목차
bzip.org 문제를 찾아오신 분은 문서의 하단을 참고하여 주세요.
압축 효율
bzip2는 버로우즈-휠러 변환을 써서 자주 반복되는 문자열을 같은 문자열로 변환한 다음 MTF 변환, 허프만 부호화를 차례대로 적용하는 구조이다. bzip2는 gzip이나 ZIP에 비해 대체로 압축률이 좋지만 비교적 느리다.
bzip2의 이전 버전 bzip은 블록 정렬을 한 다음 산술 부호화를 사용했지만, 특허 문제 때문에 bzip2에서는 이 방식을 쓰지 않는다.
bzip.org 문제
bzip과 bzip2는 오픈소스로서 컴파일된 릴리스와 소스코드가 bzip.org에서 호스팅되고 있었다. 하지만 bzip.org의 기간 만료 (2018년 8월 1일로 추정)로 인해 도메인이 경매로 넘어갔다.
이 결과로 bzip 라이브러리를 사용하는 많은 개발사는 악성코드 위협에 노출되게 되었다. bzip.org 도메인 취득을 통해 개인, 업체, 기관을 상대로 가능한 해킹 공격은 아래와 같다.
- 중간자 공격 (MITM(Man In The Middle) Attack)
- 공급망 공격 (Supply Chain Attack)
- APT(지능적 지속 위협, Advanced Persistent Threat) 공격
- 리다이렉션 (Redirection) 공격
- 랜섬웨어 (Ransomware) 공격
- 멀버타이징 (Malvertising) 공격
- 스캠 또는 피싱 (Scam or Phishing)
이 외에도 다양한 위험성을 가진 도메인이다.
이런 위협은 bzip 또는 bzip2가 단 한 건이라도 사용된 거의 모든 사용자 시스템을 대상으로 한다. 최근의 리눅스/유닉스 시스템과 일부 윈도용 어플리케이션에는 bzip 또는 bzip2가 기본으로 포함되어 있는 경우가 많다. 만약 당신의 컴퓨터가 '펜티엄3'급 이상의 CPU를 가지고 있다면 이미 운영체제에 상관없이 bzip 또는 bzip2를 사용하고 있다고 봐도 무방하다.
이런 악용가능성 때문에 관련 커뮤니티인 LWN.net, 레딧(Reddit), 바이러스 제로 시즌 2에서는 주의를 요하는 글이 올라와 있다. 이것이 위험한 진짜 이유는, bzip을 사용하는 개발팀에게 bzip.org가 털렸다는 것은 세계 최대 오픈소스 호스팅 사이트인 깃허브(github.com)가 털렸다는 이야기와 같은 소리이기 때문이다. 이로 인해 민간에서는 bzip.org 도메인 매입을 위한 움직임이 있다. 아래는 bzip.org 정상화 프로젝트에 모금한 한국 사람들의 이름이다.
- 고남현
- 유** (요청에 의한 비공개)
- 김준영
- 전상완
- 김량규
- 김현준
- (주)에이캠프
- 안건우
2018년 9월 11일(화) 기준으로 경매는 진행중이다. 경매 종료는 2018년 9월 14일(금) 새벽 3시일 것으로 예상된다. 모금액은 최고가에 미달한 상태(준비율 58%)이며 현재 최고가는 250만원($2,200)에 달하고 있다.
현재 bzip.org 의 경매는 Namejet사의 웹사이트에서 비공개 경매로 이뤄지고 있다. 본 경매의 후원은 카카오톡 또는 지메일 gnh1201 으로 연락하여 가능하다.
경매 결과
2018년 9월 14일(금), bzip.org 경매가 종료되었다. 최종 낙찰가는 USD$9700(한화 약 1090만원)이다. 총 57명의 입찰자가 92번의 입찰을 하였다. 최고가가 지속적으로 올라 경매 시간이 4시간 10분 가량 연장되기도 했다. 국내 모금은 최고가에 미달하여 2018년 9월 17일(월) 현재 모두 환급이 완료되었다.
대책
이번 경매 결과로 인해 공급망 공격의 우려가 현실이 될 수 있다. bzip 라이브러리의 소스코드 또는 릴리스를 사용하고 있는 업체라면 신뢰할 수 있는 소스로 더이상 bzip.org를 사용하면 안된다. debian 등의 리눅스 배포판 저장소 등에서 제공하는 bzip, 그 외 신뢰 가능한 코드 저장소에 있는 라이브러리를 활용하여야 한다.