IE8 보안망, "5분만에 뚫렸다"

Gregg Keizer | Computerworld 2009.03.20

마이크로소프트가 인터넷 익스플로러 8(IE8)을 정식으로 공개하기 몇 시간 전, 18일 PWN2OWN 콘테스트에 참가한 독일의 연구원이 해킹에 성공해 5,000달러의 상금과 소니 바이오 노트북을 받았다.

 

독일의 컴퓨터 공학 정공자인 닐스(Nils)는 새로운 브라우저의 알려지지 않은 취약점을 이용해 몇 분만에 해킹한 것으로 알려졌다. 닐이 사용한 컴퓨터는 윈도우 7 내부 빌드를 구동한 것이다.

 

19일 오전(현지시간) 마이크로소프트는 윈도우 XP, 비스타, 서버 2003, 서버 2008용 IE8의 최종버전을 공개했다. 따라서이번 대회를 후원한 티핑포인트(TippingPoint)의 보안 책임자 테리 폴스로프는 “마이크로소프트는 당장 버그를 검토해야 한다”라면서, “배포를 중단할 만큼 긴급한 버그가 발견되는 일도 있다. 마이크로소프트는 이번에 뚫린 취약점에 대해서 검토하고 평가를 해야만 한다”라고 말했다.

 

티핑포인트는 PWN2OWN에서 발견된 취약점과 이에대한 권리를 상금을 지불함으로써 넘겨 받기 때문에, IE8에 대한 취약점 정보는 현재 티핑포인트측이 갖고 있다.

 

폴스로프는 “이것이 PWN2OWN의 가장 멋진 부분”이라면서, “마이크로소프트는 서서 지켜볼 수 밖에 없었다”라고 전했다. 닐스는 IE8을 5분도 채 안되 해킹에 성공했는데, 티핑포인트는 이 과정의 상세 내용과 코드를 MSRC(Microsoft Security Research Center) 운영체제 관리자인 마이크 레비에게 제공하고, 마이크로소프트측은 이후 5시간 동안 닐스와 직접 만나 버그에 대해서 논의할 기회를 갖은 것으로 알려졌다.

 

마이크로소프트는 이번에 발견된 취약점에 대해서 정확한 답변을 하지 않으면서 “IE8의 가능한 취약점에 대한 보고를 연구하고 있다. 만일 취약점이 확인되면 피해가 없도록 하기 위해 조치를 취할 것”이라고 의례적으로 말했다. 더불어 닐스가 발견한 취약점이 PWN2OWN에서 사용된 윈도우 7을 사용했을 때만 존재하는 것인지, 아니면 오늘 배포된 버전에도 해당되는 것인지 여부에 대해서도 정확히 밝히지 않았다.

 

이날 대회에서 닐스가 해킹한 브라우저는 IE8뿐만이 아니다. 닐스는 IE8 해킹에 성공한 후 바로 애플 사파리, 모질라 파이어폭스를 공격해 해킹에 성공했다. 그의 총 상금은 1만 5,000달러.

 

>> IE8, "여전히 가장 느린 브라우저"

>> IE8 출시…비표준 웹사이트 ‘대략난감’

 

이와 관련해 폴스로프는 “작년에 비하면 말도 안 되는 결과”라면서, 2008년에는 단 두 개의 취약점만 발견된 것을 언급했다. 그에 따르면 닐스는 IE8 해킹에 성공한 후, 남들이 모두 끝이라고 생각했을 때, 사파리도 해킹에도 성공했으며, 파이어폭스도 같은 식이었다. 결과적으로 2시간 만에 4개 브라우저에서 취약점이 발견 되 총 2만 달러가 수여됐다.

 

한편, 닐이 IE8을 공격하기 전, 지난 대회 우승자인 찰리 밀러가 사파리 해킹을 몇 초 만에 성공해 타이틀 방어에 성공했다. 그는 상금 5,000달러와 맥북 노트북을 받았다.

 

대회와 관련된 티핑포인트의 정책에 따라 이번에 발견된 취약점들은 각 업체가 패치를 배포하기 전까지 비밀에 붙여진다. PWN2OWN 대회는 20일 마무리되며, 다음 단계는 윈도우 모바일, 구글 안드로이드, 심비안, 아이폰 운영체제, 블랙베리 운영체제 등 5개 스마트폰 운영체제에 대한 해킹 대회이다. gkeizer@ix.netcom.com

 

Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.