2016.11.03

마이크로소프트와 구글 "물고 물리는 취약점 폭로 공방"

Gregg Keizer | Computerworld
마이크로소프트가 다음 주 중으로 열흘 전 구글이 공개한 윈도우 취약점 관련 패치를 배포하겠다고 발표했다.

마이크로소프트는 이 취약점을 악용한 공격자가 미국 민주당 전국 위원회(Democratic National Committee, DNC) 해킹 건으로 고발된 해커와 동일 단체라고 밝혔다. 윈도우 및 디바이스 그룹 이사 테리 마이어슨은 블로그를 통해 “모든 윈도우 버전을 대상으로 보안 테스트 중이며, 관련 패치를 11월 8일경 배포할 계획”이라고 말했다.

마이어슨은 구글을 가리켜 “사용자를 최우선으로 두는 것이 책임감 있는 IT 업계의 참여 방식이며 이를 위해서는 취약점 발표에도 조율이 필요하다고 믿는다. 패치를 충분히 테스트하고 공개하기 전에 취약점을 폭로하기로 한 구글의 결정은 매우 실망스러우며 사용자 안전에도 도움이 되지 않는다”고 강하게 비난했다.

구글은 월요일 블로그를 통해 윈도우 커널 버그를 발견했으며 10월 21일경 마이크로소프트에 알린 상태라고 밝혔다. 공격자들이 이 취약점을 적극적으로 악용하고 있었으므로, 구글은 7일 안에 오류를 해결해야 한다는 원칙이 적용된다고 주장했다.

같은 날 구글은 플래시와 윈도우 해킹을 포함, 멀티 익스플로잇 패키지로 PC를 하이재킹하는 플래시 플레이어 취약점에 대해서도 어도비 사에 알렸다. 어도비도 10월 26일에 플래시 보안 취약점에 대한 패치를 배포했다.

마이크로소프트는 어도비 패치 사실을 근거로 윈도우 취약점이 “매우 심각하다”고 언급한 구글의 주장을 반박했다. 어도비 플래시 플레이어 패치가 업데이트 되면서 사용자 피해가 급감했다는 것이다.

구글과 마이크로소프트는 구글 개발자들이 마이크로소프트의 관련 패치 배포에 한 발 앞서 취약점을 일반에 공개하면서 끊임 없는 취약점 폭로전을 벌여 왔다. 예를 들어 2015년 초에는 마이크로소프트가 이미 패치 배포를 준비하는 도중에 구글이 취약점을 폭로했다고 주장했다. 당시 마이크로소프트 MSRC(Microsoft Security Response Center) 이사였던 크리스 벳츠는 “구글이 버그 패치 원칙에 따른다기보다는 ‘걸렸다’는 심정으로 폭로하는 것 같다. 그 결과 피해는 고스란히 사용자가 입는다”고 주장했다.

과거 2010년에도 오류나 보안 취약점에 대한 팽팽한 폭로전이 있었다. 구글 보안 엔지니어 태비스 오먼디는 마이크로소프트에 오류 사실을 통지한 후 단 5일만에 윈도우에 치명적인 보안 취약점이 있다고 발표해 논란이 됐다.

화요일 마이어슨은 윈도우와 플래시 결점을 악용한 해커 그룹이 APT28, 팬시베어(Fancy Bear)로 알려진 스트론튬(Strontium)이라고 확인했다. 스트론튬은 올해 DNC 해킹 사건 주범으로 지목됐고, 최소 2007년부터 전 세계 각국 정부, 군사 및 외교 조직을 목표로 활동한 것으로 알려졌다. 지난달 미국은 DNC 해킹 사건의 궁극적인 책임이 러시아 정부이며, 러시아 고위 관료가 배후에 있다고 주장했다.

마이크로소프트는 최근 스트론튬 해킹 사건을 언급했으나 이들을 DNC 해킹 사건과 연관짓지는 않았다. 마이어슨은 “스트론튬은 2016년 제로 데이 익스플로잇을 제일 많이 악용한 집단이다. 사용자의 이메일 계정을 악용해 다른 추가 피해자에게 악성 이메일을 발송하며, 목표 사용자의 컴퓨터에 침입할 때까지 몇 달간 목표를 노리는 것으로 유명하다”고 말했다. 또 윈도우 10은 지금까지 중 가장 보안 성능이 강력한 운영체제라고 강조했다. editor@itworld.co.kr 


2016.11.03

마이크로소프트와 구글 "물고 물리는 취약점 폭로 공방"

Gregg Keizer | Computerworld
마이크로소프트가 다음 주 중으로 열흘 전 구글이 공개한 윈도우 취약점 관련 패치를 배포하겠다고 발표했다.

마이크로소프트는 이 취약점을 악용한 공격자가 미국 민주당 전국 위원회(Democratic National Committee, DNC) 해킹 건으로 고발된 해커와 동일 단체라고 밝혔다. 윈도우 및 디바이스 그룹 이사 테리 마이어슨은 블로그를 통해 “모든 윈도우 버전을 대상으로 보안 테스트 중이며, 관련 패치를 11월 8일경 배포할 계획”이라고 말했다.

마이어슨은 구글을 가리켜 “사용자를 최우선으로 두는 것이 책임감 있는 IT 업계의 참여 방식이며 이를 위해서는 취약점 발표에도 조율이 필요하다고 믿는다. 패치를 충분히 테스트하고 공개하기 전에 취약점을 폭로하기로 한 구글의 결정은 매우 실망스러우며 사용자 안전에도 도움이 되지 않는다”고 강하게 비난했다.

구글은 월요일 블로그를 통해 윈도우 커널 버그를 발견했으며 10월 21일경 마이크로소프트에 알린 상태라고 밝혔다. 공격자들이 이 취약점을 적극적으로 악용하고 있었으므로, 구글은 7일 안에 오류를 해결해야 한다는 원칙이 적용된다고 주장했다.

같은 날 구글은 플래시와 윈도우 해킹을 포함, 멀티 익스플로잇 패키지로 PC를 하이재킹하는 플래시 플레이어 취약점에 대해서도 어도비 사에 알렸다. 어도비도 10월 26일에 플래시 보안 취약점에 대한 패치를 배포했다.

마이크로소프트는 어도비 패치 사실을 근거로 윈도우 취약점이 “매우 심각하다”고 언급한 구글의 주장을 반박했다. 어도비 플래시 플레이어 패치가 업데이트 되면서 사용자 피해가 급감했다는 것이다.

구글과 마이크로소프트는 구글 개발자들이 마이크로소프트의 관련 패치 배포에 한 발 앞서 취약점을 일반에 공개하면서 끊임 없는 취약점 폭로전을 벌여 왔다. 예를 들어 2015년 초에는 마이크로소프트가 이미 패치 배포를 준비하는 도중에 구글이 취약점을 폭로했다고 주장했다. 당시 마이크로소프트 MSRC(Microsoft Security Response Center) 이사였던 크리스 벳츠는 “구글이 버그 패치 원칙에 따른다기보다는 ‘걸렸다’는 심정으로 폭로하는 것 같다. 그 결과 피해는 고스란히 사용자가 입는다”고 주장했다.

과거 2010년에도 오류나 보안 취약점에 대한 팽팽한 폭로전이 있었다. 구글 보안 엔지니어 태비스 오먼디는 마이크로소프트에 오류 사실을 통지한 후 단 5일만에 윈도우에 치명적인 보안 취약점이 있다고 발표해 논란이 됐다.

화요일 마이어슨은 윈도우와 플래시 결점을 악용한 해커 그룹이 APT28, 팬시베어(Fancy Bear)로 알려진 스트론튬(Strontium)이라고 확인했다. 스트론튬은 올해 DNC 해킹 사건 주범으로 지목됐고, 최소 2007년부터 전 세계 각국 정부, 군사 및 외교 조직을 목표로 활동한 것으로 알려졌다. 지난달 미국은 DNC 해킹 사건의 궁극적인 책임이 러시아 정부이며, 러시아 고위 관료가 배후에 있다고 주장했다.

마이크로소프트는 최근 스트론튬 해킹 사건을 언급했으나 이들을 DNC 해킹 사건과 연관짓지는 않았다. 마이어슨은 “스트론튬은 2016년 제로 데이 익스플로잇을 제일 많이 악용한 집단이다. 사용자의 이메일 계정을 악용해 다른 추가 피해자에게 악성 이메일을 발송하며, 목표 사용자의 컴퓨터에 침입할 때까지 몇 달간 목표를 노리는 것으로 유명하다”고 말했다. 또 윈도우 10은 지금까지 중 가장 보안 성능이 강력한 운영체제라고 강조했다. editor@itworld.co.kr 


X