보안

보안 전문가 “윈도우 자체 PDF 뷰어 필요”

Gregg Keizer | Computerworld 2010.05.03

마이크로소프트가 사용자들이 어도비 리더의 버그를 악용한 공격에 피해를 입지 않도록 하기 위해서 윈도우 운영체제 안에 기본적인 PDF 뷰어를 추가해야 한다는 의견이 제기됐다.

 

핀란드의 안티바이러스 업체인 F시큐어(F-Secure)의 연구원인 션 설리반은 “애플에 프리뷰(Preview) 애플리케이션이 있는 것처럼, 마이크로소프트도 비슷한 것을 추가해야 한다”라면서, “그저 PDF 파일을 보고 읽기만을 바란다. 어도비 자체 PDF 리더에 있는 자바스크립트 실행, 듣기 등의 기능은 필요 없다”라고 지적했다.

 

리더의 자바스크립트 지원 등 이런 기능 중 일부는 2008년 이후 해커들이 자주 악용하고 있는 것들이다. 맥아피의 기록에 따르면, PDF 익스플로잇(exploits)은 2009년에 2008년보다 8배 많아졌으며, 이런 추세는 2010년에도 이어지고 있다.

 

또한, PDF 문서에 실행파일을 임베디드할 수 있도록 하는 /Launch 기능은 현재 해커들이 악성 메시지를 퍼뜨리는데 널리 악용하고 있다.

 

설리반은 지난 목요일 F시큐어의 보안 블로그 포스트를 통해서 자세한 내용에 대해 설명하면서 마이크로소프트측에 “오늘날 너무 많은 PDF 리더에 포함되어 있는 익스플로잇과 복잡성에 마이크로소프트 고객들이 지쳐있다”라고 전했다.

 

이어 그는 전화 인터뷰에서 “마이크로소프트는 반드시 단순히 PDF를 볼 수만 있는 간단한 뷰어를 만들어야만 한다”라면서, “운영체제에 내장할 필요도 없이 오피스 애드인의 “PDF로 저장하기”처럼 선택 다운로드할 수 있도록 하면 된다”라고 설명했다.

 

비록 마이크로소프트는 오피스 2007에 PDF 파일형식으로 저장할 수 있도록 하는 기능을 지원하려고 했으나, 어도비의 반발로 인해서 “PDF로 저장하기”애드온을 무료로 제공하고 있다. 어도비가 2008년 ISO(International Organization for Standardization)측에 PDF/A 사양을 제출한 뒤, 마이크로소프트는 1년 전 오피스 2007 서비스팩2에 “PDF로 저장하기”를 추가했다. 오피스 2010에도 같은 기능을 이용할 수 있다.

 

한편, 오피스는 서드파티 소프트웨어나 애드온이 없으면, PDF 문서를 열 수 없다. 윈도우 7과 윈도우 비스타의 프리뷰 기능 역시 PDF를 지원하지 않는다. 대신, 마이크로소프트는 XPS(XML Paper Specification)라고 불리는 PDF 대안을 밀고 있다. XPS 뷰어는 윈도우 7에 번들로 포함되어 있다.

 

설리반은 “PDF 사양은 2006년 이후 완전히 저작권이 풀렸다”라면서, 마이크로소프트가 자체 뷰어를 만드는데 어도비에 돈을 지불할 필요가 없음을 지적했다. 이어 그는 “마이크로소프트가 자체 PDF 뷰어를 만들지 못할 이유는 없으며, 반독점과 관련되어 우려가 된다면, 이것을 이용할지 여부에 대해서는 사용자들이 선택하도록 하면 된다”라고 말했다.

 

여러 번 설리번은 맥 OS X의 프리뷰와 비교해 윈도우 PDF 뷰어의 모습을 설명해왔다. 하지만 프리뷰는 버그가 완전히 없는 것은 아니다. 지난 3월 보안 전문가 찰리 밀러는 웹에서 프리뷰와 충돌을 일으킬 수 있는 PDF 파일을 60개 이상 찾아냈다고 밝힌 바 있다.

 

그렇다 하더라도, 설리번은 마이크로소프트가 해커들이 악용할 수 있는 기능을 모두 없앤 간단한 버전의 PDF 뷰어가 개발되어야 한다고 주장했다. 아니면, 어도비 자체에서라도 “리더(Reader)를 뷰어 버전만 있는 “리더 라이트(Reader Lite)”같은 버전과 전체 기능이 다 있는 것 두 개로 개발하길 원한다”라고 덧붙였다. gkeizer@ix.netcom.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.