PHP 보안 전문가 Stefan Esser 가 드디어 PHP 보안 까발리기를 시작했습니다.

Stefan Esser 는 Security Focus 와의 인터뷰에서 그간 PHP 프로젝트 외부에는 잘 알려져있지 않던 PHP 의 참담한 보안 현실을 솔직하게 털어놓았습니다. 인터뷰어인 Federico Biancuzzi 가 상당히 인터뷰를 잘하는군요.

Stefan Esser 는 Hardend-PHP 프로젝트나 Suhosin, PHP 보안팀 설립후의 활동 등에 대해 간략히 언급한 후, 최근 이슈가 된 PHP 보안팀 사퇴 건에 대해 다음과 같이 언급했습니다.

1. 보안 패치가 누구나 볼 수 있는 CVS에 올라가기 때문에 해커가 취약점을 손쉽게 파악할 수 있는 반면
2. 보안 패치가 반영되는 건 Major 릴리즈 때만이라 장기간 사용자가 위험에 노출되게 되고,
3. 보안 패치에 대한 테스트 케이스를 작성하지 않아서 같은 버그가 계속 발생한다던가, 패치가 보안 버그를 해결하지 못하는 경우도 많고,
4. 보안 패치의 품질이 매우 낮고
5. 보안 정보의 관리 체계가 없다
6. PHP 팀이 자꾸 인신공격하는 문제도 있고...
7. 자꾸 수준낮은 보안 전문가들이 PHP 보안 전문가인체 하는 것도 못봐주겄고...

흥미로운건 Hardend-PHP 프로젝트가 PHP 프로젝트 내의 프로젝트로 존재하지 않고, 별도의 프로젝트로 존재했던 것도 PHP 팀이 라이센스 문제를 걸고 넘어지면서 떨어져나가도록 종용한데 있었다는 사실입니다.

최근의 PHP 5 의 보안 상의 변화에 대해서는 긍정적이라고 언급하면서도, 이 변화로 인해 예전의 PHP 4 용 어플리케이션이 PHP 5 환경에서 보안 취약점에 노출되게 된다는 점도 빠뜨리지 않고 있군요.

Stefan Esser 가 야심차게 계획 중인 "Month of PHP bugs" 에 대해서는 'PHP 개발자들이 PHP 어플리케이션의 보안 문제가 심각한 것은 해당 어플리케이션 개발자들의 문제이지, PHP 자체는 매우 안전하게 설계되어 있다라고 주장하는데 이것이 개발자에 대한 기만임을 알리기 위해서'라고 말하고 있습니다.

인터뷰 말미에 국내외에서 블로그 용도로 많이 사용되는 WordPress 의 보안 설계에 문제가 많다고 언급한 점도 흥미롭군요.

꼭 한번 원문 전체를 읽어보시길 권해드립니다. PHP 개발자들이 PHP 의 보안 현황을 호도하기 위해 자신들은 몇가지 버그를 알고 있으면서도 'PHP 에는 절대 보안 버그가 없다'고 주장하는 부분을 읽을 때면 충격을 받게 됩니다.

그나 저나 Month of PHP bugs 인 올해 3월이면 국내외 PHP 어플리케이션 개발자들 난리나겠군요. 포털이나 웹 호스팅 업체들도 그렇구요. 1주일 정도 밖에 안남았는데, 제로데이 버그 31 개 중 20 개가 발표된다니...

--- 추가 --
Stefan Esser 단단히 화났군요.
http://blog.php-security.org/archives/71-Month-of-PHP-Bugs-and-PHP-5.2.1.html
PHP 프로젝트는 Month of PHP bugs 의 영향을 막기 위해 PHP 5.2.1 을 내놓고, Stefan Esser 는 PHP 5.2.1 에 적용된 패치가 문제를 해결하지 못함을 보여주려하고 있고.... 한동안 재미있을 듯...