[테크홀릭] 프로젝트 제로(Project Zero)는 구글이 지난 7월 15일(현지시간) 수많은 사이버 공격 중 방어가 어려운 제로데이 공격을 전문적으로 연구해 대책을 개발할 목적으로 만든 팀이다.
제로데이 공격은 소프트웨어나 시스템에 취약점이 발견되어 패치가 배포될 때까지 취약점을 찌르는 공격을 말한다. 제로데이 공격을 당하면 소프트웨어나 시스템은 공격을 방어할 수 없고 막대한 피해를 입을 수 있다.
구글은 자체 보안 전문가를 한데 집결해 프로젝트 제로라는 보안팀을 만들어 이렇게 효과적인 대응책이 없는 제로데이 공격을 막으려 한다. 이들은 소프트웨어를 조사해 취약점을 찾아내고 제로데이 공격 기법에 대한 대응책도 연구한다. 구글 제품만 한정하는 게 아니라 사용자 수가 많은 제품이라면 제조사나 분야를 막론하고 조사 대상이 된다.
프로젝트 제로는 보안 업계의 드림팀이라고 할 수 있다. 어도비 플래시, 마이크로소프트 워드 등의 취약점을 발견한 벤 혹스(Ben Hawkes), 안티바이러스 소프트웨어 보안 취약점을 연구하는 보안 연구자인 태비스 오먼디(Tavis Ormandy), 구글 크롬의 방어 시스템을 해킹해 수상 경력이 있는 해커 신동인 조지 호츠(George Hotz), iOS와 OSⅩ, 사파리의 취약점을 발견한 적이 있는 이안 비어(Ian Beer) 등이 프로젝트 제로 소속이다.
구글 보안 엔지니어인 크리스 에반스는 프로젝트 제로가 완전히 이타주의적인 조직이라고 강조했다. 타사 소프트웨어의 취약점을 조사히기 위해서도 희생을 마다하지 않는다는 것. 그는 인터넷에 안전을 가져오는 게 결과적으로 사용자 수 증가를 불러오고 구글에도 이익이 된다는 생각이라고 설명했다.
다만 해외 매체들은 구글이 프로젝트 제로를 통해 보안 엔지니어에서 매력적인 어필을 하는 동시에 이를 통해 보안 분야 전문가를 다수 흡수할 수 있는 장점이 있다고 보고 있다. 이를 통해 고용한 전문가는 다음번에는 구글의 다른 부서에 배치될 가능성이 있다.
프로젝트 제로는 타사 소프트웨어의 취약점을 발견하면 신속하게 개발 기업에 취약점을 알리고 패치 제작과 배포까지 60∼90일 유예기간을 둔다. 이 기간이 끝나도 패치가 배포되지 않으면 프로젝트 제로는 공식 블로그를 통해 발견한 취약점을 공개한다. 다만 유예기간 안에 해커가 취약점을 찾아내면 사용자를 위험에 내몰 수 없다는 이유를 들어 취약점을 7일 안에 공개한다.
프로젝트 제로가 수많은 소프트웨어를 대상으로 얼마나 취약점을 발견할 수 있을지 여부는 알 수 없다. 하지만 프로젝트 제로 측은 모든 취약점을 발견할 수 없다해도 해커에게 충격을 주는 건 가능할 것으로 보고 있다. 해커가 발견하는 수많은 취약점은 비슷한 부류가 많다는 설명이다. 한 가지 취약점을 찾아서 수정하면 이와 비슷한 취약점에 대한 여러 공격이 한꺼번에 끝날 수 있다. 프로젝트 제로가 모든 취약점을 발견할 수 없다 해도 제로데이 공격을 미연에 방지할 수 있는 효과를 줄 수 있다는 것이다.
크리스 에반스는 프로젝트 제로는 전문가 채용을 진행 중이다. 곧 팀 멤버가 10명이 넘게 될 것이라고 한다. 프로젝트 제로가 앞으로 어떤 움직임을 보여줄지 관심이 모아진다. 구글 발표 내용 원문은 이곳에서 확인할 수 있다.
전자신문인터넷 테크홀릭팀
이석원 기자 techholic@etnews.com