https://www.fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
“쉘 쇼크”라고 알려진 유비쿼터스 GNU 배쉬 쉘(Bash shell)의 심각한 보안 취약점이 정보 기술 분야의 중요 염려사항이 되고 있다. 배쉬(Bash)는 자유 소프트웨어 재단(Free Software Foundation)의 GNU 프로젝트의 주요 컴포넌트이며, GNU 프로젝트는 그 자체로 리눅스(Linux) 및 애플(Apple) OS X를 포함한 다수의 인기 있는 운영 시스템의 엘리먼트가 된다. 존 설리반 자유 소프트웨어 재단 대표 (John Sullivan, Free Software Foundation Executive Director)은 블로그 포스팅을 통해 취약점에 대해 다음과 같이 논평했다:
GNU 배쉬(Bash)는 자유롭고 다양한 특징을 갖춘 신뢰할 수 있는 쉘(sehll)이기 때문에 광범위하게 채택 중입니다. 이러한 인기는 전일 발견된 심각한 버그 또한 널리 유포되었음을 의미합니다. 다행스럽게도 GNU 배쉬(Bash) 라이선스인 GNU 일반 공중 라이선스 버전 3(General Public License version 3)을 통해 빠른 대응 조치가 가능했습니다. 배쉬(Bash) 업스트림 개발자들의 버그 수정 노력과 더불어 누구나 다운로드하여 적용 가능한 패치를 레드햇(Red Hat)에서 개발, 공유했습니다. 마이크로소프트(Microsoft), 애플(Apple) 혹은 다른 사유 소프트웨어와 달리 배쉬(Bash) 사용자는 누구든지 코드를 다운로드, 조사, 수정 할 수 있습니다.
소프트웨어의 자유(freedom)는 안전한 컴퓨팅의 전제 조건입니다: 이를 통해 누구라도 취약점 진단을 위해 코드를 조사할 수 있고 취약점 발견 시 안전한 신규 버전을 생성할 수 있습니다. 소프트웨어의 자유가 버그 발생을 원천 봉쇄하는 것은 아니며 이는 사유 코드 또한 마찬가지입니다: 소프트웨어의 라이선스와 상관 없이 버그는 발생합니다. 그러나 자유 소프트웨어에 대한 버그 발견 시, 누구라도 문제를 알리고 해결 할 수 있는 허가, 권한 및 소스 코드가 가용합니다. 이러한 수정 조치는 자유롭게 이를 필요로 하는 모든 사람들에게 즉시 배포됩니다. 따라서, 이러한 자유가 윤리적이고 안정적인 컴퓨팅에 있어 결정적이라 하겠습니다.
[…] 소프트웨어의 자유가 보안을 보장할 수 없으며 어떤 경우에는 일부 사유 프로그램에 비해 특정 벡터(vectors)에 관한 안전성은 더 낮아 보일 수 도 있습니다. 오픈 SSL “하트 블리드” (Open SSL “Heartbleed”) 사태 이후 많은 사람들이 동의하듯이 해결책은 한 개의 보안 버그와 사유 소프트웨어에 의해 내재적으로 생성되는 뿌리깊은 보안상의 불안정성(insecurity)을 맞교환 하는 것이 아니라 해결책은 자유 프로그램에 대한 감사(auditing)와 향상을 위해 에너지와 자원을 투자하는 것입니다.
“쉘 쇼크(Shell Shock)”와 최근의 “하트 블리드(Heartbleed)” 사건은 IT 업계에 종사하는 많은 이들에게 FOSS 기술에 대한 그들의 의존도와, 빠른 후속 대응을 통해 이 같은 오픈 시스템이 사유 프로그램에 대해 갖는 강력한 장점을 다시 한번 인식하는 계기가 되었다.
