1~2일 전에 리눅스에 많이 포함되어 있는 xz 유틸에 백도어가 심어져 있다는 것이 밝혀져서 시끌시끌 합니다. 여러 내용에 따르면 기존에 있었던 심각한 보안 위협들에 비해 비교적 많이 퍼지진 않았기 때문에 (stable 배포판에 포함되지 않아서) 큰 사고가 나지는 않을 것으로 보고 있습니다만, 몇 가지 흥미로운 점이 있습니다.

기존의 오픈소스 기반 보안 위협들이 대부분 실수나 미처 고려하지 못한 버그 등으로 인한 취약점이 많았다면, 이번에는 오픈소스 활동을 몇 년간 하면서 신뢰를 쌓은 후 메인테이너가 된 다음 악의적인 백도어를 심었다는 점에서 꽤 충격적입니다. 물론 오픈소스 커뮤니티에서 이런 일이 처음은 아니지만 많이 사용되는 유명한 프로젝트인데 이렇게 사람들의 눈을 피하고 분석 툴에 탐지되지 않았다는 점에서, 이미 비슷한 보안 위협들이 많이 있다고 볼 수 있거나 비슷한 일이 앞으로도 많이 일어날 것 같다는 느낌을 받습니다.

• 관련기사: https://www.boannews.com/media/view.asp?idx=128442

• 타임라인: https://research.swtch.com/xz-timeline