운영체제 리눅스 배포판 최신 우분투, "잠재적인 심각한 프라이버시 결함 있다"

한 오픈소스 소프트웨어 전문가에 따르면, 4월 22일 발표한 우분투 16.04 버전에 리눅스 사용자 PC의 프라이버시를 심각하게 위협할 수 있는 기능이 있다.

우분투의 최신 장기 지원(long-term-support) 릴리스인 버전 16.04는 스냅(snap)이라 부르는 우분투 시스템에서 소프트웨어 설치 때 사용되는 새로운 패키지 형식이 있다. 스냅은 개발자들이 좀더 쉽게 구성하고 간단하게 배포하고 기존 데브 패키지 형식과 함께 호환되도록 디자인됐다.

그러나 오픈소스 저작자 매튜 가렛에 따르면, 이 기능에는 문제가 있다. 스냅 패키지는 X11 윈도잉 시스템(windowing system)을 사용한 우분투 시스템에 설치됐다. 가렛은 이는 대부분의 데스크톱 우분투 설치에서 별다른 준비를 하지 않아도 그들이 원하는 어디서나 프라이빗 데이터를 복사할 수 있다는 것을 의미한다고 설명했다.

가렛은 "사용자 프라이빗 데이터에 액세스 권한이 없는 한 애플리케이션이 세션이 가동하지 않을 때까지 기다렸다가 제한 없는 터미널을 열고 원격 사이트에 사용자 데이터를 보낼 수 있다"고 말했다. 가렛은 "스냅은 캐노니컬의 미르 윈도잉 시스템에서 실행되면서 어떤 보안 리스크도 드러내서는 안되며, 이는 장기적으로 볼 때 실제 많은 주요 보안 위협이 될 수 있다"고 주장했다.

현재 스냅에서 보여주는 심각한 문제는 데스크톱 우분투 사용자에게 심각한 문제를 야기할 수 있다. 캐노니컬은 이 문제에 대해 "이는 사실이 아니다. X11은 안전한 프로토콜이다"며, "약점으로 간주되는 스냅 방법을 바꾸고 있다"고 반응했다.

캐노니컬의 구스타보 니마이어는 "사용자들은 스냅이든 아니든 자신이 설치하는 패키지에 대해 신중해야 한다"고 말했다. 니마이어는 "사용자가 우분투 아카이브에서 소프트웨어를 설치할 때, 우분투와 데비안 개발자에서 신뢰 상태"라며, "스냅은 이런 신뢰를 필요로 하지 않는다. 이는 사용자 개인 파일, 웹 카메라, 마이크로폰 등에 액세스 소프트웨어를 받을 때와 같다"고 설명했다.

최근 수 년 동안 우분투는 2014년부터 시작한 장황한 프라이버시 관련 논쟁으로 인해 속을 앓고 있다. 이는 유니티 데스크톱 환경 내 검색엔진에서 개인화된 아마존 쇼핑 결과를 제공하기 위해 사용자 자체 데이터를 사용한 것이 문제가 됐다.

사용자들은 명확한 사전 승인(opt-in) 없이 아마존에게 검색 질의에 제공한다는 것에 항의했으며, 결국 우분투는 유니티 다음 버전에서 이 기능을 없애기로 했다. editor@itworld.co.kr