테너블, 3월에 MS에 취약점 전달...MS 초기 패치는 6월, 최종 패치는 8월에 나와

요약 : 보안 외신 해커뉴스에 의하면 마이크로소프트(이하 MS)가 현지 시간으로 8월 4일 Power Platform에 영향을 미치는 중대한 보안 결함 해결을 발표했지만, 발 빠른 조치를 취하지 못했다는 비난을 피하지 못했다고 한다. 이는 이미 지난 3월 사이버 보안 회사 테너블(Tenable)이 Azure Function 호스트에 대한 불충분한 액세스 제어로 문제가 발생할 수 있으며, 공격자가 OAuth 클라이언트 ID 및 비밀번호는 물론 다른 형태의 인증도 탈취할 수 있다는 사실을 알려줬기 때문이다. MS는 해당 취약점으로 Power Platform 사용자 지정 코드 기능에 무단 액세스가 가능하고, 비밀번호나 기타 민감정보까지 노출될 수 있다고 밝혔다. 다만, 사용자가 별도의 조치를 취할 필요가 없으며, 현재까지 취약점이 악용되는 증거는 발견하지 못했다고 전했다.


배경 : MS는 6월 7일 결함에 대한 초기 패치를 발표했으나, 해당 취약점은 8월 2일이 되어서야 해결됐다. 이에 대해 테너블 CEO 아밋 요란(Amit Yoran)은 완전한 취약점 해결이 지연된 데 대해 ‘무책임’하다고 비난했다. MS는 “일부 패치는 신속하게 진행될 수 있지만, 다른 패치는 더 오랜 시간이 소요될 수 있다”면서, “보안 업데이트 개발은 속도와 안정성 그리고 품질의 균형을 이루어야만 하는 것”이라고 대응했다.

말말말 : “그동안 클라우드 제공업체들은 공유 책임 모델을 지지해 왔지만, 문제 발생 시 빠른 공지 및 복구 조치 등을 진행하지 않는다면 해당 모델은 이미 복구 불가하게 손상된 것입니다. MS사는 그저 ‘우리를 믿으세요’라고 말하지만, 고객들이 얻는 것은 불투명성과 혼란을 야기하는 문화일 뿐입니다.” -테너블 CEO 아밋 요란-
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>