보안 / 윈도우

마이크로소프트의 마지막 윈도우 XP 보안 업데이트, '9일 오전 1시'

Gregg Keizer | Computerworld 2014.04.07
마이크로소프트는 내일 고객들에게 전달될 네 건의 보안 업데이트에 윈도우 XP와 오피스 2003의 마지막 공개 패치가 포함될 것이라 발표했다.

내일 이후부터 이 두 제품은 서비스 지원 대상에서 제외된다.

네 건의 업데이트 가운데 두 건에는 마이크로소프트가 가장 심각한 위협에 부여하는 등급인 '크리티컬(critical)' 등급으로 분류됐다. 나머지 둘은 4단계 분류 체계 가운데 크리티컬 단계 바로 아래인 중요(important) 등급이 부여됐다.

그런데, 이 네 건에 대한 사전 공지에는 '원격 코드 실행'이라는 설명이 포함돼 있었다. 공격자들이 취약점을 공략하는데 성공할 경우, 패치가 적용되지 않은 PC를 하이재킹(hijacking)하는 것이 가능한 것이다.

마이크로소프트는 종종 손쉬운 침입을 방지하는 경감 요인이 존재하는 상황에서 원격 코드 결함을 '중요' 등급으로 낮춰왔다. 다시 말해, 사용자들에게 이런저런 경고창을 클릭하거나 표준 설정을 바꿀 것을 요구했던 것이다.

네 건의 업데이트 가운데 하나는 윈도우 XP와 최신 윈도우 8.1을 포함한 모든 버전의 윈도우에 직접적으로 영향을 미치는 것이며, 다른 하나의 경우에는 모든 인터넷 익스플로러 에디션(은퇴를 앞둔 IE 6나 XP 사용자들이 가장 많이 사용하는 IE 8를 포함한)에 영향을 미치며, 이 13살짜리 구형 운영체제에 영향을 가할 것이다.

샌프란시스코 기반의 보안 업체 클라우드파사주(CloudPassage)의 선임 데브옵 앤드류 스톰스는 은퇴를 앞두고 있는 윈도우 XP에 이뤄질 일련의 수정들이 놀라운 것은 아니라고 말했다.

스톰스는 본지와의 서면 인터뷰에서 "시장을 떠들썩하게 하는 이야기 가운데 상당수는 XP의 지원 종료와는 무관한 내용들이다. 널리 퍼졌던 오해 가운데 하나는, 은퇴를 앞두고 XP에 한 무더기의 패치가 시행될 것이라는 전망이다. 마이크로소프트가 알려진 모든 버그들을 끊임없이 검토해 이와 관련한 모든 대응을 뱉어낼 것이라곤 생각하지 않는다. 해킹 대회 피우니움(Pwn2Own)을 예로 들어보자. 여기에선 매번 수많은 IE 버그들이 소개되지만, 그 가운데 사전에 제대로 방어되는 것은 거의 없다"고 설명했다.

내일 배포 또한 마이크로소프트가 3월 24일 확인한 기형적인 리치 텍스트 포멧(RTF, Rich Text Format) 문서를 통해 침투되는 워드 취약점에 대한 수정 사항 배포 역시 예정돼있다. 이 위협에 대해 마이크로소프트는 '크리티컬' 등급을 부여했다.

이번 패치는 윈도우 운영체제용 워드 2003, 2007, 2013, 2013 RT 및 OS X용 워드 2011까지 모든 워드 버전을 대상으로 이뤄질 예정이다.

스톰스는 "XP와 마찬가지로 버그가 영향을 미친 것은 내일 지원이 종료되는 오피스 2003뿐이지만, 그 중요도는 전체 버전에 패치를 진행할 만큼 심각한 것이다. 알려진 제로 데이(zero-day) 버그를 그대로 방치하는 것은 좋지 못한 결과로 이어질 수 있는 태도임을 마이크로소프트는 분명히 인지하고 있다"고 말했다.

2003년 10월 처음 세상에 모습을 드러낸 오피스 2003은 윈도우 XP와 함께 내일 이후 지원 대상에서 제외된다.

또 다른 주요 업데이트는 IE 10을 제외한 모든 IE 버전에 적용되는 패치다. IE 10은 2012년 윈도우 8과 함께 런칭되었고, 2013년 1월에는 윈도우7 사용자들에게도 지원됐다.

일반적으로 신형 코드는 구형 소프트웨어 내 버그에 면역력을 가지는 경우가 많지만, 이번에는 예외적으로 구형 IE 6, 7, 8, 9 버전 이외에 최신 버전인 IE 11에 역시 패치가 적용된다.

스톰스는 IE 10의 경우에는 예외적으로 영향에서 자유로운 것인지에 의문을 제기한다. 스톰스는 "IE 10이 특별 대우를 받는 것에 어떠한 근거도 찾을 수 없다"고 말했다.

스톰스는 "언제나 'IE가 먼저다'. 그리고 다음은, 단연 워드를 업데이트해야 한다"고 말하며 사용자들에게 IE 업데이트를 최대한 신속하게 적용할 것을 조언했다.

한 가지 더 기억해야 할 것은 워드에 적용될 이번 업데이트가 많은 기업들이 오피스 지원을 위해 배치하고 있는 협업 소프트웨어 셰어포인트 서버의 2010, 2013 버전에도 영향을 미칠 것이란 사실이다.

셰어포인트 서버가 구동하는 '문자 자동화 서비스'가 자동으로 열람하는 문서 형식 가운데 RTF가 포함되어 있기 때문인데, 셰어포인트가 다루는 RTF가 손상되었을 경우 영향이 기업 전반으로 확산될 수 있다는 점에서 위험도는 상당하다.

스톰스는 "흥미로운 공격 가능성이다. 그 어느 것도 자동적으로 열어보면 안 된다는 원칙은 우리가 기본적으로 알고 있는 사항 아닌가?"라고 이야기했다.

마이크로소프트의 윈도우 XP 마지막 업데이트는 미국 동부시각 4월 8일 오후 1시(한국 시각 9일 오전 1시)경 배포될 전망이다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.