GN⁺: XZ 백도어: 시간, 저주받은 시간, 그리고 사기들
(rheaeve.substack.com)XZ 백도어: 시간, 저주받은 시간, 그리고 사기
- 최근 xz/liblzma 타르볼에 숨겨진 백도어가 발견됨.
- 이는 자유 소프트웨어 생태계에서 신뢰에 대한 가장 큰 위반 중 하나일 가능성이 있음.
- 백도어는 xz의 오랜 유지 관리자인 Jia Tan에 의해 삽입되었을 것으로 추정됨.
- Jia는 유지 관리자로서 활동하는 동안 상대적으로 신비한 인물로 남아 있었으며, 그의 실제 정체에 대해서는 거의 알려진 바 없음.
- 자유 소프트웨어 분야에서 익명성은 일반적으로 긍정적인 것으로 여겨지지만, 이 경우 커뮤니티의 신뢰를 오랫동안 쌓아온 뒤 그것을 남용한 사람이 누구인지 알아보는 것이 흥미로움.
- Jia의 활동에서 얻을 수 있는 메타데이터를 통해 그에 대해 더 많이 알아낼 수 있음.
시간에서 배울 수 있는 것은 무엇인가?
- 소프트웨어가 만들어지는 조건에 대해 생각해보기.
- 시간 패턴이 우리에게 말해주는 것들의 범위는 매우 넓음.
- 코드를 작성하는 사람들 중에는 직업으로 하는 사람들도 있고 취미로 하는 사람들도 있음.
- 지역에 따라 다른 시간에 코드를 작성하는 사람들도 있음.
- 휴일, 수면 스케줄, 일과 삶의 균형 등 코드 작성도 이러한 것들로부터 자유롭지 않음.
- 언제 누군가가 코드를 작성하는지 이해하는 것은 그들이 왜, 어디에서 코드를 작성하는지 이해하는 데 도움이 됨.
Jia의 커밋 분석
- JiaT75의 XZ 저장소에 대한 커밋과 타임스탬프에 대한 분석 수행.
- Git 타임스탬프는 원하는 대로 변경할 수 있지만, 신빙성 있게 시간 데이터를 조작하는 것은 실제로 어려움.
- 시간대만 변경하는 것이 실제 시간을 변경하는 것보다 쉬움.
- Jia Tan은 사람들이 자신을 아시아인, 특히 중국인으로 생각하기를 원했을 것이며, 그의 대부분의 커밋(440개)은 UTC+08 타임스탬프를 가짐.
- 그러나 실제로는 UTC+02(겨울)/UTC+03(일광 절약 시간제) 시간대에 있는 어딘가에서 왔을 것으로 추정됨.
- 때때로 시간대를 변경하는 것을 잊어버린 경우가 있으며, 이는 동유럽의 일광 절약 시간 전환과 일치함.
- Jia의 작업 스케줄과 휴일은 중국인보다 동유럽인과 더 잘 맞는 것으로 보임.
GN⁺의 의견
- 이 기사는 소프트웨어 개발 커뮤니티에서 신뢰와 익명성의 중요성에 대한 흥미로운 사례를 제공함.
- 백도어와 같은 보안 위협은 오픈소스 프로젝트의 신뢰성에 큰 타격을 줄 수 있으며, 이는 개발자들이 코드 리뷰와 보안 감사에 더 많은 주의를 기울여야 함을 의미함.
- 이러한 사건은 개발자들에게 커밋 로그와 메타데이터의 중요성을 상기시켜 줌. 신뢰할 수 있는 기여자의 신원을 확인하는 것이 프로젝트의 안전을 위해 필수적일 수 있음.
- 비슷한 기능을 제공하는 다른 오픈소스 프로젝트로는 GitLab, GitHub 등이 있으며, 이들은 커뮤니티의 신뢰를 유지하기 위해 보안 프로토콜과 사용자 인증을 강화하고 있음.
- 이 기사는 기술 커뮤니티 내에서 익명성과 신뢰 사이의 균형을 찾는 것이 얼마나 중요한지를 보여줌. 프로젝트 관리자와 기여자들은 이러한 사건으로부터 배워야 하며, 코드의 투명성과 보안을 강화하기 위한 조치를 취해야 함.
Hacker News 의견
-
첫 번째 댓글 요약:
- 댓글 작성자는 해커가 동유럽 출신이라고 생각하지 않으며, UTC+0200/+0300 시간대에 해당하는 유럽 국가들과 중동 지역을 언급함.
- 국가 후원의 사이버 공격일 경우, 실제 코드를 작성하는 부서와 인터넷에 연결하는 부서가 분리되어 있을 수 있으며, 후자는 발신 정보가 특정 스토리와 일치하도록 시간을 조정하는 역할을 할 수 있음을 지적함.
-
두 번째 댓글 요약:
- 댓글 작성자는 GMT+8 시간대, 중국어와 혼합된 이름, 싱가포르 서버를 통한 연결 등이 싱가포르 정체성을 나타낼 수 있음을 언급함.
- 중국 본토 사람들이 해외 중국인 커뮤니티에 대해 잘 알지 못할 수 있으므로, 이름이 가짜로 들린다는 의견에 대해서도 의심의 여지가 있음을 언급함.
- Jia Tan의 다른 글들을 분석하면 싱가포르인, 중국 본토인, 슬라브어 사용자 등을 구별하는 데 도움이 될 수 있음을 제안함.
-
세 번째 댓글 요약:
- 댓글 작성자는 여행을 많이 다니기 때문에, 자신의 여행 일정을 공개 저장소에 노출시키고 싶지 않아
gc
명령어를TZ=UTC0 git commit
으로 매핑해 사용한다고 함.
- 댓글 작성자는 여행을 많이 다니기 때문에, 자신의 여행 일정을 공개 저장소에 노출시키고 싶지 않아
-
네 번째 댓글 요약:
- 댓글 작성자는 사건의 심각성을 떠나, 인터넷에서 벌어지는 미스터리를 풀어가는 과정에 매우 흥미를 느낌.
-
다섯 번째 댓글 요약:
- 댓글 작성자는 Jia에게 격려의 말을 전하며, 시도하지 않으면 성공할 기회조차 없다고 말함.
-
여섯 번째 댓글 요약:
- 댓글 작성자는 두 개의 커밋 시간 차이가 약 9시간이 아니라 1시간 정도라고 지적함.
-
일곱 번째 댓글 요약:
- 댓글 작성자는 자신도 이른 아침에 일하는 사람이라고 언급하며, 해커나 젊은 사람들이 오후나 늦은 밤에 일하는 것이 더 그럴듯하다고 말함.
-
여덟 번째 댓글 요약:
- 댓글 작성자는 메일링 리스트에 대한 답변의 타임스탬프도 포함할 것을 제안함.
-
아홉 번째 댓글 요약:
- 댓글 작성자는 미국인(또는 다른 장소의 사람)이 동유럽인인 척 하면서 중국인인 척 할 수도 있다는 가정을 제시함.