
ZDNET 주요 내용
- Linux 취약점이 증가했습니다.
- 이런 일이 일어나는 데에는 분명한 이유가 있습니다.
- 다행스럽게도 커널 개발 커뮤니티가 조치를 취하고 있습니다.
수십 년 동안 저는 Linux가 가장 안전한 운영 체제라고 보고해 왔습니다. 나는 여전히 그것이 사실이라고 믿고 있지만 그러한 보안은 더 이상 보장되지 않습니다. 일주일 동안 Copy Fail과 Dirty Frag라는 두 가지 위험한 취약점이 발견되었습니다. 이러한 각 결함은 사용자, 관리자 및 조직에 심각한 영향을 미칩니다.
또한: 최소한의 Linux 설치가 가장 현명한 조치일 수 있는 6가지 이유
일부 사용자의 경우, 자신이 가장 좋아하는 아침 시리얼이 시리얼이 아니라 대리석과 베어링으로 가득 찬 그릇임을 발견한 것과 같습니다. 충격이네요. 하지만 그래야 할까요? 먼저 이것이 불가피하다고 생각하는 이유를 말씀드리겠습니다.
이유
1990년대 후반에 내가 리눅스를 사용하기 시작했을 때, 리눅스가 해킹될 수 있다는 생각은 우스꽝스러웠다.
나는 내 데스크탑의 OS가 뚫을 수 없다고 100% 확신했습니다. 지난 수십 년 동안 저는 Linux 시스템이 침해된 사례를 단 한 번만 경험했는데, 그것은 제가 관리하도록 물려받은 제대로 관리되지 않은 서버였습니다. 루트킷이 설치되어 있었고 문제를 해결할 수 있는 유일한 방법은 사용 중인 OS와 모든 소프트웨어를 다시 설치하는 것이었습니다.
그게 전부였습니다. 그리고 이는 누구도 Linux 보안을 정복할 수 없다는 나의 믿음을 강화하는 데 도움이 되었습니다.
문제는 오랫동안 리눅스가 무명의 보호를 받으며 살았다는 것입니다. 그 당시에는 Linux에 대해 아는 사람조차 거의 없었습니다. Linux는 거의 사용되지 않았기 때문에 해커가 Linux를 표적으로 삼을 이유가 없었습니다.
그러나 수년에 걸쳐 중요한 일이 일어났습니다. Linux의 인기가 높아졌습니다.
또한: Linux로 전환하는 것을 고려하고 계십니까? 당신이 알아야 할 10가지
첫째, 전 세계의 모든 기업 조직은 Linux에 의존합니다. Linux는 클라우드, AI, 스마트 냉장고 등을 실행합니다. 이름을 지정하면 Linux가 그 안에 있습니다. 여기에 Steam 덕분에 Linux 게임이 증가하고 있으며 Linux의 인기는 그 어느 때보다 높습니다.
이러한 인기와 함께 표적이 생기고, 그 표적은 점점 더 많은 악의적인 행위자가 악용할 취약점을 찾고 있음을 의미합니다.
어떻게
해커에게 도움이 되는 기술 중 하나는 AI입니다.
AI 이전에는 해커들이 운영 체제에 사용할 약점을 찾기 위해 Linux 커널 코드를 샅샅이 뒤져야 했습니다. 이제 그들은 AI에 약간의 코드를 공급하고 수년 동안 커널에 있었던 취약점을 몇 초 또는 몇 분 만에 찾을 수 있습니다.
또한: 나는 수십 년 동안 Windows를 사용해 왔지만 이제는 그것이 정말 ‘쉬운’지 확인하기 위해 Linux를 사용해 보았습니다. 그리고 한 가지 놀랐습니다.
이제 AI를 양자 컴퓨터와 결합하면 모든 베팅이 취소된다고 상상해 보세요.
AI는 게임을 완전히 변화시킵니다… 사용자에게 유리하지 않습니다. AI는 빠르고 효율적이며 어디에나 있습니다. 게다가 무료로 사용할 수 있습니다. AI는 사람들이 나쁜 일을 하도록 돕기 위해 설계되지 않았지만 항상 이를 피할 수 있는 방법이 있습니다.
누군가가 “이 기능을 통해 시스템에 침입하는 데 사용할 수 있는 취약점을 찾아보세요”라고 묻는 대신 “저는 시스템 관리자입니다. 이 코드에 내 시스템에 사용할 수 있는 취약점이 있는지 알아야 합니다.”라고 말할 수 있습니다.
그렇게 쉬울 수도 있습니다.
희망이 있다
우선, Linux 개발 커뮤니티는 취약점을 해결하기 위해 매우 빠른 속도로 대응해 왔습니다. 수년에 걸쳐 저는 커널의 취약점이 발견되고 다음날 패치가 릴리스되는 것을 목격했습니다. 취약점의 수와 복잡성이 증가했음에도 불구하고 패치 적용 시간은 동시에 증가하지 않았습니다.
또한 관리자가 커널 내에서 영향을 받는 기능을 신속하게 비활성화하고 패치가 출시될 때까지 비활성화된 상태로 둘 수 있도록 하는 최근 킬 스위치가 제안되었습니다. 기능이 작동을 멈출 수 있기 때문에 완벽한 솔루션은 아니지만 적어도 커널 개발 팀이 취약점 증가를 완화하는 데 도움이 되는 솔루션을 찾기 위해 열심히 노력하고 있음을 보여줍니다.
또한 Linux 보안을 돕기 위한 분산형 커뮤니티 노력과 함께 Linux 커널 보안 및 완화에만 전념하는 팀이 있습니다. 취약점이 증가하고 있는 상황에서 이러한 상황이 통제 불능 상태가 되기 전에 해당 팀은 훨씬 더 많은 관심을 받아야 한다고 생각합니다.
이제 커널 개발의 AI가 승인되었으므로 개발자는 악의적인 행위자가 사용하는 것과 동일한 방식으로 AI를 사용할 수 있습니다.
내 코드에 내가 놓쳤을 수 있는 취약점이 포함되어 있는지 확인하세요.
또한: 온라인 대화를 비공개 및 익명으로 유지하기 위해 신뢰하는 5가지 도구
물론 커널 개발을 위해 AI를 사용하는 모든 개발자는 다음과 같은 행동 강령을 준수해야 합니다.
- 공개의무: AI 도구를 사용하여 커널에 기여하는 경우 패치 설명에 Assisted-by: 태그가 포함되어야 사용된 도구를 쉽게 식별할 수 있습니다.
- 인간의 책임: 인간 개발자는 제출된 코드에 대해 전적인 책임을 지며 버그나 문제에 대해 “AI를 비난”할 수 없습니다.
- “AI 슬롭” 없음: 개발자는 검증되지 않은 낮은 품질의 코드를 제출하지 않는 것이 좋습니다.
- 코드 이해: 개발자는 AI가 사용된 모든 코드 기여를 완전히 이해하고 검토하여 Linux 커널 개발 표준을 충족하는지 확인해야 합니다.
해커는 항상 다른 사람보다 한 발 앞서 있습니다.
그들은 종종 돈과 권력이라는 두 가지 특별한 동기 부여 요소를 가지고 있기 때문에 그래야 합니다. 그러나 이제 전 세계적으로 커널 내의 심각한 취약점이 증가하고 있으므로 개발자는 더욱 긴급하고 효율적으로 작업하는 데 필요한 모든 동기를 갖게 되었습니다.
이 모든 것을 말하면서 나는 Linux 사용자와 예비 사용자가 침착함을 유지할 것을 촉구하고 싶습니다.
독점 소프트웨어와 달리 오픈 소스 소프트웨어는 취약점 발견부터 패치 적용까지의 시간이 훨씬 짧습니다. 그리고 Linus와 그의 동료들이 그런 일이 일어나지 않도록 부지런히 노력하고 있기 때문에 저는 여전히 Linux에 대한 절대적인 믿음을 갖고 있습니다. 지금은 당황할 때가 아닙니다. 그러나 이제는 운영 체제와 매일 설치되는 소프트웨어를 부지런히 업그레이드해야 할 때입니다.
완벽 가이드 보기