세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
데프콘 강연 후 해고된 직원들, “오픈소스화 하고 싶었다”
  |  입력 : 2017-08-11 11:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
항상 멀웨어 만들고 끊임없이 공격해야 하는 레드팀 위해 만든 툴
혁신 1위 기업 세일즈포스, 문자로 “강연 하지 말라” 경고 후 “해고” 통보


[보안뉴스 문가용 기자] 세계적인 해킹 컨퍼런스 데프콘에서 강연을 한 보안 전문가 두 명이 원래 소속되어 있던 회사로부터 해고를 당했다. 강연을 통해 회사 내에서 개발하고 있던 방어 툴을 이 둘이 허가 없이 공개했기 때문이다. 그러나 이것이 단순 ‘명령 불복종’이라거나 ‘불법 자료 유출’로 볼 수만은 없다.

[이미지 = iclickart]


문제의 회사는 포브스가 선정한 100대 혁신 기업 1위에 꼽힌 세일즈포스(Salesforce)다. 세일즈포스는 네트워크 보안 강화를 위해 블루팀과 레드팀을 운영하고 있는데, 이번에 데프콘 강연에 나선 것은 레드팀 소속의 조시 슈와츠(Josh Schwartz)와 존 크램(John Cramb)이다. 각각 선제보안 책임자와 수석 선제보안 엔지니어였다.

통상 기업 내에서 레드팀은 내부적인 공격을 가하고, 블루팀은 그걸 방어하는 역할을 맡는다. 모의 전쟁을 둘이 벌여 네트워크가 강화되도록 하는 것이다. 그래서 레드팀의 경우는 항상 새로운 멀웨어나 공격 툴을 활용해야 하는 부담감이 있다. 슈와츠와 크램 역시 마찬가지였으며, 이 부담을 좀 줄이기 위해 ‘멀웨어 프레임워크’를 개발했다. 이 프레임워크의 이름은 미트피스톨(MEATPISTOL)로, 유명한 오픈소스 침투 테스트 툴인 메타스플로잇(Metasploit)의 철자를 재조합해서 만든 이름이다. 이름처럼, 메타스플로잇을 기반으로 만들어지기도 했다.

이들의 미트피스톨 개발 목적과 강연 목적은 데프콘 웹 사이트의 강연 소개글에서 고스란히 드러난다. “레드팀 소속 보안 담당자들과 침투 테스터들께 드리는 희소식! 그 동안 끊임없이 멀웨어를 개발하고, 같은 인프라를 계속해서 공격하면서 조직 전체의 보안도 강화시켜야 하는 것이 너무나 힘들지 않으셨나요? 저희도 그랬습니다. 그래서 레드팀이나 침투 테스터들이 시간을 좀 더 효율적으로 쓸 수 있도록 뭔가를 준비했습니다. 이름은 미트피스톨로, 모듈화된 멀웨어 프레임워크입니다. 그리고 그것을 데프콘을 통해 처음 공개할 예정입니다.”

또한 이들은 해당 강연에 앞서 “미트피스톨 프레임워크는 C&C 인프라와 관련되어 있는 멀웨어 임플란트를 빠르게 만들고 설정하는 데에 큰 도움이 될 것으로 기대한다”며 “한 번 쓰고 버리는 멀웨어는 가고 공격 대상에 딱 맞는 가짜 공격 캠페인을 효율적으로 기획하게 할 프레임워크가 올 것”이라고도 설명했다.

해외 매체인 아스테크니카(Ars Technica)에 따르면 세일즈포스 측이 이 강연에 대해서 처음부터 부정적인 입장인 것은 아니었다. 하지만 강연 목적에서 보이다시피 슈와츠와 크램의 목적은 “내가 편하기 위해서”가 아니라 “모든 레드팀들을 위해서”였다. 둘은 강연 허가를 받은 데에 이어 미트피스톨을 오픈소스화 하고 싶다고 회사에 알렸는데, 세일즈포스는 이 부분을 허용할 수 없다고 했다. 그래도 둘은 계속해서 설득을 시도했고, 세일즈포스는 계속해서 거절했다. 강연은 그 공방이 끝나지 않은 시점에 일어난 것이다.

슈와츠와 크램은 강연 허락은 어차피 받은 거니까, 데프콘 현장에서 공개해버리면 회사가 싫든 좋든 미트피스톨이 오픈소스나 다름없이 공개될 것으로 생각한 듯 하다. 이 점은 세일즈포스도 눈치를 챘거나 우려를 했던지, 강연 시작 30분 전에 강연을 하지 말라는 문자메시지를 둘에게 보냈다. 하지만 슈와츠나 크램은 이 문자를 보지 못했고, 결국 강연대에 서고 말았다. 강연이 끝나고서 몇 분 지나지 않아 이 둘에게는 해고 통보 메시지가 도착했다.

슈와츠와 크램은 “여전히 미트피스톨은 오픈소스화 되어야 한다고 믿고 있다”고 트위터를 통해 심정을 밝히고 있다. 또한 “그렇게 하기 위해 계속해서 여러 가지를 시도하고 있다”고도 발표했다. 전자프런티어재단(EFF)는 이 두 전문가를 위해 변호사를 선임하고 지원했으나, 아직 정식으로 법적 절차를 밟고 있는 것으로 보이지는 않는다. 세일즈포스 측도 법적인 움직임을 보이고 있지는 않다.

한편 이 둘의 강연은 데프콘에서 커다란 인기를 불러 모았다고 보도되고 있다. 또한 강연 직후 해고된 것 역시 행사장 내에 파다하게 퍼졌다고 한다. 보안 업계는 두 전문가에게 우호적인 편으로, 현재 이 두 사람에게 이미 채용 제의가 여러 건 들어왔다. 그러나 둘은 현재 트위터 계정도 private으로 돌려놓고 침묵을 지키고 있는 상태다. 세일즈포스 측 역시 별 다른 언급을 하지 않고 있다. 현행법상 미트피스톨의 소유권은 세일즈포스 측에 귀속될 가능성이 높은 것으로 보인다.

사건의 본질은 회사 측의 합법적인 소유권에 대한 직원의 일탈 행위일까, 아니면 공유와 협력의 방어전선을 구축해야만 하는 현재 보안 상황을 이해하지 못하는 혁신 1위 기업의 의외의 구태일까?
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)