# XZ 백도어: 시간, 저주받은 시간, 그리고 사기들 > Clean Markdown view of GeekNews topic #14098. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=14098](https://news.hada.io/topic?id=14098) - GeekNews Markdown: [https://news.hada.io/topic/14098.md](https://news.hada.io/topic/14098.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2024-04-01T15:34:43+09:00 - Updated: 2024-04-01T15:34:43+09:00 - Original source: [rheaeve.substack.com](https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and) - Points: 2 - Comments: 1 ## Topic Body ### XZ 백도어: 시간, 저주받은 시간, 그리고 사기 - 최근 xz/liblzma 타르볼에 숨겨진 백도어가 발견됨. - 이는 자유 소프트웨어 생태계에서 신뢰에 대한 가장 큰 위반 중 하나일 가능성이 있음. - 백도어는 xz의 오랜 유지 관리자인 Jia Tan에 의해 삽입되었을 것으로 추정됨. - Jia는 유지 관리자로서 활동하는 동안 상대적으로 신비한 인물로 남아 있었으며, 그의 실제 정체에 대해서는 거의 알려진 바 없음. - 자유 소프트웨어 분야에서 익명성은 일반적으로 긍정적인 것으로 여겨지지만, 이 경우 커뮤니티의 신뢰를 오랫동안 쌓아온 뒤 그것을 남용한 사람이 누구인지 알아보는 것이 흥미로움. - Jia의 활동에서 얻을 수 있는 메타데이터를 통해 그에 대해 더 많이 알아낼 수 있음. ### 시간에서 배울 수 있는 것은 무엇인가? - 소프트웨어가 만들어지는 조건에 대해 생각해보기. - 시간 패턴이 우리에게 말해주는 것들의 범위는 매우 넓음. - 코드를 작성하는 사람들 중에는 직업으로 하는 사람들도 있고 취미로 하는 사람들도 있음. - 지역에 따라 다른 시간에 코드를 작성하는 사람들도 있음. - 휴일, 수면 스케줄, 일과 삶의 균형 등 코드 작성도 이러한 것들로부터 자유롭지 않음. - 언제 누군가가 코드를 작성하는지 이해하는 것은 그들이 왜, 어디에서 코드를 작성하는지 이해하는 데 도움이 됨. ### Jia의 커밋 분석 - JiaT75의 XZ 저장소에 대한 커밋과 타임스탬프에 대한 분석 수행. - Git 타임스탬프는 원하는 대로 변경할 수 있지만, 신빙성 있게 시간 데이터를 조작하는 것은 실제로 어려움. - 시간대만 변경하는 것이 실제 시간을 변경하는 것보다 쉬움. - Jia Tan은 사람들이 자신을 아시아인, 특히 중국인으로 생각하기를 원했을 것이며, 그의 대부분의 커밋(440개)은 UTC+08 타임스탬프를 가짐. - 그러나 실제로는 UTC+02(겨울)/UTC+03(일광 절약 시간제) 시간대에 있는 어딘가에서 왔을 것으로 추정됨. - 때때로 시간대를 변경하는 것을 잊어버린 경우가 있으며, 이는 동유럽의 일광 절약 시간 전환과 일치함. - Jia의 작업 스케줄과 휴일은 중국인보다 동유럽인과 더 잘 맞는 것으로 보임. ### GN⁺의 의견 - 이 기사는 소프트웨어 개발 커뮤니티에서 신뢰와 익명성의 중요성에 대한 흥미로운 사례를 제공함. - 백도어와 같은 보안 위협은 오픈소스 프로젝트의 신뢰성에 큰 타격을 줄 수 있으며, 이는 개발자들이 코드 리뷰와 보안 감사에 더 많은 주의를 기울여야 함을 의미함. - 이러한 사건은 개발자들에게 커밋 로그와 메타데이터의 중요성을 상기시켜 줌. 신뢰할 수 있는 기여자의 신원을 확인하는 것이 프로젝트의 안전을 위해 필수적일 수 있음. - 비슷한 기능을 제공하는 다른 오픈소스 프로젝트로는 GitLab, GitHub 등이 있으며, 이들은 커뮤니티의 신뢰를 유지하기 위해 보안 프로토콜과 사용자 인증을 강화하고 있음. - 이 기사는 기술 커뮤니티 내에서 익명성과 신뢰 사이의 균형을 찾는 것이 얼마나 중요한지를 보여줌. 프로젝트 관리자와 기여자들은 이러한 사건으로부터 배워야 하며, 코드의 투명성과 보안을 강화하기 위한 조치를 취해야 함. ## Comments ### Comment 24149 - Author: neo - Created: 2024-04-01T15:34:43+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=39889286) - 첫 번째 댓글 요약: - 댓글 작성자는 해커가 동유럽 출신이라고 생각하지 않으며, UTC+0200/+0300 시간대에 해당하는 유럽 국가들과 중동 지역을 언급함. - 국가 후원의 사이버 공격일 경우, 실제 코드를 작성하는 부서와 인터넷에 연결하는 부서가 분리되어 있을 수 있으며, 후자는 발신 정보가 특정 스토리와 일치하도록 시간을 조정하는 역할을 할 수 있음을 지적함. - 두 번째 댓글 요약: - 댓글 작성자는 GMT+8 시간대, 중국어와 혼합된 이름, 싱가포르 서버를 통한 연결 등이 싱가포르 정체성을 나타낼 수 있음을 언급함. - 중국 본토 사람들이 해외 중국인 커뮤니티에 대해 잘 알지 못할 수 있으므로, 이름이 가짜로 들린다는 의견에 대해서도 의심의 여지가 있음을 언급함. - Jia Tan의 다른 글들을 분석하면 싱가포르인, 중국 본토인, 슬라브어 사용자 등을 구별하는 데 도움이 될 수 있음을 제안함. - 세 번째 댓글 요약: - 댓글 작성자는 여행을 많이 다니기 때문에, 자신의 여행 일정을 공개 저장소에 노출시키고 싶지 않아 `gc` 명령어를 `TZ=UTC0 git commit`으로 매핑해 사용한다고 함. - 네 번째 댓글 요약: - 댓글 작성자는 사건의 심각성을 떠나, 인터넷에서 벌어지는 미스터리를 풀어가는 과정에 매우 흥미를 느낌. - 다섯 번째 댓글 요약: - 댓글 작성자는 Jia에게 격려의 말을 전하며, 시도하지 않으면 성공할 기회조차 없다고 말함. - 여섯 번째 댓글 요약: - 댓글 작성자는 두 개의 커밋 시간 차이가 약 9시간이 아니라 1시간 정도라고 지적함. - 일곱 번째 댓글 요약: - 댓글 작성자는 자신도 이른 아침에 일하는 사람이라고 언급하며, 해커나 젊은 사람들이 오후나 늦은 밤에 일하는 것이 더 그럴듯하다고 말함. - 여덟 번째 댓글 요약: - 댓글 작성자는 메일링 리스트에 대한 답변의 타임스탬프도 포함할 것을 제안함. - 아홉 번째 댓글 요약: - 댓글 작성자는 미국인(또는 다른 장소의 사람)이 동유럽인인 척 하면서 중국인인 척 할 수도 있다는 가정을 제시함.