SVD 보도에 따르면, 스웨덴 후딩에에 거주하는 다니엘 스텐베리 개발자가 지난 30년간 개발 및 발전시켜 온 디지털 정보 전송 프로그램 'cURL(컬)'이 현대 인터넷의 핵심 기반으로 자리 잡았으며, 이와 같은 오픈소스 프로젝트의 사이버 보안 취약성에 대한 경고가 제기되고 있습니다. 한 전문가는 cURL의 중요성을 언급하며, 만약 이 프로그램이 오용될 경우 "인터넷의 절반을 마비시킬 수 있다"고 평가했습니다.
인터넷의 핵심 기반, cURL
cURL은 자동차, 휴대폰, 헬리콥터, 식기세척기 등 전 세계 수십억 개의 장치에 설치되어 인터넷 연결이 필요한 거의 모든 곳에 사용되는 필수적인 도구입니다. 스텐베리 개발자는 cURL이 1990년대 중반 환율 정보 업데이트를 위한 도구로 시작되었으며, 이후 인터넷의 핵심 구성 요소로 성장했다고 설명했습니다. 그는 오늘날의 세계가 cURL 개발을 시작했던 당시와는 상당히 다르지만, 같은 생각을 가진 사람들과 무언가를 공유하려는 매력은 변함없이 유지되고 있다고 언급했습니다.
Xz 공격 사례와 오픈소스의 취약성
2024년 3월, 마이크로소프트 직원인 안드레스 프로인트는 Xz라는 데이터 압축 프로그램에서 심각한 사이버 공격 시도를 발견했습니다. '지아 탄'이라는 가명으로 활동한 인물이 수년간 Xz를 이용하여 전 세계 서버의 상당 부분을 장악하려 시도한 정황이 포착되었습니다. 프로인트의 발견으로 인해 Xz 업데이트가 중단되었고, 이 공격은 실패로 돌아갔습니다. 스텐베리 개발자는 이 Xz 공격 사례를 자신의 프로젝트와 유사한 내부자 위협으로 보고 있으며, 오픈소스 프로젝트가 외부의 검증을 통해 견고해지지만, 동시에 통제권을 탈취당할 경우 매우 취약해질 수 있음을 지적했습니다. 전문가들은 Xz 공격의 배후에 중국, 러시아, 이란, 이스라엘과 같은 국가 행위자나 해커 그룹이 있을 수 있다는 다양한 이론을 제시했습니다.
신뢰와 보안 유지의 중요성
스텐베리 개발자는 cURL 프로젝트에서 "신뢰가 전부"라고 강조하며, 이를 깨거나 위험에 빠뜨릴 수 없다고 밝혔습니다. 그는 cURL에 오류나 버그는 존재하지만, 세계를 장악하려는 숨겨진 시도는 없었다고 단언했습니다. KTH 교수이자 사이버캠퍼스 부소장인 폰투스 욘손은 cURL이 오용될 경우 "인터넷의 절반을 마비시킬 수 있다"고 평가했습니다. 이에 대해 스텐베리 개발자는 자신에게 인터넷을 끌 수 있는 버튼은 없지만, 만약 보안 문제가 발생하여 누군가 이를 악용한다면 심각한 결과를 초래할 수 있다는 점은 인정했습니다. 그러나 그는 만약 사람들이 자신이 인터넷을 끌 수 있는 버튼을 가지고 있다고 의심한다면, cURL을 사용하지 않고 다른 대안을 찾을 것이므로, 신뢰 유지가 가장 중요하다고 역설했습니다.
cURL 프로젝트의 역사와 특징
cURL은 디지털 정보를 전송하는 프로그램으로, 다니엘 스텐베리가 1990년대 중반 환율 업데이트 정보를 가져오기 위한 도구가 필요해 개발을 시작했습니다. 수십 년에 걸쳐 이 도구는 인터넷에 연결해야 하는 수많은 기술 장치의 핵심 구성 요소로 발전했습니다. cURL은 오픈소스 프로젝트로, 누구나 접근하여 개발 과정을 확인하거나 기여할 수 있습니다. 이러한 개방성은 개별 기업이 개발한 도구보다 다양한 기업과 조직이 각자의 필요에 맞춰 도구를 조정하기 쉽게 만듭니다. 인터넷 인프라의 많은 부분과 다른 인기 있는 디지털 서비스들은 이처럼 오픈소스로 만들어진 구성 요소들을 기반으로 하고 있습니다.
