구글이 에픽게임즈의 ‘포트나이트’ APK에서 보안 취약점을 발견했다. 에픽게임즈는 이 문제를 즉시 보완하고 구글에 90일간 이 문제를 대중에 공개하지 않으면 좋겠다는 의사를 전달했지만, 구글은 이를 받아들이지 않고 바로 공개했다. 이에 팀 스위니 에픽게임즈 대표는 트위터를 통해 불편한 심기를 드러냈다.
팀 스위니 대표는 24일(현지시각) “업데이트가 널리 퍼질 때까지 구글에 공개하지 말아달라고 요청했지만, 구글은 이를 거절했다”며 “이는 구글이 값싼 홍보 효과를 누리기 위해 사용자들을 불필요한 위험에 노출시킨 것”이라고 주장했다. 이어 “물론 그것이 효과적인 홍보전략이라는 점은 인정하지만, 왜 이렇게 빨리 기술적인 세부사항까지 발표했는지 모르겠다”고 덧붙였다.
이러한 사실이 공개되자 구글이 에픽게임즈에 갑질을 하는 것 아니냐는 여론이 형성됐다. 공교롭게도 최근 에픽게임즈는 ‘포트나이트’의 안드로이드 버전을 구글플레이가 아닌 자사 홈페이지를 통해 직접 유통하겠다고 밝혔기 때문이다. ‘탈 구글’ 선언이다. 이로 인해 구글은 ‘포트나이트’에 마켓수수료 30%를 부과할 수 없게 됐다. 이에 대한 보복으로 ‘90일 룰’을 깨고 보안 취약점을 빨리 공개한 것 아니냐는 주장이다.
그러나 구글 취약점 공개 정책에 따르면, 구글은 90일 이전에도 해당 이슈를 공개할 수 있다. 구글은 정책 페이지를 통해 “우리는 취약점을 즉시 업체에 통보하고, 90일 후에는 대중에 세부 내용을 공개한다”며 “만일 업체가 해당 문제를 해결할 경우 공개일은 더 빨라질 수 있다”고 명시했다. 또한 “이전에 알려지지 않았고 해결되지 않은 취약점일 경우 7일 이내에 긴급한 조치를 취해야 한다고 생각하며, 우리는 사용자가 스스로 보호할 수 있도록 지원할 것”이라며 “더 많은 장치나 계정이 손상될 수 있기 때문”이라고 밝혔다.
‘포트나이트’의 취약점을 처음 제기한 ‘구글 이슈 트래커’에서도 같은 내용이 나온다. 구글은 에픽게임즈에 보낸 이메일 말미에 “이 버그에는 90일 공개 기한이 적용되지만, 패치가 널리 사용 가능해지면 (90일 이전에) 리포트가 대중에게 공개된다”는 내용을 언급했다.
‘구글 이슈 트래커’는 구글 보안 전문가들이 전세계 파트너 프로젝트의 보안 취약점을 보고하는 구글 내부 미공개 툴이다. 구글 엔지니어가 특정 프로젝트에서 문제점을 발견하면 이 툴을 통해 해당 프로젝트 개발자에게 알리고 조치를 요구한다. 이후 구글과 파트너는 이메일을 주고받으며 진행 상황을 공유한다.
최근 불거진 주요 보안 이슈들 상당수가 ‘구글 이슈 트래커’를 통해 처음 발견됐다. 인텔 CPU 보안 취약점 사례나 시만텍 SSL 인증서 오발급 사례도 구글이 적발했다. 마이크로소프트의 엣지 브라우저에도 취약점이 발견됐는데, 마이크로소프트는 이 문제를 90일 기한 내에 해결하지 못해 결국 구글에 의해 공개되는 수모를 당했다.
지난해 말에는 블리자드의 ‘월드오브워크래프트’, ‘디아블로3’, ‘스타크래프트2’ 등의 게임이 설치된 수백만 대의 PC가 악성코드에 감염될 위험이 있다는 경고가 나오기도 했다. 구글은 ‘구글 이슈 트래커’를 통해 이 사실을 블리자드에 전달하고 해결책을 요구했다. 그러나 블리자드는 구글과의 소통을 일방적으로 끊고 자체적으로 계정 보안 대책을 발표했다. 이에 구글은 불쾌함을 표시하며 즉시 해당 이슈를 공개했다.
‘포트나이트’ APK의 취약점은 ‘구글 이슈 트래커’를 통해 8월 15일 처음 보고됐다. 구글은 “외부 저장장치에 앱을 다운로드할 경우 동일한 이름의 가짜 APK와 바꿔치기될 수 있다”며 “targetSdkVersion이 22 이하일 경우 이 취약점이 발생한다”고 에픽게임즈에 경고했다.
구글의 보고를 받은 에픽게임즈는 “24시간 연중무휴로 작업하는 팀이 문제를 해결할 것”이라며 즉시 해결책 찾기에 돌입했다. 이어 이틀 뒤인 17일 “해당 문제에 대한 픽스를 적용했다”고 응답했다.
이와 함께 에픽게임즈는 구글에 “이 문제를 공개하기 전에 사용자들이 패치를 내려받을 수 있도록 90일의 유예 기간을 달라”며 “가능할 경우 알려달라”고 추가 요청사항을 전달했다. 사용자들이 게임을 실행해야 패치 다운로드가 이루어지기 때문에 모든 사용자가 안전해지기까지는 시간이 필요하다는 이야기다.
그러나 구글은 이 예외적인 요청 사항을 거절했다. 구글은 25일 “패치 버전이 사용 가능해졌으므로 구글 정책에 따라 이 문제를 공개하겠다”고 밝혔다. 이어 해당 대화 기록을 비공개에서 공개로 전환했다.
일각에서는 구글의 갑질이 아니라, 오히려 팀 스위니의 발언이 경솔했다는 지적도 나온다. 엄밀히 말하면 ‘포트나이트’ 안드로이드 버전에 보안 문제가 생긴 것은 사실이다. 다만 이 문제는 신고 후 이틀 만에 해결됐다. 그러나 에픽게임즈의 탈 구글 선언에 심기가 불편해진 구글 입장에서는 그들의 요구를 들어줄 이유가 없는 부분이기도 하다. 시장조사업체 센서타워는 ‘포트나이트’의 탈 구글로 인해 구글이 손해볼 수수료를 최소 5000만 달러(약 556억 원)로 예상했다.
