나는 이런 류의 회사들과 면접을 본 적이 있음(기사에서 언급된 회사는 아님) 실제로 내가 오퍼를 받은 후 그들이 내게 취약점을 활용하는 모습을 포착한 경험이 있음 이 상황 역시 그런 맥락이라 추정함 이런 취약점들을 재판매 목적으로 개발하는 걸 양심적으로 할 수 있다고 생각하지 못하겠음 이런 회사들이 자사 직원에게까지 공격 도구를 쓰는 걸 거리낌 없이 한다면, 의회, 법원, 투자은행, IT 리더 등 실제 권력자들을 상대로 쓰는 데도 아무런 제약이 없을 것임 그 결과 세계에서 가장 영향력 있는 사람들을 협박할 수 있는 능력이 생김 참고로 이 회사들이 반체제 인사나 기자에게 쓰려 계획 중이라는 점은 언급도 안 했음
이런 회사들은 기본적으로 윤리적 가치관이 강한 사람들을 알아서 걸러내고, 최악의 경우 "남을 몰래 감시하고 싶다"고 생각하는 사람들을 끌어들임 이런 현실이 무서움
이런 일이 양심적으로 개발될 수 없겠냐고 묻는다면, 반확산 정보 활동은 어떤 식으로든 이뤄질 테고, CNE(컴퓨터 네트워크 활용 활동)은 인간 정보 활동보다 비용과 피해가 적다는 점을 말하고 싶음 물론 전 세계적으로 이 기술이 반체제 인사와 기자 등에게 악용되는 현실은 심각한 문제임 나 역시 이런 분야에 일하고 싶지는 않음(그리고 이제는 그런 역량도 없음) 하지만 NATO 소속 국가들을 위해 이 업계에서 일하는 것에 안심하는 사람들은 논리적 근거를 가지고 있음 사법·정보기관을 근본적으로 불신하는 건 극소수이고 이 분야에 종사하는 가족을 자랑스러워하는 집안도 많음 여기서 정말 중요한 포인트는 "우리 의견은 아무런 의미가 없음"이라는 것임 지금 시장 가격이라면 거의 모든 국가가 CNE 기술을 살 수 있고, NATO 외 업체들도 이 시장을 충분히 공급하고 있음
그들이 실제로 공격 시도까지 했다는 건 정말 충격적임 구체적으로 어떻게 공격당했는지 궁금함 문자 메시지로 링크를 보냈다든지, 다른 어떤 방식이었는지 알려줬으면 좋겠음
혹시 이게 그냥 면접의 한 과정이었을 수도 있음
이런 이유 때문에 나는 사이버보안 업계에서 일하고 싶지 않음 너무 위험한 분야임, 정말 무법지대 같음
기사에 나온 "Gibson이 취약점·스파이웨어를 직접 개발하다가, 스파이웨어 공격을 직접 당한 첫 번째 문서화된 사례일 수 있다"는 구절을 봤음 그런데 최근 몇 달 동안 Gibson 외에도 공격을 당한 다른 스파이웨어 및 취약점 개발자들이 있었던 것으로 보임
나는 개발자와 전 직장 사이의 드라마보다 Apple이 이런 결정을 내리는 방식에 더 관심이 감
이전 직장이 와이파이 샌드박스거나 Stingray류 기기를 썼을 수 있는데, Apple에서는 이 트래픽이 iMessage/PushNotification 공식 채널을 통해 이뤄졌다는 걸 파악할 수 있음
"나는 공황 상태였다"라는 Gibson의 말에서, 혹시 진짜 이름이 Jay Gibson인데 기자가 몰라서 저렇게 썼나 하는 상상에 웃음이 났음
"Apple exploits developer에게 알림"이라는 기사를 여러 번 다시 읽어야 의미를 이해할 수 있었음 처음엔 "Apple의 알림이 어떻게든 개발자를 공격하다"로 읽혔고, 나중엔 "Apple 알림이 보안 취약점 만드는 개발자에게 보내지는구나"로 해석했음
그러면 Apple이 개발자에게 "취약점"을 알려줬다는 의미인가? :)
결국 누군가 그 조직 내에서 Chrome 취약점을 유출했고, 이 사람이 일종의 희생양으로 선택된 느낌임 물론 이 모든 상황이 진짜라기보다는 꾸며낸 이야기처럼 느껴지기도 함
이 사람은 자신이나 (또는 그 윗선의 대형 고객들이) 자기가 뭔가를 유출했는지 확인 가능할 도구가 있음에도, 그들이 굳이 "정말 그랬는지" 제대로 확인하지 않을 거라고 생각했다니 정말 순진한 생각임 아마도 경고의 의미로 보여주기식 움직임도 있었을 것임
"나는 공황 상태였다"라는 Gibson의 인용문을 보고, 나중에는 "정밀 포렌식 분석 없이는 왜 공격당했는지 알 수 없다", "본인은 Apple의 위협 알림이 Trenchant 퇴사 상황과 관련 있다고 믿는다" 이런 흐름이 기사에 담겼음 재미있는 점은 (1) 이런 일이 자기에게 일어날 거라 한 번도 예상하지 못했다는 것, (2) 그런 상황에 언론 인터뷰는 하면서 보복은 두려워한다는 점임 솔직히 이미 이 정도면 알고 싶은 사람들은 진짜 이름 다 알고 있을 텐데 말임
이 이야기는 솔직히 꽤나 허구 냄새가 강하게 남 아니면 이 사람이 업계에서 그렇게 유명하지 않은 저격수급 인물일 수도 있음 보통 취약점 연구 일을 한다면 모든 공격 벡터를 명확히 파악해야 하며, Trenchant처럼 민감한 회사에 있다면 Apple 기기를 업무에 (적어도 완전히) 사용하지는 않을 것임 일반적으로 본인은 공개용 일반 폰과, 아주 보안이 강화된 사설 폰을 따로 구비해 운영함 Apple폰은 라우터에 연결해 패킷 트래픽을 보면 Apple로 가는 수많은 데이터가 나와 통제 불가 상태임 반면, 내가 해외 갈 때 들고 다니는 커스텀 루팅 및 de-googled 안드로이드 폰으로 같은 실험을 하면 ntp 트래픽밖에 안 남음 그나마도 인증서 시간 오차 방지를 위함임
이런 상황에서 언론에 나서는 것도 본인이 실종되는 걸 막기 위한 전략 차원의 선택일 수 있음
"감시용 소프트웨어를 만든 Gibson 스스로 스파이웨어의 표적이 된 첫 문서 사례"라는 대목에서, "레오파드가 내 얼굴을 먹었다(leopards ate my face)" 밈이 떠오름 결국 이런 도구들은 실제로 사용하려고 개발하는 것임
이미 20여 년 전부터 취약점 개발자들이 스파이웨어의 주 표적이 되어 온 건 업계에 너무나 잘 알려진 사실임 기자가 이쪽 업계 사정을 잘 모르는 듯함
기사 전체가 Gibson이 Trenchant/L3Harris에서 해고당한 다음에 나온 "네 말, 내 말" 식 논란처럼 느껴짐
나 역시 방산 계약직에서 옛날에 비슷하게 당한 적 있어서 Gibson에게 어느 정도 공감함 이런 회사들은 근사한 연봉과 “좋은 일” 하게 해준다는 약속으로 사람을 끌어들인 다음, 결국은 직원의 에너지를 다 쥐어짜 수익을 뽑고, 문제가 생기면 책임을 다 떠넘김(특히나 내부 비리나 잘못을 양심적으로 보고하려 하면 즉시 쫓아내고, 업계에서 완전히 찍히게 만들음) 이런 사람들에게 일하지 않는 게 최선이지만, “선한 일”이나 “나쁜 놈 잡겠다”는 나이브한 생각으로 계속 이런 회사에 속는 사람들이 나옴 결국엔 “레오파드가 내 얼굴을 먹었다” 밈이 됨
“입대해서 탑시크릿 클리어런스 받고 LAN 관리와 장교들에게 PowerPoint에 이미지 넣는 법을 가르쳐주면 절대 실직하지 않는다”는 말을 믿고 시작했음 하지만 실제 일은 결국 누군가의 파워포인트 전쟁에서 쉽사리 교체 가능한 부품 취급만 받는 게 전부였음 모든 회의가 “네, 알겠습니다”만 반복하는 고위험 연극 같은 느낌이고, 책임감은 선택이고, 목소리 내면 바로 잘림 수십억 달러 실수도 “배운 교훈”이라며 넘어가고 내겐 오히려 정직함 타령임 이건 마치 “임금님이 알몸” 게임인데 다들 목끈 달고 기밀 불안감만 떨고 있음
Hacker News 의견
나는 이런 류의 회사들과 면접을 본 적이 있음(기사에서 언급된 회사는 아님) 실제로 내가 오퍼를 받은 후 그들이 내게 취약점을 활용하는 모습을 포착한 경험이 있음 이 상황 역시 그런 맥락이라 추정함 이런 취약점들을 재판매 목적으로 개발하는 걸 양심적으로 할 수 있다고 생각하지 못하겠음 이런 회사들이 자사 직원에게까지 공격 도구를 쓰는 걸 거리낌 없이 한다면, 의회, 법원, 투자은행, IT 리더 등 실제 권력자들을 상대로 쓰는 데도 아무런 제약이 없을 것임 그 결과 세계에서 가장 영향력 있는 사람들을 협박할 수 있는 능력이 생김 참고로 이 회사들이 반체제 인사나 기자에게 쓰려 계획 중이라는 점은 언급도 안 했음
이런 회사들은 기본적으로 윤리적 가치관이 강한 사람들을 알아서 걸러내고, 최악의 경우 "남을 몰래 감시하고 싶다"고 생각하는 사람들을 끌어들임 이런 현실이 무서움
이런 일이 양심적으로 개발될 수 없겠냐고 묻는다면, 반확산 정보 활동은 어떤 식으로든 이뤄질 테고, CNE(컴퓨터 네트워크 활용 활동)은 인간 정보 활동보다 비용과 피해가 적다는 점을 말하고 싶음 물론 전 세계적으로 이 기술이 반체제 인사와 기자 등에게 악용되는 현실은 심각한 문제임 나 역시 이런 분야에 일하고 싶지는 않음(그리고 이제는 그런 역량도 없음) 하지만 NATO 소속 국가들을 위해 이 업계에서 일하는 것에 안심하는 사람들은 논리적 근거를 가지고 있음 사법·정보기관을 근본적으로 불신하는 건 극소수이고 이 분야에 종사하는 가족을 자랑스러워하는 집안도 많음 여기서 정말 중요한 포인트는 "우리 의견은 아무런 의미가 없음"이라는 것임 지금 시장 가격이라면 거의 모든 국가가 CNE 기술을 살 수 있고, NATO 외 업체들도 이 시장을 충분히 공급하고 있음
그들이 실제로 공격 시도까지 했다는 건 정말 충격적임 구체적으로 어떻게 공격당했는지 궁금함 문자 메시지로 링크를 보냈다든지, 다른 어떤 방식이었는지 알려줬으면 좋겠음
혹시 이게 그냥 면접의 한 과정이었을 수도 있음
이런 이유 때문에 나는 사이버보안 업계에서 일하고 싶지 않음 너무 위험한 분야임, 정말 무법지대 같음
기사에 나온 "Gibson이 취약점·스파이웨어를 직접 개발하다가, 스파이웨어 공격을 직접 당한 첫 번째 문서화된 사례일 수 있다"는 구절을 봤음 그런데 최근 몇 달 동안 Gibson 외에도 공격을 당한 다른 스파이웨어 및 취약점 개발자들이 있었던 것으로 보임
나는 개발자와 전 직장 사이의 드라마보다 Apple이 이런 결정을 내리는 방식에 더 관심이 감
"나는 공황 상태였다"라는 Gibson의 말에서, 혹시 진짜 이름이 Jay Gibson인데 기자가 몰라서 저렇게 썼나 하는 상상에 웃음이 났음
"Apple exploits developer에게 알림"이라는 기사를 여러 번 다시 읽어야 의미를 이해할 수 있었음 처음엔 "Apple의 알림이 어떻게든 개발자를 공격하다"로 읽혔고, 나중엔 "Apple 알림이 보안 취약점 만드는 개발자에게 보내지는구나"로 해석했음
결국 누군가 그 조직 내에서 Chrome 취약점을 유출했고, 이 사람이 일종의 희생양으로 선택된 느낌임 물론 이 모든 상황이 진짜라기보다는 꾸며낸 이야기처럼 느껴지기도 함
이 사람은 자신이나 (또는 그 윗선의 대형 고객들이) 자기가 뭔가를 유출했는지 확인 가능할 도구가 있음에도, 그들이 굳이 "정말 그랬는지" 제대로 확인하지 않을 거라고 생각했다니 정말 순진한 생각임 아마도 경고의 의미로 보여주기식 움직임도 있었을 것임
"나는 공황 상태였다"라는 Gibson의 인용문을 보고, 나중에는 "정밀 포렌식 분석 없이는 왜 공격당했는지 알 수 없다", "본인은 Apple의 위협 알림이 Trenchant 퇴사 상황과 관련 있다고 믿는다" 이런 흐름이 기사에 담겼음 재미있는 점은 (1) 이런 일이 자기에게 일어날 거라 한 번도 예상하지 못했다는 것, (2) 그런 상황에 언론 인터뷰는 하면서 보복은 두려워한다는 점임 솔직히 이미 이 정도면 알고 싶은 사람들은 진짜 이름 다 알고 있을 텐데 말임
이 이야기는 솔직히 꽤나 허구 냄새가 강하게 남 아니면 이 사람이 업계에서 그렇게 유명하지 않은 저격수급 인물일 수도 있음 보통 취약점 연구 일을 한다면 모든 공격 벡터를 명확히 파악해야 하며, Trenchant처럼 민감한 회사에 있다면 Apple 기기를 업무에 (적어도 완전히) 사용하지는 않을 것임 일반적으로 본인은 공개용 일반 폰과, 아주 보안이 강화된 사설 폰을 따로 구비해 운영함 Apple폰은 라우터에 연결해 패킷 트래픽을 보면 Apple로 가는 수많은 데이터가 나와 통제 불가 상태임 반면, 내가 해외 갈 때 들고 다니는 커스텀 루팅 및 de-googled 안드로이드 폰으로 같은 실험을 하면 ntp 트래픽밖에 안 남음 그나마도 인증서 시간 오차 방지를 위함임
이런 상황에서 언론에 나서는 것도 본인이 실종되는 걸 막기 위한 전략 차원의 선택일 수 있음
"감시용 소프트웨어를 만든 Gibson 스스로 스파이웨어의 표적이 된 첫 문서 사례"라는 대목에서, "레오파드가 내 얼굴을 먹었다(leopards ate my face)" 밈이 떠오름 결국 이런 도구들은 실제로 사용하려고 개발하는 것임
이미 20여 년 전부터 취약점 개발자들이 스파이웨어의 주 표적이 되어 온 건 업계에 너무나 잘 알려진 사실임 기자가 이쪽 업계 사정을 잘 모르는 듯함
"레오파드가 내 얼굴을 먹었다" 밈이 궁금하다면 여기에서 볼 수 있음
기사 전체가 Gibson이 Trenchant/L3Harris에서 해고당한 다음에 나온 "네 말, 내 말" 식 논란처럼 느껴짐
나 역시 방산 계약직에서 옛날에 비슷하게 당한 적 있어서 Gibson에게 어느 정도 공감함 이런 회사들은 근사한 연봉과 “좋은 일” 하게 해준다는 약속으로 사람을 끌어들인 다음, 결국은 직원의 에너지를 다 쥐어짜 수익을 뽑고, 문제가 생기면 책임을 다 떠넘김(특히나 내부 비리나 잘못을 양심적으로 보고하려 하면 즉시 쫓아내고, 업계에서 완전히 찍히게 만들음) 이런 사람들에게 일하지 않는 게 최선이지만, “선한 일”이나 “나쁜 놈 잡겠다”는 나이브한 생각으로 계속 이런 회사에 속는 사람들이 나옴 결국엔 “레오파드가 내 얼굴을 먹었다” 밈이 됨