GN⁺: XZ 백도어: 시간, 저주받은 시간, 그리고 사기들

XZ 백도어: 시간, 저주받은 시간, 그리고 사기

• 최근 xz/liblzma 타르볼에 숨겨진 백도어가 발견됨.
• 이는 자유 소프트웨어 생태계에서 신뢰에 대한 가장 큰 위반 중 하나일 가능성이 있음.
• 백도어는 xz의 오랜 유지 관리자인 Jia Tan에 의해 삽입되었을 것으로 추정됨.
• Jia는 유지 관리자로서 활동하는 동안 상대적으로 신비한 인물로 남아 있었으며, 그의 실제 정체에 대해서는 거의 알려진 바 없음.
• 자유 소프트웨어 분야에서 익명성은 일반적으로 긍정적인 것으로 여겨지지만, 이 경우 커뮤니티의 신뢰를 오랫동안 쌓아온 뒤 그것을 남용한 사람이 누구인지 알아보는 것이 흥미로움.
• Jia의 활동에서 얻을 수 있는 메타데이터를 통해 그에 대해 더 많이 알아낼 수 있음.

시간에서 배울 수 있는 것은 무엇인가?

• 소프트웨어가 만들어지는 조건에 대해 생각해보기.
• 시간 패턴이 우리에게 말해주는 것들의 범위는 매우 넓음.
• 코드를 작성하는 사람들 중에는 직업으로 하는 사람들도 있고 취미로 하는 사람들도 있음.
• 지역에 따라 다른 시간에 코드를 작성하는 사람들도 있음.
• 휴일, 수면 스케줄, 일과 삶의 균형 등 코드 작성도 이러한 것들로부터 자유롭지 않음.
• 언제 누군가가 코드를 작성하는지 이해하는 것은 그들이 왜, 어디에서 코드를 작성하는지 이해하는 데 도움이 됨.

Jia의 커밋 분석

• JiaT75의 XZ 저장소에 대한 커밋과 타임스탬프에 대한 분석 수행.
• Git 타임스탬프는 원하는 대로 변경할 수 있지만, 신빙성 있게 시간 데이터를 조작하는 것은 실제로 어려움.
• 시간대만 변경하는 것이 실제 시간을 변경하는 것보다 쉬움.
• Jia Tan은 사람들이 자신을 아시아인, 특히 중국인으로 생각하기를 원했을 것이며, 그의 대부분의 커밋(440개)은 UTC+08 타임스탬프를 가짐.
• 그러나 실제로는 UTC+02(겨울)/UTC+03(일광 절약 시간제) 시간대에 있는 어딘가에서 왔을 것으로 추정됨.
• 때때로 시간대를 변경하는 것을 잊어버린 경우가 있으며, 이는 동유럽의 일광 절약 시간 전환과 일치함.
• Jia의 작업 스케줄과 휴일은 중국인보다 동유럽인과 더 잘 맞는 것으로 보임.

GN⁺의 의견

• 이 기사는 소프트웨어 개발 커뮤니티에서 신뢰와 익명성의 중요성에 대한 흥미로운 사례를 제공함.
• 백도어와 같은 보안 위협은 오픈소스 프로젝트의 신뢰성에 큰 타격을 줄 수 있으며, 이는 개발자들이 코드 리뷰와 보안 감사에 더 많은 주의를 기울여야 함을 의미함.
• 이러한 사건은 개발자들에게 커밋 로그와 메타데이터의 중요성을 상기시켜 줌. 신뢰할 수 있는 기여자의 신원을 확인하는 것이 프로젝트의 안전을 위해 필수적일 수 있음.
• 비슷한 기능을 제공하는 다른 오픈소스 프로젝트로는 GitLab, GitHub 등이 있으며, 이들은 커뮤니티의 신뢰를 유지하기 위해 보안 프로토콜과 사용자 인증을 강화하고 있음.
• 이 기사는 기술 커뮤니티 내에서 익명성과 신뢰 사이의 균형을 찾는 것이 얼마나 중요한지를 보여줌. 프로젝트 관리자와 기여자들은 이러한 사건으로부터 배워야 하며, 코드의 투명성과 보안을 강화하기 위한 조치를 취해야 함.