보안 / 윈도우

구글, 윈도우 8.1 취약점 공개…프로젝트 제로에 관한 ‘갑론을박’

Grant Gross  | PCWorld 2015.01.05
구글 연구원들은 자사가 고지한 날로부터 90일 내로 수정되지 않은 마이크로소프트 윈도우 8.1의 취약점을 대중에 공개했다. 이에 따라 해당 버그를 공개한 구글의 보안 기술 연구 웹사이트에는 적절성 논란이 일어났다.

이 버그는 권한이 낮은 윈도우 사용자에게 관리자 권한을 부여하는데, 일부 누리꾼들은 해당 버그를 공개하지 말았어야 했다는 의견을 달기도 했다. 구글은 윈도우 8.1 이전 운영체제에서도 해당 버그가 발견됐는지는 명확하지 않다고 밝혔다.

구글 사이트에 댓글을 단 한 누리꾼은 “구글이 고지한 90일 내로 버그를 수정하지 않을 경우 취약점을 대중에 공개하는 것은 완전히 무책임하다는 생각이 든다”며, “구글과 같은 기업에 깊은 관심과 더 높은 성숙함을 원했다”고 말했다.

이 누리꾼은 또 “해당 취약점은 통상적인 로컬 권한 상승 취약점”이라며, “물론 이러한 취약점이 발견되지 않는 것이 가장 좋지만, 이는 전형적인 형태의 취약점이다”고 말했다. 그는 “나와 같은 사람들이 밤새서 서버를 패치해야 하는 정도의 수준으로 위험한 것은 아니다”며, “이러한 종류의 취약점은 윈도우에서 많이 볼 수 있는 것”이라고 덧붙였다.

다른 누리꾼은 다소 과장된 주장을 펼치고 했는데, 취약점이 발견된 해당 버전의 윈도우가 수백만 대가 이른다고 말했다. 그는 “이와 같은 취약점에 노출되는 것은 지대한 영향을 미친다”며, “사용자들은 공개된 취약점에 악영향을 받고, 그 누구도 해결책에 근접하도록 하지 않을 것”이라고 말했다. 또, “구글처럼 영향력이 큰 조직에서 사람들은 자신에게 상당한 권한이 있다는 점을 인식하고 공정해야 할 것이며, 지대한 권한을 오용할 가능성이 높은 위험을 규제해야 한다”고 주장했다.

‘비밀’을 말할 가치가 있었을까?
다른 누리꾼들은 구글이 2014년 7월 버그 트래킹 팀인 프로젝트 제로(Project Zero)를 출범하고 버그 수정 마감시한을 설정한 것에 관해 긍정적인 입장을 취하고 있다. 한 누리꾼은 “해당 버그를 숨긴다고 해서 누구에게 이득이 되겠느냐”며, “취약점을 공개함으로써 그 업체는 자사의 취약 시스템을 구동하는 소비자에게 보안 위협 사실을 고지할 수 있고, 대책을 마련할 수 있도록 해준다”고 말했다. 또, “패치 업데이트만이 해당 이슈를 완화하기 위한 전부는 아니다. 해당 취약점의 속성을 고려해볼 때, 패치를 기다리는 동안 관리자가 취약 시스템을 보호하는 수단을 찾아낼 수 있도록 해줄 수 있을 것”이라고 말을 이었다.

마이크로소프트는 세간에 공개된 취약점에 대한 보안 업데이트를 배포할 작업을 진행 중이라고 발표했다. 마이크로소프트의 대변인은 이메일을 통해 “잠재적으로 시스템을 악용할 가능성이 높은 해커들은 가장 먼저 유효한 로그온 자격 증명을 얻어 목표 시스템에 로컬로 로그인하고자 한다”며, “최신 백신 프로그램을 사용하고, 가능한 모든 보안 업데이트를 설치하고 컴퓨터에 방화벽을 허용하길 권한다”고 말했다.

한편 구글은 프로젝트 제로에 관해 “수년간 취약점 개선에 관한 신중한 검토와 업계 전반에 걸친 논의를 걸친 결과물”이라며, “보안 연구가들은 지난 13년간 이와 같은 공개 원칙을 준수하고 있다”고 말했다. 구글은 “한편 우리의 공개 원칙이 변화하는 정보보안 생태계에 걸맞게 진화할 필요가 있다고도 생각한다”며, “즉, 위협 요소가 변하면 우리의 공개 원칙도 바뀔 필요가 있다”고 덧붙였다.

구글은 자사 정책의 영향력에 관해 상세하게 모니터링할 예정이라고 덧붙였다. 구글은 “우리는 데이터에 기반하여 결정할 것이며, 사용자 보안 향상에 도움이 될 방법을 계속해서 찾을 것”이라고 강조했다. 구글은 “90일 내로 수정되지 않은 버그를 대중에 공개하겠다고 말한 버그들이 기한 내로 고쳐졌다는 초기 결과 보고가 있다고 말하는 것이 기쁘다. 이는 IT 업체의 노력으로 만들어진 산물이다”고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.