2013.01.23

칼럼 | "이제는 자바를 버려야 할 때"

Rob Enderle | CIO
지난 주에 발생했던 제로데이 공격은 클라이언트 단 자바가 과거만큼 위세를 떨치지 못함을 보여주었다. 이제는 오라클이 자바를 팔아버리기 전에 소비자와 기업이 자바를 버려야 할 때다.

클라이언트의 입장에서 자바는 이해가 가지 않는 부분이 많았다. 그다지 좋은 아이디어가 아니어서가 아닌, 값비싼 서버와 워크스테이션을 판매하며 돈을 벌고 있던 썬마이크로시스템즈(Sun Microsystems)와 같은 기업이 왜 이것을 만들었는지에 관해서 말이다.

썬은 자바를 통해 이렇다 할 비즈니스 모델을 개발하지 못했고, 대신 대규모의 무료 클라이언트 기반 플랫폼(대부분 인 브라우저 플러그인(in browser plug-in)으로 구동되는)을 키우는 역할만을 했다. 자바는 마이크로소프트에 타격을 주기 위한 목적으로 제작된 것이지만, 자바를 이용해 하드웨어와 소프트웨어 판매 증대를 가속화한다는 그들의 전략은 실로 우스운 것이었다. 자바는 마이크로소프트를 무너뜨리지 못했고, 썬은 결국 오라클의 손에 넘어갔다.

이제 오라클은 수익에 집중하는 기업용 백 오피스 업체로 자리매김했다. 그리고 자바는 여전히 대부분 인 브라우저 무료 플랫폼의 모습으로 남아있다. 오라클이 자바를 쥐고 있는 유일한 이유는 이를 이용해 구글로부터 라이선스 위반 보상금을 뜯어내는데 있는 듯 보인다. 그러나 이 역시도 그리 현명한 생각은 아니라 여겨진다.

해커들의 로망 ‘한 번 작성하면 어디서든 읽는다’
미 국방성이 경고해온 국제적인 보안 유출이나 시스템 충돌 사태, 이른바 디지털 9/11에 대한 최선의 대비책은 핵심 시스템들 간의 대화를 차단하고 관련 어플리케이션 플랫폼을 매우 다르게 설계하는 것이다.

반면 자바는 ‘한 번 작성하면 어디서든 읽는다'는 목표에 기초해 단일 공동 플랫폼을 제공한다. 이는 공격자들이 휴대 전화나 PC 등의 클라이언트 시스템에 접근할 수 있도록 하는 통로가 될 수 있는 구조다. 자바는 또한 관리 콘솔로 사용되는 시스템에서도 구동될 수 있어 기업이나 국가에 대규모의 피해를 입히고자 하는 공격자들에게 좋은 목표 대상이 된다.

이러한 이유들로 자바에는 신속히 위협을 감지하고 감지된 위협은 즉각적으로 처리할 수 있는 견고한 보안망이 요구된다. 이 과정에는 막대한 자산과 노력이 요구될 것이다.

자바 보안 위협은 현실
자바의 노출은 실제적이며, 공격자들 역시 이를 알고 있다. 최근 첫 번째 사건이 발생한 지 1년도 지나지 않아 두 번째 제로데이(zero-day) 자바 공격이 이뤄졌다. 모든 방송들이 보안 문제를 경고했고, 미국 국토안보부마저도 기밀 데이터 손실을 막기 위해 시스템의 코드를 일시적으로 차단할 것을 권고했다.

오라클은 재빠르게 움직이는 듯 보였지만, 그들이 내놓은 조언을 보고 있노라면 자바가 계속 사용하기에는 너무 위험함을 시인하는 듯한 인상을 지울 수 없었다. 물론 여기에는 오라클의 패치가 부적절했다는 이유 역시 한 몫을 했다.




2013.01.23

칼럼 | "이제는 자바를 버려야 할 때"

Rob Enderle | CIO
지난 주에 발생했던 제로데이 공격은 클라이언트 단 자바가 과거만큼 위세를 떨치지 못함을 보여주었다. 이제는 오라클이 자바를 팔아버리기 전에 소비자와 기업이 자바를 버려야 할 때다.

클라이언트의 입장에서 자바는 이해가 가지 않는 부분이 많았다. 그다지 좋은 아이디어가 아니어서가 아닌, 값비싼 서버와 워크스테이션을 판매하며 돈을 벌고 있던 썬마이크로시스템즈(Sun Microsystems)와 같은 기업이 왜 이것을 만들었는지에 관해서 말이다.

썬은 자바를 통해 이렇다 할 비즈니스 모델을 개발하지 못했고, 대신 대규모의 무료 클라이언트 기반 플랫폼(대부분 인 브라우저 플러그인(in browser plug-in)으로 구동되는)을 키우는 역할만을 했다. 자바는 마이크로소프트에 타격을 주기 위한 목적으로 제작된 것이지만, 자바를 이용해 하드웨어와 소프트웨어 판매 증대를 가속화한다는 그들의 전략은 실로 우스운 것이었다. 자바는 마이크로소프트를 무너뜨리지 못했고, 썬은 결국 오라클의 손에 넘어갔다.

이제 오라클은 수익에 집중하는 기업용 백 오피스 업체로 자리매김했다. 그리고 자바는 여전히 대부분 인 브라우저 무료 플랫폼의 모습으로 남아있다. 오라클이 자바를 쥐고 있는 유일한 이유는 이를 이용해 구글로부터 라이선스 위반 보상금을 뜯어내는데 있는 듯 보인다. 그러나 이 역시도 그리 현명한 생각은 아니라 여겨진다.

해커들의 로망 ‘한 번 작성하면 어디서든 읽는다’
미 국방성이 경고해온 국제적인 보안 유출이나 시스템 충돌 사태, 이른바 디지털 9/11에 대한 최선의 대비책은 핵심 시스템들 간의 대화를 차단하고 관련 어플리케이션 플랫폼을 매우 다르게 설계하는 것이다.

반면 자바는 ‘한 번 작성하면 어디서든 읽는다'는 목표에 기초해 단일 공동 플랫폼을 제공한다. 이는 공격자들이 휴대 전화나 PC 등의 클라이언트 시스템에 접근할 수 있도록 하는 통로가 될 수 있는 구조다. 자바는 또한 관리 콘솔로 사용되는 시스템에서도 구동될 수 있어 기업이나 국가에 대규모의 피해를 입히고자 하는 공격자들에게 좋은 목표 대상이 된다.

이러한 이유들로 자바에는 신속히 위협을 감지하고 감지된 위협은 즉각적으로 처리할 수 있는 견고한 보안망이 요구된다. 이 과정에는 막대한 자산과 노력이 요구될 것이다.

자바 보안 위협은 현실
자바의 노출은 실제적이며, 공격자들 역시 이를 알고 있다. 최근 첫 번째 사건이 발생한 지 1년도 지나지 않아 두 번째 제로데이(zero-day) 자바 공격이 이뤄졌다. 모든 방송들이 보안 문제를 경고했고, 미국 국토안보부마저도 기밀 데이터 손실을 막기 위해 시스템의 코드를 일시적으로 차단할 것을 권고했다.

오라클은 재빠르게 움직이는 듯 보였지만, 그들이 내놓은 조언을 보고 있노라면 자바가 계속 사용하기에는 너무 위험함을 시인하는 듯한 인상을 지울 수 없었다. 물론 여기에는 오라클의 패치가 부적절했다는 이유 역시 한 몫을 했다.


X