check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

“삼성 타이젠, 코드의 수많은 버그보다 더 큰 문제는…”

“이 정도 타이젠에 투자로는 안드로이드를 대체하겠다는 것은 이루어질 수 없다”

hsk 기자 mkgil@dailysecu.com 2017년 07월 17일 월요일

Tizen.jpg
러시아 정적 코드 분석기 PVS-Studio 제조사 Program Verification Systems의 CTO이자 설립자인 Andrey Karpov는 삼성 타이젠의 코드베이스에는 약 2만7천개의 프로그래밍 결함이 포함되어 있다고 말한다. 이것은 타이젠 프로젝트를 구성하는 C/C++ 코드의 주석을 제외한 725만개 행의 3.3퍼센트에서 발견되는 900개의 오류를 추정한 값이다.

또한 Karpov의 이러한 주장은 지난 4월 카스퍼스키 랩의 보안 분석 세미나에서 이스라엘 보안 연구원인 Amihai Neiderman이 타이젠 코드에서 40개의 제로데이 취약점을 발견했다는 사실을 반영하고 있다. 당시 Neiderman은 타이젠 코드베이스를 그가 본 최악의 코드라고 정의했었다.

4월, 타이젠 개발자 메일링 리스트에 포스팅한 글에서 Biotechnology High Performance Computing Software Applications Institute (BHSAI)의 개발자인 Maxim Khitrov는 버그 리포트에 대한 프로젝트의 느린 답변을 언급하면서 타이젠은 온 사방에 정말 나쁜 코드로 더럽혀져 있다고 말했다.

삼성 내부자들 조차도 타이젠이 경영 방식에 불만을 표하고 있다. 삼성 오픈 소스 개발자인 Carten Haitzler는 타이젠 플랫폼 관리자들이 타이젠 장치를 제공하는 제품 그룹에 대해 제한된 통제 권한을 가지고 있다고 말하며, “그들은 완전히 분리된 다른 팀이고 타이젠으로 무엇을 하고 싶고 언제 어떻게 하고 싶은지를 말해줄 리더가 없다. 플랫폼에서 버그를 수정할 수는 있지만 업데이트가 장치용으로 제공되는지 또는 장치용으로 출시 전까지 변경될지는 부장할 수 없다”고 덧붙였다.

안드로이드 경쟁 업체로 계획되었던 타이젠은 적어도 구글의 모바일 운영체제와 무질서한 측면에서는 비슷하다. 숫자 면에서 삼성은 올해 타이젠 폰 1천만대에 도달하기를 희망하고 있다. 구글은 5월에 월 20억개의 안드로이드 기기가 있다고 밝혔었다.

하지만 삼성은 타이젠의 많은 버그를 문제로 보고 있지 않았고, Karpov는 그의 버그 목록을 회사의 정적 분석기 판매를 위해 이용했다.

삼성전자 측은 삼성이 이미 타이젠 코드의 정적 분석에 착수하고 있지만 추가적인 문제를 발견할 수 있는 다른 익명의 코드 품질 툴을 선호한다고 언급했다. 회사 측은 “우리는 타이젠이 고쳐야 할 약 2만7천개의 버그를 가지고 있다는 것에 동의하지 않는다. 아시다시피 정적 분석 경고의 상당수는 중요하지 않은 문제로 간주되기도 한다”고 말했다. 하지만 삼성 측은 Karpov와 타이젠 코드 품질을 향상시키는 방법에 대해 논의했다.

Neiderman은 그의 연구 결과에 대한 뉴스 보도가 삼성의 관심을 끌었다고 생각한다. 삼성이 타이젠에 대해 더 많은 노력을 기울이기 시작했고, 다른 기업들과 접촉해 도움을 받고 있다고 말한다.

그는 타이젠의 코드가 여전히 최악인가라는 질문에는 유감을 표했다. “그때까지 그 코드가 매우 나쁜 상태에 있다는 것을 표현한 것이다. 삼성은 제품을 바꾸었지만, 그들이 수정하거나 변경한 코드 등 모든 부분을 체크하지는 않았다. 내가 그들에게 보고한 사항이나 내가 발견하지 못한 부분을 수정했는지는 확실하지 않아서 그들의 보안 감사가 얼마나 광범위하게 이루어졌는지는 알 수 없다”고 덧붙였다.

또 타이젠이 끔찍하지도 않고 훌륭하지도 않다고 말한다. 하지만 삼성에게 최악인 것은 타이젠에 충분히 발을 들이지 않고 있다는 것이고, 그렇다면 안드로이드를 대체하겠다는 것은 이루어질 수 없다고 언급한다. 삼성 대변인은 타이젠 상태에 대해 아무런 답변을 줄 수 없다고 말했다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록