[보안뉴스 문가용] 마이크로소프트는 지난 10일 7개의 보안관련 패치를 발표했다. 이 패치를 적용하면 인터넷 익스플로러의 59가지 취약점이 수정된다. 이 중 두 가지는 이미 대중에게 널리 알려진 상태이기 때문에 약간 늦은 감이 없지 않다.

7개의 패치 중 두 개는 ‘치명적’이고 나머지 다섯 개는 ‘중요’ 등급으로 분류되었다. 3개의 패치에는 원격코드 실행을 가능하게 해주는 취약점을 보완했다. 이렇게 함으로써 마이크로소프트는 윈도우, 오피스, 인터넷 익스플로러, 라이브 미팅, 링크, 링크 서버에서 발견된 총 66개의 취약점을 보완한 것으로 집계된다. 마이크로소프트의 조사에 따르면 아직 이 66가지 취약점 때문에 일어난 피해사례는 없다. 애초에 66개의 취약점 대부분은 보안등급을 낮게 설정하는 사용자들에게는 패치 전과 후가 크게 다르지 않은 정도였다.

“이번에 배포된 패치를 전부 적용하도록 권장하고 있습니다. 특히 워드와 익스플로러와 관련된 취약점은 무조건 고치는 게 좋습니다.” 마이크로소프트의 그룹장인 더스틴 차일즈(Dustin Childs)의 설명이다. “오류에 관한 여러 가지 보고 및 제보가 있었고, 저희도 그에 맞춰 노력을 기울이고 있습니다. 다행히 현재까지는 이번에 발견된 취약점들로 인한 피해사례는 발견되지 않았습니다.”

주목해야 할 중요 업데이트는 익스플로러의 누적 보안 업데이트인 MS14-035이다. 나머지 58개의 취약점뿐만 아니라 익스플로러 8에서 불거졌던 메모리 오류까지 수정하기 때문이다. 이 오류는 네트워크 보안업체인 티핑포인트(Tipping Point)가 공개한 바 있다. 티핑포인트는 공개 전 마이크로소프트에게 180일의 수정기한을 주었으나 마이크로소프트에서 시한을 넘기는 바람에 대중에게 공개됐다. MS14-035에는 익스플로러의 XSS 필터 관련 패치도 포함되어 있다.

“사람들이 요구하던 패치가 바로 MS14-035였죠.” 아이덴티티 및 취약점 관리 전문 업체인 비욘드트러스트(BeyondTrust)의 CTO인 마크 마이프렛(Marc Maiffret)의 반응은 긍정적이었다. “이 패치 전 인터넷 익스플로러는 거의 사용이 불가능한 상태였어요. 하지만 이번 패치로 익스플로러의 코드 실행력은 강화되고 취약점은 약화되었죠. 익스플로러 6에서 11까지의 사용자들이라면 꼭 적용해야 할 패치입니다.”

마이크로소프트 측은 "이번에 발견된 것 중 가장 치명적이었던 건 사용자가 익스플로러를 가지고 특정 웹사이트에 접속할 경우 원격코드 실행이 가능하게 되었던 취약점이었습니다. 이런 식으로 공격자가 한 번 침투하면 현재 사용자와 같은 권한을 가질 수 있었습니다. 권한 설정을 빡빡하게 해놓은 사용자라면 별 영향이 없었고, 디폴트 설정을 그대로 유지하고 있는 사용자들은 위험에 더 많이 노출되어 있을 수밖에 없었습니다”라고 추가 의견을 냈다.

“인터넷 익스플로러는 원래 무결성(integrity)이 낮은 상태에서 코드를 실행합니다. 이게 무슨 의미냐면, 해커가 공격해 들어온다고 해도 할 수 있는 게 그리 많지 않다는 것입니다. 그런데 취약점으로 인해 해커가 ‘낮음’에서 ‘중간’ 단계로 가는 게 가능했었습니다. 이번 패치로 이와 관련된 세 가지 취약점이 고쳐졌습니다. 전 그러나 한 발 더 나아가서 권한 설정을 최소한으로 낮게 하는 옵션을 도입해야 한다고 생각합니다. 해커기 뚫어야 할 장벽을 이중 삼중으로 설치하자는 말이지요.” 마이프렛 CTO의 의견이다.

한편 쿼리 테크놀로지(Quarri Technologies)의 제프 데이비스(Jeff Davis) 부사장은 보안에 좀더 신중할 것을 당부했다. “브라우저가 완전무결한 상태가 된다는 건 불가능합니다. 언제나 취약하고 언제나 뚫릴 가능성을 가지고 있습니다. 사실 저는 인터넷 브라우저를 실행할 때마다 러시안 룰렛을 하는 기분입니다. 지금 패치가 되었다고 한들, 인터넷 익스플로러가 완전해졌을까요? 절대 그렇지 않습니다. 결국 익스플로러를 사용하는 개인이나 조직에서 패치에만 기댈 것이 아니라 그 외 방비책을 마련해야 합니다. 그런 마음가짐이 ‘철통보안’에 더 합당한 것이죠. 예를 들어 가상 기계에서만 브라우저를 실행시킨다든가, 웹 서핑용 기기를 따로 마련한다든가 하는 식으로 말입니다.”

이 다음 업데이트인 MS14-036는 윈도우, 오피스, 링크의 마이크로소프트 그래픽 컴포넌트(MS Graphics Component)에서 발견된 취약점을 수정하는 패치로 역시 굉장히 중요하다. 사용자가 특정 파일이나 웹페이지를 열 경우 원격코드 실행을 가능하게 해주기 때문이다. 이에 대해 마이프렛 CTO는 다음과 같이 말했다.

“MS14-036은 GDI+와 관련된 패치입니다. GDI+는 윈도우 그래픽 기기 인터페이스이며 두통을 계속해서 유발하는 ‘취약점의 보고’입니다. 가장 큰 이유는 GDI+와 연결된 마이크로소프트 제품이 상당히 많다는 것입니다. 윈도우는 물론 오피스 제품들까지 연결되어 있거든요. 물론 비교적 최신 버전인 오피스 2013은 예외입니다. 하지만 마이크로소프트의 모든 OS군들은 포함됩니다. 마이크로소프트 자신들도 이걸 악용한 공격이 충분히 가능하다는 걸 인정한 상태고요.”

IT 솔루션 업체 사블릭(Shavlik)의 제품책임자 크리스 괴틀(Chris Goettl) 씨의 의견은 다음과 같다. “사용자가 특정 웹사이트나 파일을 클릭해서 열 때 취약점이 발동됩니다. 즉 피싱 행위가 꼭 있어야 한다는 것이죠. 이런 취약점에 노출된 컴포넌트들을 쭉 보면 공통적으로 GDI+를 사용하고 있다는 걸 알 수 있습니다. 이미 윈도우 생태계에서는 대단위로 퍼져있는 상태인 것이죠. 그런 의미에서 이 취약점이 ‘치명적’이라고 분류됐던 것입니다. 그러나 여전히 사용자들은 피싱 공격을 늘 염두에 두고 주의를 기울여야 할 것입니다.”

이처럼 원격실행을 가능하게 하는 취약점은 ‘치명적’인 것으로 분류가 되는 게 당연한 것 같지만 아닌 것도 있다. 이번에 ‘중요’ 등급을 받은 패치에도 원격코드 실행 관련 취약점을 다루는 내용이 포함된다. 마이크로소프트 오피스 워드 2007에만 해당하기 때문이다. 그러나 그 본질이 ‘원격 조정’인만큼 마이프렛 씨는 ‘치명적’이라고 분류한다. “치명적인 공격이 가능하기 때문”이라고 그 이유를 설명한 마이프렛 씨는 “하지만 2007보다 최신 버전에는 이런 문제가 발견되지 않으니 여타 다른 ‘치명적’인 결함들보다는 한 단계 아래 수위의 위험인 건 분명합니다”라고 덧붙였다.

그러면서 이번 패치에 관한 총평까지도 추가했다. “결국 중요한 건 보안 부분의 자금 계획을 세울 때 ‘보안 프로그램’만 사는 것에서 그치는 게 아니라 이미 보유하고 있는 소프트웨어들을 점검하고 적절하게 업그레이드 하는 것도 고려해야 한다는 겁니다. 오피스 2007을 오피스 2013으로 바꾸는 식으로요.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>