윈도우

“윈도우 8의 취약점 가격은 얼마??”...뷰펜, 윈도우 8 취약점 판매

Jeremy Kirk | IDG News Service 2012.11.05
다음의 광고 메시지는 대부분의 사람들이 이해할 수 있는 형태의 광고는 아니다.

“윈도우 8+IE 10용 첫 번째 제로데이와 HiASLR/AntiROP/DEP & Prot Mode 샌드박스 바이패스를 함께 판매한다.”

이는 마이크로소프트, 어도비, 애플, 오라클 등 소프트웨어 취약점을 전문적으로 찾는 프랑스 업체인 뷰펜(Vupen)이 트위터에 최근 올린 메시지의 일부다.  

뷰펜은 컴퓨터 보안 연구의 다소 어두운 영역을 다루는 곳으로, 정부와 기업의 진단 담당부서에게 취약점을 판매하지만, 문제가 된 소프트웨어 업체의 자세한 정보는 공유하지는 않는다. 뷰펜은 이 정보로 한 조직을 해커로부터 방어하며, 경우에 따라 공격도 가능하다고 주장한다. 

뷰펜은 마이크로소프트의 새로운 윈도우 8 OS와 IE 10 브라우저에서 문제를 발견했다. 이 결함은 공식적으로 발표되지 않았고, 아직 수정되지 않았다.   

뷰펜이 발견한 것은 지난 주에 발표된 윈도우 8과 IE 10의 첫 번째 문제 중 하나로, 취약점은 윈도우 8에서 실행되는 다른 서드파티 소프트웨어에서 발견한 것이다.

마이크로소프트의 보안 컴퓨팅 디렉터인 데이브 포스트롬은 “뷰펜은 공식적으로 발표하기 전에 소프트웨어의 문제를 수정할 시간을 줄 것을 요청한 ‘협조된 취약점 공개 프로그램’에 참석한 연구원들을 독려한다”며, “우리는 트위트를 보았지만, 자세한 내용은 마이크로소프트와 공유되지 않은 내용”이라고 말했다.

수요일에 밝힌 뷰펜의 트위터 메시지에서, 취약점은 해커에게 ASLR(Address Space Layout Randomization), aROP(anti-Return Oriented Programming)과 DEP(Data Execution Prevention) 기능 등 윈도우 8에 담긴 보안 기술을 바이패스하려는 것이라고 암시했다. 또한 뷰펜은 어도비 시스템의 플래시 멀티미디어 프로그램의 문제와는 관련이 없다고 밝혔다.  

엔써클(nCircle)의 보안 운영 이사인 앤드류 스톰스는 “확실히 버그를 확인한다면, 이것은 마이크로소프트가 그들의 새로운 브랜드에 오점이 될 것이며, 가장 안전하다고 주장한 플랫폼에서 공식 출시 직후에 결함이 발견되는 꼴이 된다"고 지적했다. 또한 윈도우 8이 최근에 출시됐기 때문에 결함을 악용할 가능성은 제한적이지만, "아직 아무도 이 버그가 기존 윈도우나 IE에는 적용되지 않는다고 확인해주지 않았다"고 말했다.

호주 보안 업체인 핵랩스(HackLabs)의 수석 컨설턴트인 조디 멜버른은 “취약점은 코드 서명 인증이나 소스 코드 절취에 관심을 가지고 있는 서드파티 마이크로소프트 개발자에게 유용할 수 있다”고 말했다.

그래서 이 취약점은 가치가 있는 것일까? 뷰펜은 공개 가격을 밝히지 않았다. 멜버른은 “아무도 문제의 취약점을 발견하지 못한다면, 버그의 가격은 시간이 지날수록 높아질 것”이라고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.