 지점에 삽입 가능합니다
예를 들어 10바이트 저장 가능한 공간에 10바이트+@를 삽입 시도하면 남는 만큼 데이터가 정상이라면 날아가던지, 거부해야하는데, 저 함수는 입력값 체크 기능이 없어서 그런거 없이 그냥 이후 공간에 @의 내용물을 덮어버립니다 (한마디로 원래 저 함수가 넣어야할 값 + 현제값 + 삽입 원하는 값만큼 더한걸 집어넣으면 프로그램 작동을 시키면서 (사용자 인지가능 증세 없다는 애기) 특정부분의 값만 변경하는게 가능합니다 (원래는 이런걸 막기 위해서 기본적으로 저런 함수 쓰면 안 되고, 특정값의 위치 알기 힘들게 만들기 위해서 중요한값은 주소 랜덤화등의 보호장치를 마련해놔야합니다)
마지막으로 저 함수를 쓰면 값 1개 복사할때마다 계속 사이즈를 확인하기때문에 성능도 나빠집니다 (예를 들어 10개의 값을 복사하는경우 1개 복사할때마다 확인하느라 10번이나 끝났는지 체크해봅니다)
-
네이놈 2017.04.05 22:54
삼성이 저렇게 허술했단 말인가.... 삼성도 별거 없네..
-
노래하는다롱이 2017.04.05 23:00 삼성이 이 정도면 나머지 한국 기업은?
-
민승한 2017.04.06 01:08
그럼에도 불구하고 포기 하지 않고 계속 진행 했으면 좋겠습니다. 개인적으로는.
모든 프로그램은 처음부터 잘 만들어질 수는 없죠. 시간이 없든, 처음 만들어보든 간에.
윈도우나 기타 OS 들은 수많은 오류 및 버그, 그리고 문제점을 몇 년 혹은 몇 십년에 걸쳐서 해결하고 진화하고 있습니다.
삼성도 마찬가지겠죠. 이제 막 나온 신생아 일 뿐 이죠.
포기 하지 말고 꾸준히 해나가면 분명 좋은 OS가 나오겠죠.
-
DarknessAngel 2017.04.06 03:23
저런 기본적인 문제부터 해결 안 된 상태라면 최악의 경우 어느정도 완성된 다음에 그걸 다 갈아엎고 처음부터 소스 다 다시 짜야할 가능성도 있습니다 (그럴바엔 차라리 분량이 적고, 아직까지 문제가 표면화 되지 않은 지금 단계에서 갈아엎는게 낫습니다)
내버려두면 해당 소스 사용한 모든 기기의 보안이 다 뚤릴 가능성이 있으므로 대규모 범죄등에 이용될 가능성이 있고, 그때되서 갈아엎으면 늦습니다 (새로 다 짜는데 1, 2개월만에 끝날리도 만무하니 아무리 빨라도 늦음)
-
메리아 2017.04.06 09:37
처음부터 다 잘할 수는 없는건 맞지만,
그 피해를 고스란히 고객이 떠안는게 문제죠.
그리고 저건 초기실수의 문제가 아닙니다.
"기본"의 문제죠. 그리고 "실수가 아닙니다."
저기서 지적한 것들은 거의 모두 개발프로그램에서 에러와 경고를 무수히 날리는 것들입니다.
말씀하신 "실수"를 하지 말라고 다 그렇게 만들어놨죠.
무시하고 싶어도 강제로 무시하는 코드를 삽입하지 않는한,
절대 그냥 통과 못합니다.
"빨리빨리" 병에 의해 의도적으로 다 무시하도록 처리했다는겁니다.
그리고 그 과정상 보안위협을 아예 모르는건 불가능합니다.
저런건 결코 초보의 실수가 아닙니다.
그냥 무개념인거지.
-
DarknessAngel 2017.04.06 16:42
그러고보니 몇년전부터 IDE나 컴파일러 저런 함수 쓰면 다 경고하는지라 내버려두면 warning 도배되겠군요
-
홍초리 2017.04.08 11:53
이거 쓰는 사람 있나. 그냥 빨리빨리 .. 패스
역시나 군요