수많은 해커들이 풀 디스클로저 메일링 리스트(seclists.org/fulldisclosure)를 통해 제로데이 취약점과 공격 코드를 공개해 왔다. 그러나 12년간 대표 보안 커뮤니티로서의 명성을 이어온 풀 디스클로저는 보안 역사의 뒤안길로 사라지게 됐다.
 
2002년 렌 로즈(Len Rose)와 함께 이를 만들어 운영해 온 존 카트라이트(John Cartwright)는 과거 게재된 글을 삭제해 달라는 지속적인 요청에 지쳤다며 해당 서비스를 중단하겠다고 선언했다.

 
그는 그 동안 메일링 리스트에 게재된 제로데이 취약점과 공격 코드로 인해 법적 조치를 취하겠다는 업체의 협박과 함께 관련 이슈들에 시달려 왔으며, 더 이상 이런 싸움에 맞서 싸울 생각이 없다고 밝혔다.
 
풀 디스클로저는 IT 업계에서 중요한 역할을 해 왔다. 일부 제로데이 취약점은 영향을 받는 소프트웨어 업체를 향한 통보와 함께 게재됐으며, 일부는 패치가 된 후에 공개됐다. 어느 경우이든, 이러한 취약점 공개는 업체들이 보안을 심각하게 받아들이는 계기가 됐다.
 
그러나 지금은 상황이 많이 달라졌다. 오늘날의 법적 환경에서는 이러한 오픈 포럼을 운영하는 데 현실적인 어려움이 존재한다. 관련 규제가 강화되고 있어 제로데이 취약점이나 공격 코드를 공개 시 법적 이슈가 발생할 수 있기 때문이다.
 
또한 최근 제로데이 취약점을 사고 파는 업체들이 많이 생기면서 새로운 산업군이 형성되고 있다. 취약점을 해커로부터 사고, 이를 업체나 정부에게 파는 것이다. 이에 풀 디스클로저를 통한 취약점 공개는 IT 보안 역사에서 순수했던 시절의 유물이 돼버린 것이다.
 
과거에는 대부분 오라클 데이타베이스나 아파치 웹서버 혹은 리눅스 커널 등에서의 치명적인 제로데이 취약점이 공개됐던 반면, 요즘은 블로그 등에서의 XSS 취약점 공개가 주를 이루고 있는 점도 풀 디스클로저의 한계를 보여주고 있는 대목이다.
 
존 카트라이트는 “해커들에게서 더 이상 ‘명예’를 찾아볼 수 없을 뿐만 아니라 ‘수준 높은 기술’을 찾아 보기 어렵다”면서, “진정한 커뮤니티는 없다”고 쓴소리를 했다.
 
풀 디스클로저의 서비스 중단을 두고 업계에서는 ‘큰 손실’이라고 평하고 있다. 최근 소프트웨어 업체들이 보안을 강화하기 위해 취약점 공개에 대한 자체 프로세스를 구축하고 있는 것은 풀 디스클로저와 같은 커뮤니티의 활발한 움직임이 일조했다는 데 의견을 같이 하고 있다.
 
이에 NMAP을 만든 고든 라이온(Gordon Lyon)이 새롭게 풀 디스클로저를 운영하겠다고 나섰다. 그는 존 카트라이트와 의논 끝에 풀 디스클로저의 명맥을 이어가되 새로운 메일링 리스트를 만들기로 했다고 밝혔다. 다만 업체 중립적인 성격을 띠게 될 것이라고 그는 설명했다.
 
그러나 예전과 같이 커뮤니티 활동이 활발하게 이뤄질지는 미지수로 보인다. 한편, 새로운 메일링 리스트를 받으려면 재구독 신청을 해야 한다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com