美, DNS 취약점 논란 뜨거워

DNS 취약점으로 미국 보안 연구자들 사이에서 때 아닌 편 가르기가 나타나 귀추가 주목된다. 지난 22일 시큐리티포커스(SecuriyFocus)는 보안 연구자 Halvar Flake가 블로그를 통해 DNS(domain-name system) 취약점에 대해 근거 있는 추측을 발표해 한 보안 업체의 실수에 의한 취약성 폭로를 유발시켰다고 보도했다.

Halvar Flake로 알려져 있는 Thomas Dullien은 보안 업체 Zynamics의 CEO로 그는 최근 블로그를 통해 이 취약성이 소프트웨어 보안에 도움이 될 수 있다며 관련 이슈에 관한 그의 이론을 주장했다. 그러나 문제는 Halvar Flake가 해당 취약성의 발견자가 아니라는 점이다. 해당 공격에 관한 브리핑을 받지 못했던 연구자들은 Halvar Flake가 해당 취약성 발견자라는데 의견을 모았다.

그러나 보안 업체 Matasano가 한 직원의 실수로 아주 잠깐 동안 회사 블로그를 통해 이 결점에 관한 게시물을 올리면서 이 취약성의 최초 발견자는 IOActive의 모의해킹 책임자 Dan Kaminsky로 알려지게 되었다(이후 Matasano는 신속히 게시물을 삭제했지만 해당 텍스트는 이미 인터넷을 통해 퍼져나간 후였다).

Flake보다 앞서 해당 취약성을 발견했던 Kaminsky가 가까운 연구자들에게 당분간 이것을 비밀로 지켜줄 것을 부탁했던 것이다. Kaminsky는 다음 달 블랙햇 보안 브리핑(Black Hat Security Briefings)을 통해 해당 작업을 소개할 예정이다.

시큐리티포커스에 따르면 이에 관해 Flake는 “사람들에게 시간을 벌어주기 위해 Dan이 연구자들에게 ‘공개적으로 추측하지 말 것’을 부탁했다는 것을 알고 있다”며 “그의 관점을 존중하지만 이것에 더 이상 시간이 필요하다고는 생각하지 않는다”고 말했다. 그러나 Flake는 자신이 이 결점을 재발견한 것은 아니라는 입장을 분명히 했다.

한편, 국내에서도 최근 안철수연구소가 DNS 프로토콜의 취약점을 이용한 공격코드가 공개되어 DNS 시스템을 운영하는 업체들에게 각별한 주의가 요망된다고 경고했다.

[김동빈 기자(foregin@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)