세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
마이크로소프트, 윈도우 XP와 서버 2003 버전도 패치했다
  |  입력 : 2017-06-15 11:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
XP와 서버 2003, 공식 지원 끝난 버전...대중 공개는 이례적
셰도우 브로커스의 정액제 익스플로잇 발표 앞둔 때, 근본 대책 세워야


[보안뉴스 문가용 기자] 마이크로소프트가 자사 제품인 윈도우, 스카이프, 오피스, 인터넷 익스플로러, 에지 브라우저 등에 대한 패치를 발표했다. 총 96개의 CVE 취약점들을 해결한 것으로 이미 공식 지원이 끝난 윈도우 XP와 윈도우 서버 2003 버전용 패치까지도 포함되어 있다는 게 사용자들을 놀라게 했다.

[이미지 = iclickart]


마이크로소프트가 별도의 계약을 맺은 사용자들 외 일반 대중들을 위해 지원이 끝난 플랫폼에 대한 패치를 개발해 배포하는 건 극히 드문 일이다. 마이크로소프트의 보안 대응 센터 책임자인 에릭 도어(Eric Doerr)는 “최근 셰도우 브로커스(Shadow Brokers)가 공개한 취약점 및 익스플로잇의 잠재적 위험성이 너무 크다고 판단해 이와 같은 조치를 취했다”고 발표했다.

자동 업데이트가 아니라 수동으로 업데이트를 하는 사용자들이 눈여겨봐야 할 취약점은 CVE-2017-8543이다. 윈도우 운영체제에서 원격 코드 실행을 가능하게 해주기 때문이다. “공격자들이 SMB 요청을 윈도우 서치(Windows Search)로 보냄으로써 피해자의 기기를 통제할 수 있게 됩니다.”

보안 업체인 퀄리스(Qualys)의 엔지니어링 책임자 아몰 사웨이트(Amol Sarwate)는 “CVE-2017-8507도 주목해야 한다”고 권장한다. “공격자가 보낸 악성 이메일을 피해자가 아웃룩을 통해 열람하면, 공격자가 해당 시스템을 완전히 통제할 수 있게 됩니다. 아웃룩을 사용하는 기업들이라면 반드시 알아두어야 할 문제입니다.”

보안 전문가들의 취약점 발굴을 독려하는 프로그램인 제로데이 이니셔티브(Zero Day Initiative)의 홍보책임자인 더스틴 차일즈(Dustin Childs)는 이번 MS 패치에 대해 “오래된 보안 문제라고 해서 시간이 해결해주지 않는다는 게 명확히 드러났다”고 평한다. “정보보안 문제만큼은 시간에 맡겨서 해결할 게 절대 아닙니다. 플래시 취약점으로 인한 사건사고들만 봐도 영원히 끝나지 않을 것 같죠.”

오래된 취약점이라고 해서 그 영향력이 약한 것도 아니다. “취약점 자체는 그대로 남는데, 그걸 악용하는 방식이 발전하니 오래된 취약점들이 오히려 더 위험할 가능성이 높습니다. 오래된 것들부터 차근차근 해결해나가야 하는데, 현재 보안 업계는 새롭게 발견된 것들에만 시선을 두고 있죠.”

마이크로소프트가 이례적인 패치를 발표한 건 단적으로 말해 두 번째 워너크라이 사태를 막기 위해서다. 워너크라이는 윈도우 7을 주로 공략한 것으로 밝혀졌지만, 윈도우 10이라고 해서 안전한 것만은 아니라는 연구 결과도 나왔다. NSA의 해킹 도구를 보유하고 있다고 주장하는 셰도우 브로커스(Shadow Brokers)가 정액제로 주요 취약점들을 공개하겠다는 발표를 했기 때문에 두 번째 워너크라이 사태는 발발 가능성이 충분히 높다고 할 수 있다.

물론 마이크로소프트가 셰도우 브로커스에 맞서기 위해 공식 지원이 끝난 플랫폼에 대한 패치 배포를 꾸준히 할 것으로 보이지는 않는다. 아마 당장 다음 달 패치부터 XP와 서버 2003 버전에 대한 패치는 사라질 가능성이 높다. 가장 근본적인 대책은 사용자들이 최신 OS로 업그레이드를 하고, 최신 버전으로 업데이트 하는 것이다.

도어 역시 “이번에 예외적으로 패치 발표를 했다고 해서 마이크로소프트의 패치 정책이 바뀐 건 아니”라고 분명하게 명시했다. 사웨이트도 “마이크로소프트가 그런 식으로 옛 OS에 대한 패치를 계속 배포해야 할 책임을 가지고 있는 것도 아니”라고 했다. “물론 법적인 책임을 말하는 겁니다. 하지만 윤리적으로는 잘 모르겠습니다. 일단 산업 시설에서 XP나 서버 2003 버전이 널리 사용되고 있으며, 업그레이드가 말처럼 쉽지 않은 상황이라는 건 MS도 잘 알고 있으니까요. 그러나 패치를 장기적으로 해주면 아무도 업그레이드할 생각을 안 하겠죠. 그것 또한 문제입니다.”

보안 업체 리스크센스(RiskSense)의 수석 보안 분석가인 션 딜런(Sean Dillon)은 “두 번째 워너크라이 사태가 발생한다면, 첫 번째 워너크라이와는 비교도 안 될 정도로 큰 사건일 것”이라고 경고한다.

“첫 번째 워너크라이가 랜섬웨어였다는 게 오히려 보안 업계에겐 좋은 소식입니다. 이런 전 세계적인 공격이 가능하다는 걸 학습할 수 있었으니까요. 만약 워너크라이가 랜섬웨어가 아니라 전 세계적인 ‘정보 탈취’ 멀웨어였다면 우린 지금 이러한 규모의 공격이 가능하다는 걸 알고 있었을까요? 지금 이 순간에도 우린 ‘조용한 워너크라이’에 당하고 있을지도 모릅니다. 누가 패치를 해주고 말고의 문제로 해결이 가능한 게 아니에요. 모든 사람이 업그레이드와 보안 패치 적용에 민감하게 따라야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)