보안

소포스, “MS의 IE9 맬웨어 차단 통계 문제 있다”

Gregg Keizer  | Computerworld 2011.05.24
인터넷 익스플로러(IE) 9이 공격을 차단할 수 있다는 마이크로소프트의 주장이 사실이 아니라는 비판이 제기됐다.
 
보안 업체 소포스(Sophos)의 보안 전문가인 체트 위스뉴스키는 "IE9은 고려해야 할 사항 중 절반 정도만 고려하고 있다"며 "그럴듯해 보이는 부분이 많다. 하지만 많은 문제들이 제기될 수 있다. 도대체 마이크로소프트의 주장에 대한 근거들이 어디 있다는 말인가?"라고 지적했다.
 
위스뉴스키의 이런 언급은 지난 화요일 한 블로그 포스트에 대한 반박이다. 마이크로소프트의 스마트스크린(SmartScreen) 기술을 개발한 프로그램 매니저 제브 하버가 올린 글이다. 하버는 블로그에 포스팅한 이 글을 통해 이른바 스마트 스크린 애플리케이션 레퓨테이션(Application Reputation)을 포함해 IE9이 비스타나 윈도우 7을 운영체제로 하는 PC에서 다운로드 받을 수도 있는 악성 다운로드 소프트웨어의 상당수를 차단할 수 있다고 주장하며 다양한 통계를 제시했었다.
 
하버가 주장한 핵심 내용은 이렇다. 마이크로소프트의 데이터에 따르면, 윈도우 사용자가 다운로드 받게 되는 14개 파일 중 1개는 악성이다. 그러나 IE9이 이를 차단해준다.
 
또 IE9의 애플리케이션 레퓨테이션, 즉 'App Rep'은 컴퓨터의 구성 요소를 코드화 해 맬웨어를 감염시킬 수 있는 위험한 파일을 다운로드 받아 설치하게 되지 않도록 차단하는 방식으로 의도된 공격을 방해하는 역할을 한다.
 
그러나 위스뉴스키는 지난 금요일 인터뷰에서 이 주장을 반박했다. IE9은 어도비 리더(Adobe Reader)와 플래시(Flash), 애플의 아이튠즈(iTunes), 오라클의 자바와 같은 소프트웨어들의 익스플로잇(exploit)을 차단하지 못하기 때문이다. 즉 마이크로소프트의 데이터는 실제 상황을 제대로 반영하지 않고 있다.
 
“진짜 문제는 설치된 서드파티 소프트웨어 취약점”
위스뉴스키는 "이런 익스플로잇에 대한 통계는 어디 나와 있나?"고 반문했다. 그는 해커들은 다운로드뿐만 아니라, 마이크로소프트의 소프트웨어들이나 다른 회사의 유명 프로그램들의 취약점을 이용해 공격을 한다고 지적했다.
 
따라서 마이크로소프트가 PR의 일환으로 제시한 데이터는 부분적인 모습만을 반영하고 있다고 강조했다.
 
그는 "마이크로소프트는 이런 공격에 대해서는 비교수치를 제시하지 않았다. 솔직히 거짓말을 하고 있다고 생각이 들 정도이다. 사실 근처에도 가지 못한 주장이다."고 주장했다.
 
위스뉴스키는 또 마이크로소프트의 자체 통계를 이용한 IE9의 다운로드 차단에도 결점이 있다고 말했다.
 
하버에 따르면 IE9에서 파일을 다운로드 받을 때 90% 정도에는 경고가 붙지 않는다. 그러나 나머지 10%에는 경고가 붙는다. 그리고 아무런 문제가 없는 파일을 잘못 경고하는 비율은 30%~75%이다.
 
위스뉴스키는 이와 관련, "만약 이 통계가 사실이라면, 사람들이 실제 주의해야 할 다운로드 파일에 제대로 주의를 기울이겠는가?"라고 반문하며, "아마도 이런 경고에 지긋지긋해 무시하게 될 것이다. 비스타에서 '사용자 계정 관리'와 관련해 경고문이 떴을 때처럼 말이다"고 주장했다.
 
IE9의 App Rep은 파일 콘텐츠를 분별하기 위해 파일의 해시(hash)를 이용한다. 그리고 디지털 인증을 통해 해당 파일이 잘 알려진 회사의 애플리케이션인지를 판단한다. 즉 App Rep 알고리즘이 특정 파일을 알려지지 않은 파일로 분류하면, 아마도 전에 해시 값을 관찰하지 못해서이겠지만, IE9은 사용자가 해당 파일을 실행하거나 저장하려고 할 때 경고 메시지를 표시한다.
 
“절반만 보고 PR하는 MS”
위스뉴스키에 따르면 이런 방법에 문제가 있다.
 
그는 스턱스넷(Stuxnet) 웜을 예로 들면서 "코드 사이닝(code signing)의 문제는 악용이 가능하다는 것이다. 전문가들이 이란의 핵 프로그램을 공격한 것으로 결론을 내린 스턱스넷 변종 중 하나는 인증서 한 쌍을 훔쳐 아무런 문제가 없는 소프트웨어로 악용했다"고 설명했다.
 
또 현재 돈을 목적으로 한 해킹의 상당 부분을 크라임웨어 키트들이 차지하고 있다며 "제우스(Xeus) 같은 경우 컴퓨터의 모든 디지털 서명을 가져가기도 한다"고 덧붙였다.
 
마이크로소프트가 아직까지도 승인하지 않고 있지 않는 적법한 소프트웨어들도 있다. 이 또한 나쁜 영향을 미친다. 사용자들이 다운로드를 거부하면 제품 개발자의 입장에서 손해가 가는 것이고, IE9 사용자들이 경고를 무시하면 잘못된 습관을 갖게 된다.
 
위스뉴스키는 마이크로소프트와 IE9이 App Rep을 이용해 보안 수준을 높이려 하고 있다는 점은 인정한다면서 "이런 레퓨테이션 기반의 블로킹 방법에는 찬성한다"고 말했다. 그러나 사용자 반응 측면에서의 고려가 필요하다고 덧붙였다.
 
그의 판단에 따르면 마이크로소프트는 사실의 절반만을 반영한 통계로 인해 기회를 놓치고 있다. "마이크로소프트는 그림의 절반만을 보여주며 PR을 하고 있다. 중요한 부분을 놓치고 있는 것이다"고 강조했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.