최근, 리눅스의 커널 프로젝트의 관리자들이 미네소타 대학교(UMN)가 오픈 소스 리눅스 프로젝트에 관여하는 것을 금지했다. 이는 UMN 연구진들이 리눅스 공식 소스코드에 보안 취약점을 의도적으로 커밋, 연구 활동의 목적으로 사용하다 적발된 것이다. 현재 관리자들은 미네소타에서 추가한 모든 커밋을 되돌리기로 결정 했다.

 

[그림1. 미네소타 대학 관련 메일]

 

2021년 2월, 미네소타 연구원들은 "Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits." 이라는 제목의 논문을 업로드한다. 이 연구는 악의적이나 취약한 코드들을 의도적으로 커밋해 리눅스 커널에 취약점을 도입시키는 목적으로 시작됬다. 실제로 연구자들은 다음과 같은 "hypocrite" 커밋을 통해 알려진 취약점을 도입한 사례를 논문에 실었다.

 

[그림2. 미네소타 대학에서 공개한 논문]

 

[그림3. 취약한 코드]

 

 

 

이 외에도 연구진 들은 여러 취약한 코드들을 커밋한 사례를 논문 내용에 실었다. 현재 이 코드들은 모두 되돌려진 상태다. 이번 사건을 통해서 의견은 둘로 갈리고 있다. 이 사건은 심각한 범죄라고 생각하는 사람들도 있고 버그 도입 패치의 실용성을 입증해 오픈 소스 소프트웨어에서 패치 절차의 보안을 향상시킬 수 있다고 보는 의견도 나오고 있다.

 

[UMN Github Issue 페이지]

 

 

 

Bleeping Computer는 "미네소타 대학에 관련 사건에 대해 의견을 요청했지만 어떠한 답장도 받지 못했다" 고 밝혔다.

 

출처:

 

https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

 

https://www.bleepingcomputer.com/news/security/linux-bans-university-of-minnesota-for-committing-malicious-code/