"6개월내 보안패치 안하면 퇴출" MS, 새로운 앱 보안정책 시행
마이크로소프트는 9일 이러한 내용의 새로운 보안정책을 서드파티 앱 개발업체에게 통보했다. 마이크로소프트는 MSRT(Microsoft Security Response Center)를 통해 7월 보안패치를 발표하면서 이러한 조치를 함께 공개했다.
이에 따라 앱 개발업체들은 자사 앱의 보안취약점 중 '심각한'(critical) 혹은 '중요한'(important) 등급으로 분류된 것들을 앞으로 6개월 내에 수정해 다시 등록해야 한다. 이 두 등급은 마이크로소프트의 보안위협 등급 4단계 중 상위 두 단계이다. 마이크로소프트는 이를 따르지 않으면 앱 스토어에서 내릴 예정이다.
마이크로소프트는 이번 정책을 윈도우 뿐만 아니라 오피스, 애저 앱 서비스에도 동일하게 적용했다. 업체는 이번 정책 변화가 보안을 강화하기 위한 단계를 하나 추가한 것 뿐이라고 설명하지만 리굴리는 "그동안 이런 정책을 시행한 기업은 없었기 때문에 충분히 평가받을 만한 조치"라고 말했다.
이번 조치에 영향을 받는 앱 스토어는 윈도우 8과 윈도우 RT용 모던(Modern) 혹은 매트로(Metro) 앱이 등록된 윈도우 스토어와 윈도우 폰 스토어, 오피스 스토어 등이다. 서드파티 앱과 마이크로소프트 생산성 제품용 애드온이 등록되는 e마트(e-mart), 기업과 개인이 SaaS(Software as a Service) 애플리케이션이나 데모 그래픽, 재무 데이터셋 등의 데이터 컬럭션을 팔고 사는 에저 마켓플레이스에 등록된 것도 이번 조치도 영향을 받는다.
MSRC에 따르면 앱 개발업체들은 보안 취약점이 아직 공격에 악용되지 않을 경우에만 180일이라는 패치 유예기간을 부여받게 된다. 보안취약점이 이미 악용되고 있는 상황에서는 기간이 더 짧아질 수 있고 심지어 마이크로소프트가 공격에 이용되고 있는 앱을 즉시 삭제할 수도 있다.
신뢰할만한 컴퓨팅 팀의 그룹 매니저인 더스틴 차일즈는 "새로운 정책에 따라 우리는 모든 경우에 신속하게 행동을 조치를 취할 수 있다"며 "여기에는 스토어에서 즉시 삭제하는 것도 포함돼 있고 사례별로 결정하게 될 것"이라고 말했다.
마이크로소프트는 공격받은 앱의 경우는 어떻게 되는지, 이런 앱들은 퇴출되기 전에 패치할 시간이 얼마나 되는지 등 자세한 사항에 대해서는 답변을 거부했다. 대신 "앱 개발업체들이 보안 취약점을 확인하는데는 180일까지 걸리지는 않을 것이고 마감 기한을 넘기는 앱도 거의 없을 것으로 보인다"며 "하지만 복수의 개발업체에 영향을 주거나 법적으로 금지된 행위, 별도의 판단이 필요한 경우 등에서는 예외적으로 신속하게 조치에 나설 것"이라고 말했다.
한편 윈도우, 오피스, 애저 앱의 버그를 발견했는데 해당 앱 개발업체와 직접 연락을 취해도 조치가 안될 경우 마이크로소프트 측에 이메일을 보낼 수도 있다. 이렇게 접수된 것들은 마이크로소프트가 해당 개발업체나 개발자에게 직접 연락해 조치를 취하게 된다. editor@idg.co.kr