구글이 자사의 선호 이용자 집단 중 하나인 소프트웨어 개발자들을 위한 검색 전문 기술을 선보인다.

구글이 지난 5일, 프로그래머들이 소프트웨어 작성 요령에 대한 팁을 얻을 수 있도록 수십억 개의 코드 라인을 검색할 수 있게 해주는 구글 코드 서치를 새롭게 선보였다.

구글 랩스 초창기 기술단이 고안한 이 서비스는 대부분 오픈소스 프로젝트를 통해 공개된 코드들에 접근한다. 구글 제품 매니저 톰 스토키는 웹 페이지상의 검색 및 인덱싱 커버 코드뿐 아니라 압축 파일 내의 코드도 검색이 가능하다고 밝혔다.

구글은 이 검색 엔진이 타인의 코드를 찾아내어 복제하는 용도보다는 주로 학생들이나 프로그래머들의 학습 도구로 사용될 것으로 내다보고 있다.

스토키는 "대부분의 코드는 오픈 소스여서 재활용이 가능하다. 그러나 이것이 주된 용도가 될 것으로 보이지는 않는다. 학습 용도나 오픈 소스 패키지를 구축함에 있어 작업 방향을 가늠하는 데 참고가 될 수 있을 것이다." 라고 말했다.

예를 들면 개발자가 응용 프로그램의 일부로서 어떠한 기능을 써야 할 경우 웹서치를 통해 다른 예들을 보는 식으로 이용이 가능한 것이다.

이번 오픈 소스 프로젝트에 대거 참가한 구글 엔지니어들은 이미 이 코드 검색 기능을 내부적으로 사용하고 있는 것으로 알려졌다. 스토키에 따르면, 이 프로젝트가 구글랩스의 프로젝트인 까닭에, 구글은 아직 광고 링크를 통한 상용화를 모색하고 있지는 않다고 한다.

구글 소스 코드 검색은 키워드 검색과 일반적인 익스프레션 검색 모두가 허용되어 특별한 패턴을 사용한 검색이 가능하다고 한다. 예를 들어 자바 스크립트 기능으로 검색을 제한하면 더 많은 예제들을 찾아낼 수 있다고 스토키는 전한다.

구글은 다른 서비스들에서처럼 특정 쿼리에 기초한 XML 피드를 생성하는 API(응용프로그램 프로그래밍 인터페이스)를 배포할 예정이다. 프로그래밍 툴을 판매할 계획은 없으나, 구글은 active developer-outreach program을 통해 서비스 개선을 도모하는 제3자 프로그래머들에 초점을 둘 계획이다.

한 예로, 프로그래머들은 구글 맵을 이용하여 부동산 매물 사이트와 같이 웹사이트의 정보를 표시하는 대중적인 매쉬업 응용프로그램을 만들 수 있다.

스토키는 "구글이 점점 더 프로그래머들 위주의 제품에 중점을 둘 계획이다." 라고 밝히며, "프로그래머들이야말로 진정 구글 제품들을 향상시킬 수 있으며, 반대로 또, 구글의 기술을 이용해 자신들의 제품을 개선하게 될 것이다." 라고 덧붙였다.


♣ 자료출처 - CNET.com

웹 사이트들은 자바스크립트 덕분에 점점 더 대화형으로 발전하고 있지만 10년 정도된 자바스크립트의 사용으로 보안 이슈가 제기되고 있다.

자바스크립트는 웹 2.0 붐에서 주요한 역할을 하고 있다. 웹 2.0은 웹사이트의 영역을 넓혀가고 있으며 자바스크립트가 큰 역할을 하고 있기 때문이다. 그러나 악성 자바스크립트는 특히 웹사이트의 보안상 결함과 결합되어 웹기반 공격을 개시할 수 있다고 보안 전문가들은 경고한다.

자바스크립트와 이것이 왜 보안 위협이 될 수 있는지에 대한 질문에 답을 하는 과정에서 CNET 뉴스닷컴은 아래 항목들로 FAQ 를 만들었다.

자바스크립트는 무엇인가?

자바스크립트는 스트립트 프로그래밍 언어있다. ECMA스크립트에서 유래된 것으로 넷스케이프 커뮤니케이션즈가 개발했으며 1995년 넷스케이프 브라우저에 도입됐다. 자바스크립트는 웹 사이트에서의 사용으로 잘 알려져 있다.

자바스크립트는 자바인가?

아니다. 이름과 달리 자바스크립트는 썬마이크로시스템즈의 자바와는 관계가 거의 없다. 자바는 자바 프로그램을 수행하는 프로그래밍 언어이자 소프트웨어이다.

썬의 공동 설립자 중 한명인 빌 조이가 자바스크립트라는 이름이 나온데 전적으로 책임이 있는데 그는 이 것이 "잘못된 결정"이라고 최근에 있었던 한 행사에서 말했다. 그는 "내가 넷스케이프가 자바스크립트라는 이름을 작명하도록 허용했다. 그들은 전화를 했다. 공황상태에 있었으며 자바스크립트란 이름을 사용하길 원했다. 나는 가족과 함께 밖에서 시간을 보내고 있었으며 별 생각을 하지 않았다"라고 말했다.

자바스크립트가 웹 2.0과 어떻게 관계되는가?

웹 2.0은 정확한 정의가 없다. 평범한 정적인 페이지만을 담고 있는 웹 사이트들을 모두 지칭하기 위해 주로 사용되는 용어이기 때문이다. 웹 2.0 사이트들은 보다 대화성이 강하며, 예를 들어 사용자들이 온라인으로 게재하는 사진에 태그를 붙일 수 있도록 한다. 기존 웹과는 달리 데스크톱 애플리케이션을 사용하는 것에 보다 가까운 경험을 사용자에게 제공한다.

웹 사이트를 더 멋지게 만드는 핵심 기법의 하나는 AJAX(Asynchronous JavaScript and XML) 라는 프로그래밍 방식이다. 지난 해 출범한 구글 맵스는 AJAX 개발 기법의 이점을 널리 확산시킨 서비스로 사용자는 마우스로 스크린 상의 지도를 이동시킬 수 있다.

캘리포니아 주립대 버클리 캠퍼스의 전산학과 교수인 데이비드 와그너는 "자바스크립트는 보안에 나쁘며 재앙이라고 할 수 있다. 현재 우리는 자바스크립트에 발목이 잡혀있다. AJAX는 더 많은 자바스크립트를 뜻하기 때문에 우리는 더 오래 발목이 잡혀있을 수 있다"라고 최근의 한 행사에서 말했다.

자바스크립트를 어떻게 악성으로 만드는가?

해커들은 사용자가 원하지 않는 일을 하도록 자바스크립트를 프로그램할 수 있다. 예를 들어 최근의 야마너 웜은 야후 메일을 목표로 삼았다. 이메일 주소를 수집하고 이를 해커에게 보낸 후 사용자의 야후 주소록에 있는 모든 수신자에게 스스로를 보낸다.
마이스페이스에서 확산된 새미 웜은 인기가 많은 소셜 네트워킹 사이트인 마이스페이스의 프로파일을 바꾼다. 두 웜 모두 자바스크립트로 만들었다.

보안 전문가들은 또한 최근 자바스크립트를 사용하여 홈 혹은 기업 네트워크의 지도를 그리고 서버 혹은 라우터나 프린터와 같은 장비를 공격할 수 있는 방법을 알아냈다.

내 컴퓨터에서 모든 자바스크립트가 동작하는가?

현대식 웹 브라우저는 전부 자바스크립트를 지원한다. 악성 스크립트는 웹 페이지에 숨겨둘 수 있으며 통상적인 브라우저에서 볼 때 경고없이 동작하게 된다.

악성 자바스트립트에 어떻게 대처하면 되나?

해커들은 자신들이 만든 웹사이트로 희생자를 끌어들일 수도 있다. 그러나 크로스-사이트 스크립팅(특정 코드를 사용자의 웹브라우저를 통해 실행시켜서 사용자의 쿠키 및 세션정보를 복사해 가공 및 사용)이라는 공통된 결함을 악용하여 사람들이 믿는 사이트를 이용할 수도 있다. 구글, MS, 이베이를 포함한 웹 대기업들은 이러한 결함을 치유해야만 했다. 지난 주 AOL 의 Netscape.com은 경쟁사 Digg.com의 팬들이 자사 웹사이트에 자바스크립트를 심는 바람에 이를 수정해야만 했다.

공격은 어떻게 이뤄지는가?

해커는 악성 자바스크립트를 만들고 이 스크립트를 호스트할 수 있는 결함있는 웹사이트를 찾는다. 보안 전문가들은 웹 사이트들이 크로스-사이트 스크립팅 결함을 많이 지니고 있다고 말한다. 해커는 이러한 결함을 이용하여 악성 코드를 웹 사이트에 심는다. 이 사이트를 방문하는 사용자들은 공격을 받게 된다. 예를 들어 이번 주 Netscape.com 사에 대한 공격을 보면 방문객들은 경쟁사 Digg.com 의 광고를 담은 자바스크립트 팝업을 만나게 되며 일부 경우 소셜 미디어 사이트인 Digg.com 으로 자동 안내된다.

나의 PC 와 네트워크를 어떻게 보호하는가? 자바스크립트는 내 컴퓨터에서 동작할까?

모든 현재의 웹 브라우저는 자바스크립트를 지원한다. 웹 브라우저에서 자바스크립트를 꺼 버릴 수 있으며 자바스크립트가 수행되지 않을 것이다. 그러나 그렇게 되면 많은 웹사이트의 기능도 함께 꺼지게 된다.

자바스크립트가 수행되면 사용자의 브라우저를 통하기 때문에 방화벽과 같은 보안 장치를 뚫게 된다고 보안 전문가들은 말했다. 웹 애플리케이션 보안 업체 화이트햇 시큐리티의 CTO 인 제레미아 그로스만은 "브라우저를 악용하여 내부 네트워크를 해킹할 수 있다"라고 말했다.

일부 PC 보안 소프트웨어는 악성 자바스크립트를 탐지할 수 있지만 한번의 공격이 있고난 이후에 가능하다. 공격을 막기 위해서는 공격 시그니처 (위협의 "핑거프린트")에 의존하기 때문이다. 효과적인 보안 조치는 웹 서버 쪽에서만 가능하다고 보안 전문가들은 말한다.

웹 사이트 운영자가 할 일은?

크로스-스크립팅 결함이 있는지 웹사이트를 점검하고 이를 고쳐야 한다. 사용자가 제공한 모든 자바스크립트도 확인할 필요가 있다.
그로스만은 "사용자들은 그들이 방문하는 웹사이트에 운명을 맡기고 있다"라고 말했다.

웹사이트 결함의 증가로 일부 보안 전문가들은 웹 개발자들이 보안 이슈에 많은 관심을 기울이지 않는다고 우려하고 있다. 웹 2.0 의 관심 때문에 사람들은 새로운 웹사이트를 개발하고 있다(돈을 많이 벌 수 있다는 희망에). 그러나 개발 동인은 기능에만 매달려 있으며 보안은 무시되고 있다고 전문가들은 말한다.

왜 이 문제를 10년 전이 아닌 지금 읽고 있는가?

자바스크립트가 10년 전에 나온 것은 맞다. 그러나 최근 AJAX 덕분에 인기가 더 높아졌다. 더욱이 악성 자바스크립트가 오래 전부터 가능했던 것은 사실이지만 보안 전문가들은 별로 관심을 기울이지 않았으며 더 빠르고 간단한 PC 장악을 가능하게 하는 웹 브라우저 버그 발견에 치중했다고 보안 전문가들은 말한다.


♣ 자료출처 : http://www.cnet.com/