미네소타 대학, 리눅스 프로젝트에 악성코드 배포 사과해

 

 

Minnesota University Apologizes for Contributing Malicious Code to the Linux Project

 

지난 토요일, 미네소타 대학(University of Minnesota)의 연구원들이 리눅스 커널 프로젝트의 관리자들에게 프로젝트의 코드에 의도적으로 취약점을 포함시킨것에 대해 사과했습니다. 이로 인해 해당 대학은 향후 오픈소스 프로젝트에 기여하는 것이 금지되었습니다.

 

조교인 Kangjie Lu, 대학원생인 Qiushi Wu 및 Aditya Pakki는 이메일을 통해 “우리의 목표는 리눅스의 보안을 개선하는 것이었지만, 이 연구 주제가 리눅스 커뮤니티에 악영향을 끼친다는 것을 깨달았다”고 밝혔습니다.

 

이러한 사과는 지난 2월 공개된 이 “위선적인 커밋”에 대한 연구 결과가 발표된 이후에 이루어졌습니다.

 

해당 프로젝트는 ‘보안 연구’라는 이름 하에 리눅스 커널에 use-after-free 취약점을 의도적으로 추가하는 것을 목표로 삼았으며, 패치 프로세스의 보안을 개선하기 위해 악성코드가 어떻게 승인 프로세스를 통과할 수 있었는지에 대한 방법을 강조하고 결과적으로 이를 개선할 수 있는 방법을 제안하고자 했습니다.

 

2020년 12월 15일, 이들이 공유한 설명 문서에 따르면 대학의 연구 윤리 위원회에서는 해당 연구를 검토한 결과 ‘인간 연구’가 아닌 것으로 결론지었습니다.

 

연구원들은 “OSS에 취약점을 도입하지 않았거나, 도입할 의도가 없었다”고 주장했지만 정 반대의 입장을 가리키는 증거가 발견되었습니다. 해당 증거를 통해 이 연구가 적절한 감독이 없이 진행되었음을 알 수 있었으며, 커널의 보안에 위협을 끼쳤기 때문에 "umn.edu" 이메일 주소를 사용하는 모든 사람이 코드를 등록할 수 없도록 금지되었습니다. 또한 해당 대학의 연구원들이 등록한 모든 과거 코드가 무효화되었습니다.

 

사건 이후, 해당 대학의 컴퓨터공학과는 사건을 조사하고 있다고 밝히며 “해당 연구 방식과 과정이 승인되었는지 확인하고, 적절한 시정 조치를 결정해 추후 발생할 문제에 대응하고자 한다”고 덧붙였습니다.

 

“이는 단순한 실험보다 훨씬 나쁜 결과를 초래할 수 있습니다. “안전 연구원”이 마트를 방문해 모든 자동차의 브레이크를 끊어버리고 얼마나 많은 사람들이 사고가 발생하는지 확인하는 상황에 비유할 수 있습니다. 이 연구는 엄청나게 비윤리적입니다.”

 

현재 해당 대학의 연구원들이 코드베이스에 등록한 모든 패치는 재검토를 진행할 예정인 것으로 밝혀졌습니다.

 

 

 

 

출처:

https://thehackernews.com/2021/04/minnesota-university-apologizes-for.html

https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u