SECURITY NEWS
| [보안뉴스] 지원 끝났지만 사용자 많은 파이선 2, 슬슬 보안 위협 되어갈까 | ||
|---|---|---|
|
||
|
2000년에 등장해 2017년 파이선 3에 추월당하기 전까지 개발 업계서 군림 파이선 2에서 3로 체제 바꾸는 것 쉽지 않아 망설여져...편리한 도구들 등장하기도[보안뉴스 문가용 기자] 파이선 소프트웨어 재단(Python Software Foundation)이 파이선 2의 지원을 공식 중단한 지 5개월이 지났다. 올해 1월 1일부터 보안 업데이트를 하지 않고 있으며, 파이선 3으로 넘어가라고 권고하고 있다. 그럼에도 아직 많은 개발자들이 파이선 2를 놓지 못하고 있다. 때문에 많은 애플리케이션들이 위험한 상태로 유통되고 있는 상태다.  [이미지 = iclickart] 파이선 2에 대한 공식 지원이 중단됐다는 건, 파이선 2로 이뤄진 환경의 보안 문제는 사용자 기업이 스스로 해결해야 한다는 뜻이다. “이제부터는 파이선 2나 파이선 2로 개발된 소프트웨어에서 보안 문제가 발생했을 때 아무도 대신 고쳐주지 않을 것입니다. 그러니 파이선 3로 넘어가시는 게 안전합니다.” 지원 중단을 발표하며 재단 측에서 말한 내용이다. 파이선 2.0이 공개된 것은 지난 2000년도의 일이다. 그리고 지금까지 가장 인기 높은 프로그래밍 언어 중 하나로 자리 잡고 있다. 물론 최근 몇 년 동안 사용률이 떨어지고는 있지만, 기업에서 사용되는 파이선 기반 앱들의 상당수가 파이선 2로 만들어진 상태다. 이 때문에 영국의 국립사이버보안기관(National Cyber Security Institute)은 “파이선 2가 수천만 개의 시스템을 위험에 빠트릴 수 있다”고 경고하기도 했다. 지난 10월과 11월 1200명의 개발자를 대상으로 액티브스테이트(ActiveState)가 조사한 결과 약 31%의 조직들이 파이선 3로 넘어갈 준비를 하지 않고 있는 것으로 나타났다. 37%는 조직 내 존재하는 모든 파이선 기반 앱들 중 절반 이상이 파이선 2를 기반으로 하고 있다고 응답했다. 파이선 2를 여전히 사용하고 있다는 기업들 중 48%는 100명 이하의 직원들을 보유하고 있었고, 29%는 1000명 이상의 임직원을 두고 있었다. 보안 업체 설트스택(SaltStack)의 CTO인 토마스 해치(Thomas Hatch)는 “파이선 2는 기업 환경에서 대단히 널리 사용되고 있다”고 말한다. “파이선 3 이상의 압도적인 점유율을 보이는 건 아니지만, 충분히 심각하다고 생각해도 될 정도로 보편화 되어 있습니다. 개발자들은 위험이 직접 체감되지 않는 이상 잘 사용해오던 툴을 굳이 바꾸려하지 않거든요.” 2008년부터 현재까지 파이선 2와 파이선 3에서 발견된 취약점은 합쳐서 49개에 불과하다. 이 중 20개는 메모리 변형, 코드 실행, 오버플로우 등으로 분류된다고 보안 업체 런세이프 시큐리티(RunSafe Security)의 부회장인 셰인 프라이(Shane Fry)는 말한다. “다른 소프트웨어 패키지에 비해 대단히 좋은 성적입니다. 굳이 바꾸지 않아도 충분히 안전하다는 인식이 자리 잡는 게 이해가 가고도 남습니다.” 이에 대해서는 패치도 동의한다. “파이선 2는 대단히 안정적이며 이미 많은 개발자들이 자유롭게 다룰 줄 압니다. 취약점으로 인한 대형 사고가 터진 적도 없어요. 그러니 ‘지원을 중단하기 때문에 파이선 3로 가라’는 말이 잘 안 통합니다. 그 정도로는 동기부여가 되지 않는다는 것이죠.” 이유는 또 있다. 액티브스테이트의 부회장인 제프 루즈(Jeff Rouse)에 따르면 파이선 2에서 즐겨 사용하던 패키지를 파이선 3 환경에서 동일하게 찾기가 어려워지는 경우가 종종 있다고 한다. “게다가 규모가 큰 코드베이스라면 파이선 3로 전환하는 게 고통스러울 정도로 느리고 지난하기도 합니다. 파이선 2를 안다고 해서 파이선 3가 자동으로 익혀지는 것도 아니고요. 즉, 다시 공부를 해가며 코드베이스를 고통스럽게 바꿔야 한다는 건데, 이게 좀처럼 손이 가는 작업은 아니죠.” 심지어 맥OS 등 인기 높은 OS들도 계속해서 파이선 2를 지원하고 있다. 심지어 아직도 파이선 2가 디폴트인 환경도 존재한다. 루즈는 “파이선 2가 IT 환경에서 가장 버리기 힘든 습관 중 하나가 되었다는 게 슬슬 드러나고 있다”고 말하며 “그도 그럴 것이 2017년 6월에서야 파이선 3 사용자가 파이선 2 사용자를 숫적인 측면에서 따라잡았기 때문”이라고 말한다. “17년 동안 주류 프로그래밍 언어였다는 겁니다. 전세가 역전된 건 이제 3년 정도 됐고요. 뿌리 뽑으려면 더 시간이 필요합니다.” 보안 업체 엔비지움(nVisium)의 수석 컨설턴트인 존 캘러한(John Callahan)은 “아직까지 파이선 2 때문에 문제가 발생한 적이 없다해도 파이선 3로의 체제 전환을 지금부터 시작하는 게 좋다”고 권고한다. “과거에 문제가 없었다는 이유만으로 예전 기술을 그대로 유지하는 건 일부러 시한폭탄을 품에 안고도 모른 척 하는 것과 다름이 없습니다. 문제가 발생했든 아니든, 모든 앱들은 주기적 점검과 업데이트를 필요로 합니다.” 루즈는 파이선의 인기가 상당히 높다는 것도 업데이트를 해야 하는 이유라고 주장한다. “공격자들은 사용자가 많은 곳을 항상 노립니다. 사용자가 있는 곳에 사냥거리가 많기 때문입니다. 파이선도 사용자가 많습니다. 공격자들이 지금도 연구를 진행하고 있다는 소리입니다. 여태까지 문제가 없었더라도, 앞으로 문제가 생길 확률이 높은 것이죠.” 해치는 “많은 연구와 시행착오를 겪으며 파이선 2에서 파이선 3로 보다 쉽게 옮기는 방법도 계속해서 등장하고 있다”고 말한다. “대규모 파이선 2 코드도 편리하게 스캔해서 파이선 3로 업그레이드 해주는 도구들도 나오고 있고요. 그러니 처음부터 겁먹을 필요가 없습니다.” 3줄 요약 1. 파이선 2, 지원 중단된지 5개월이 다 되어가는 시점이지만 아직도 사용자 많음. 2. 파이선 2, 안정적이고 안전하며 개발자들 손에 익어 좀처럼 바꾸기 쉽지 않음. 3. 파이선 3로 옮겨주는 도구들 생겨나고 있으니 최대한 활용해보는 것 좋을 듯.
[국제부 문가용 기자(globoan@boannews.com)] [https://www.boannews.com , https://www.boannews.com/media/view.asp?idx=87921&page=1&mkind=1&kind=] |
||
| 이전글 | [보안뉴스] GDPR 준수 도와준다는 사이트에서 민감 정보 노출시켜 | |
| 다음글 | [보안뉴스] 비트코인 관련 한글 악성파일 또 발견! ‘라자루스’의 금전 탈취 공격 | |
