프로젝트 제로

1 소개

구글 프로젝트 제로 팀 전용 블로그(영문)

구글에서 자체적으로 운영하는 보안팀, 그리고 그 보안팀의 프로젝트를 말하는 단어다.

2014년 7월부터 운영하기 시작했으며, 그 목적은 무려 제로데이 공격을 막는 것. 제로데이항목을 보면 알겠지만 제로데이 공격 자체가 아무런 패치나 보안 업데이트가 없는 취약점을 공격하기 때문에, 제로데이 공격을 당한 사용자 입장에서는 그 피해가 무궁무진하게 누적될 수 있다. 가정용 컴퓨터에서 인증서나 중요 자료를 빼가는 것은 물론 기업을 상대로도 막대한 리스크를 던져줄 수 있는데, 이 공격이 무서운 이유는 다름이 아니라 보안 패치나 업데이트가 뜰 때까지 속수무책으로 당해야 하기 때문.

결국 최근 다양해지고 있는 보안 이슈 및 제로데이 공격에 대비하기 위해 구글이 여러 최정상급 보안 전문가 및 화이트 해커를 모집하기에 이르는데, 이들이 바로 프로젝트 제로이다.

희한한 것은 구글에서 제작한 프로그램뿐만 아니라 일단 사람들이 많이 쓴다 싶은 프로그램은 모두 보안 관련 연구를 진행한다는 것. 그래서 그런지 구글은 기본이고 안드로이드, 마이크로소프트 제품, 심지어 삼성전자 휴대폰이나 경쟁사인 iOS까지 폭넓게 다루고 있다. 일부 긴급한 보안 취약점에 대해서는 바로 해당 업체에 관련 사실을 통보할 정도로 제로데이를 없애기 위해 노력하는 곳. 이쯤되면 구글이 대인배로 보인다. 현재도 프로젝트는 계속되고 있으며, 보안 전문가들에게 중요한 단초를 제공하므로 여러 모로 데이터 보안에 종사하는 사람 입장에서는 꼭 한 번쯤 체크하고 가게 되는 프로젝트가 되겠다.
비고-그유명한 지오핫도 프로젝트 제로에 포함되었다카더라

2 구성

• 크리스 에반스(Chris Evans)^[1]
• 벤 혹스(Ben Hawkes)
• 태비스 오먼디(Tavis Ormandy)
• 이안 비어(Ian Beer)
• 조지 호츠(George Hotz)

현재는 각 OS 및 시스템, 제조사별로 별도 팀을 꾸려 보안 관련 연구를 하고, 발생한 긴급 문제에 대해서는 업체별 보고를 하는 것으로 알려져 있다. 2015년 12월에 발생한 랜섬웨어 사태를 막은 것도 이 분들의 작품. 본사가 몰랐던 걸 타사가 알려주는 대인배스러운 모습

3 업적

현재까지 블로그에 개시된 몇몇 업적은 다음과 같다.

• 2014년
  • MAC OS X 보안 취약성 정보 제공 케이스 1
  • 어도비 플래시 보안 취약성 정보 제공케이스 1 케이스 2
  • 인터넷 익스플로러 EPM 보안 취약성 정보 제공 케이스 1
• 2015년
  • 안드로이드 NVMAP 관련 취약성 정보 제공 케이스1
  • 어도비 플래시 PCRE regex 엔진 관련 보안 취약성 정보 제공 케이스1
  • DRAM rowhammer 버그 리포트 링크
  • 윈도우 및 어도비 프로그램에서 폰트를 통해 공격받을 수 있는 보안 취약성 정보 제공 케이스 1
  • 카스퍼스키 보안 취약성 정보 제공 케이스 1 이 로그는 봐도 모르겠다...뭔지 아시는 분은 추가 바람
  • 윈도우 보안 취약성 정보 제공 케이스1

1. ↑ 구글 보안 엔지니어. 이 프로젝트를 이끄는 총괄책임자로 알려져 있다.