2017.02.17

윈도우 보안 패치 한 달 연기 “위험하다”

Lucian Constantin | IDG News Service
마이크로소프트가 2월 보안 패치를 3월로 예정된 업데이트와 함께 발표하기로 하면서 일부 보안 전문가들이 우려를 표했다.

취약점 정보 전문업체인 리스크 베이스트 시큐리티(Risk Based Security)의 최고 리서치 임원 카스텐 에이람은 “마이크로소프트가 한 달이나 연기하기로 했다는 데 놀랐다”라며, “자세한 내용은 알지 못하지만, 정당화하기 어려운 결정이다. 이미 자사 제품의 취약점을 인지하고 패치를 개발했다. 이런 것은 고객에게 즉각적인 방법으로 제공해야만 한다”라고 지적했다.

Credit: Stephen Brashear/Getty Images for Microsoft

지난 화요일 마이크로소프트는 고객에게 영향을 미칠 수 있는 ‘막판 문제’ 때문에 이달의 패치를 연기한다고 발표해 모두를 놀라게 했다. 처음에는 얼마나 연기할 것인지도 특정하지 않아 일부 시스템 관리자들의 패치 배치 계획에 혼란을 주기도 했다.

기업은 주요 업체의 패치 발표 일정을 사전에 알아야 한다. 테스트 방법과 기업에 따라 수천 대의 서버와 워크스테이션에 대한 업데이트 배치 일정을 신중하게 계획해야 하기 때문이다. 많은 소프트웨어 업체가 정기적인 패치 일정을 가지고 있는 것도 이 때문이다. 마이크로소프트, 어도비, SAP 등의 업체는 패치 발표가 매월 두 번째 주 화요일에 이루어진다.

수요일에 마이크로소프트는 원래의 발표 내용을 보완해 2월 패치를 한 달 미루어져 3월 14일, 즉 3월 정기 패치와 함께 제공할 것이라고 밝혔다.

마이크로소프트가 연기 결정을 내릴 수밖에 없었던 문제가 무엇인지는 확실하지 않다. 하지만 일각에서는 특정 패치에 문제가 생겼다기보다는 윈도우 업데이트 인프라와 관련된 문제일 가능성이 크다는 의심도 제기됐다.

2월 패치는 마이크로소프트가 새로운 포털을 통해 취약점과 패치 관련 정보를 발표하기로 한 첫 달이었다. 마이크로소프트는 20년 가까이 사용한 보안 게시판 대신 시큐리티 업데이트 가이드(Security Updates Guide)란 새 포털을 개설했다.

지난 해 마이크로소프트는 윈도우 7과 윈도우 8.1용 보안 업데이트를 제공하는 방식도 윈도우 10에서 사용하는 방식으로 바꾸었다. 따라서 이제 보안 패치는 개별적으로 제공되는 것이 아니라 각 운영체제용 누적 업데이트와 함께 제공된다.

에이람은 보안 관점에서 모든 패치를 한 달이나 연기하는 것은 고객을 위한 것이 아니라고 지적했다. 에이람은 “내 관점에서 보안 패치를 연기해도 되는 유일한 이유는 새로 만든 패치에서 마지막에 심각한 문제가 발견했을 때이다”라며, “이런 경우에도 다른 패치는 예정대로 발표해야 한다. 만약 마이크로소프트의 새 배포 시스템에 문제가 있다면, 기존 방식을 그대로 사용해서라도 패치를 제공해야 한다”라고 강조했다.

지난 수요일 구글 프로젝트 제로는 윈도우 gdi32.dll의 메모리 노출 취약점을 공개했다. 90일이라는 공개 시한이 지났기 때문이다. 아직 확인된 바는 없지만, 아마도 이에 대한 패치가 이번 달 정기 업데이트에 포함되었을 가능성이 크다.

SMB 네트워크 파일 공유 프로토콜의 취약점 하나도 2주 전에 공개됐다. 이 취약점은 해커가 악용해 윈도우 컴퓨터를 망가뜨릴 수도 있다. 취약점을 발견한 보안 연구원은 마이크로소프트가 2월에 관련 패치를 내놓을 계획이었다고 주장했다.

에이람은 “물론 마이크로소프트가 이런 결정을 내린 배경을 모두 알지는 못한다. 하지만 드러난 사실만으로도 볼 때 보안 패치를 한 달이나 연기하는 것은 매우 나쁜 징조이다”라고 덧붙였다.  editor@itworld.co.kr


2017.02.17

윈도우 보안 패치 한 달 연기 “위험하다”

Lucian Constantin | IDG News Service
마이크로소프트가 2월 보안 패치를 3월로 예정된 업데이트와 함께 발표하기로 하면서 일부 보안 전문가들이 우려를 표했다.

취약점 정보 전문업체인 리스크 베이스트 시큐리티(Risk Based Security)의 최고 리서치 임원 카스텐 에이람은 “마이크로소프트가 한 달이나 연기하기로 했다는 데 놀랐다”라며, “자세한 내용은 알지 못하지만, 정당화하기 어려운 결정이다. 이미 자사 제품의 취약점을 인지하고 패치를 개발했다. 이런 것은 고객에게 즉각적인 방법으로 제공해야만 한다”라고 지적했다.

Credit: Stephen Brashear/Getty Images for Microsoft

지난 화요일 마이크로소프트는 고객에게 영향을 미칠 수 있는 ‘막판 문제’ 때문에 이달의 패치를 연기한다고 발표해 모두를 놀라게 했다. 처음에는 얼마나 연기할 것인지도 특정하지 않아 일부 시스템 관리자들의 패치 배치 계획에 혼란을 주기도 했다.

기업은 주요 업체의 패치 발표 일정을 사전에 알아야 한다. 테스트 방법과 기업에 따라 수천 대의 서버와 워크스테이션에 대한 업데이트 배치 일정을 신중하게 계획해야 하기 때문이다. 많은 소프트웨어 업체가 정기적인 패치 일정을 가지고 있는 것도 이 때문이다. 마이크로소프트, 어도비, SAP 등의 업체는 패치 발표가 매월 두 번째 주 화요일에 이루어진다.

수요일에 마이크로소프트는 원래의 발표 내용을 보완해 2월 패치를 한 달 미루어져 3월 14일, 즉 3월 정기 패치와 함께 제공할 것이라고 밝혔다.

마이크로소프트가 연기 결정을 내릴 수밖에 없었던 문제가 무엇인지는 확실하지 않다. 하지만 일각에서는 특정 패치에 문제가 생겼다기보다는 윈도우 업데이트 인프라와 관련된 문제일 가능성이 크다는 의심도 제기됐다.

2월 패치는 마이크로소프트가 새로운 포털을 통해 취약점과 패치 관련 정보를 발표하기로 한 첫 달이었다. 마이크로소프트는 20년 가까이 사용한 보안 게시판 대신 시큐리티 업데이트 가이드(Security Updates Guide)란 새 포털을 개설했다.

지난 해 마이크로소프트는 윈도우 7과 윈도우 8.1용 보안 업데이트를 제공하는 방식도 윈도우 10에서 사용하는 방식으로 바꾸었다. 따라서 이제 보안 패치는 개별적으로 제공되는 것이 아니라 각 운영체제용 누적 업데이트와 함께 제공된다.

에이람은 보안 관점에서 모든 패치를 한 달이나 연기하는 것은 고객을 위한 것이 아니라고 지적했다. 에이람은 “내 관점에서 보안 패치를 연기해도 되는 유일한 이유는 새로 만든 패치에서 마지막에 심각한 문제가 발견했을 때이다”라며, “이런 경우에도 다른 패치는 예정대로 발표해야 한다. 만약 마이크로소프트의 새 배포 시스템에 문제가 있다면, 기존 방식을 그대로 사용해서라도 패치를 제공해야 한다”라고 강조했다.

지난 수요일 구글 프로젝트 제로는 윈도우 gdi32.dll의 메모리 노출 취약점을 공개했다. 90일이라는 공개 시한이 지났기 때문이다. 아직 확인된 바는 없지만, 아마도 이에 대한 패치가 이번 달 정기 업데이트에 포함되었을 가능성이 크다.

SMB 네트워크 파일 공유 프로토콜의 취약점 하나도 2주 전에 공개됐다. 이 취약점은 해커가 악용해 윈도우 컴퓨터를 망가뜨릴 수도 있다. 취약점을 발견한 보안 연구원은 마이크로소프트가 2월에 관련 패치를 내놓을 계획이었다고 주장했다.

에이람은 “물론 마이크로소프트가 이런 결정을 내린 배경을 모두 알지는 못한다. 하지만 드러난 사실만으로도 볼 때 보안 패치를 한 달이나 연기하는 것은 매우 나쁜 징조이다”라고 덧붙였다.  editor@itworld.co.kr


X