윈도우 8.1 업데이트 버전의 사용자만 해당

마이크로소프트, 앞으로 최신 버전만 업데이트 할 계획인 듯

[보안뉴스 문가용] 마이크로소프트는 현지 시각으로 화요일에 발표할 공식 패치를 통해 두 가지 치명적인 버그를 수정할 예정이다. 취약점 및 버그의 단골집인 IE가 이번에도 등장한다. 대부분의 사용자들에게 있어 이번 업데이트가 그리 특별할 것은 없다. 그저 윈도우가 알아서 자동으로 패치를 하게 하면 된다.

문제는 윈도우 8.1 업데이트(Windows 8.1 Update) 버전을 설치하지 않은 사용자다. 이들에게는 패치가 적용되지 않기 때문이다. 지난 주 마이크로소프트는 대규모 업데이트를 가끔 내놓는 대신 비교적 작은 업데이트를 매달 하겠다고 발표한 바 있다. 그렇기 때문에 윈도우 8.1 업데이트가 필수 요소가 된 것이다.

마이크로소프트는 이번 패치를 통해 아홉 가지 버그를 손 볼 예정이다. 이중 두 개는 ‘치명적’이며, 공격자가 원격에서 사용자의 컴퓨터를 조정할 수 있도록 해준다. 첫 번째 취약점은 IE 6~11과 상관이 있으며 두 번째는 윈도우의 그래픽 시스템과 관련이 있다. 마이크로소프트는 IE 취약점은 윈도우가 독립적으로 설치된 시스템에만 치명적으로 작용하며 서버 버전의 윈도우에는 악영향이 비교적 적다고 발표했다. 그래픽 관련 취약점은 윈도우 7, 8, 8.1의 프로페셔널 및 비즈니스 버전에만 해당한다.

보안전문 업체인 퀄리스(Qualys)의 CTO 울프강 칸덱(Wolfgang Kandek) 씨는 IE와 관련된 취약점은 급하게 고쳐야 하는 문제라고 설명했다. “대부분의 사이버 공격은 웹 브라우저를 통해서 이루어지기 때문입니다.” IE의 보안성을 높이기 위해 마이크로소프트는 IE 버전을 8에서 11로 높이는 패키지도 이번 업데이트에 포함시킬 예정이다.

다만 여기에는 윈도우 8과 8.1버전에 있는 IE Modern 에디션은 포함되지 않는데, 이는 오래된 버전의 자바 액티브엑스 플러그인을 차단하기 위해서다. 이번 조치로 사용자들이 악성 링크를 클릭하도록 유도하는 공격이 상당 수 차단될 것이라는 게 마이크로소프트의 입장이다.

나머지 일곱 가지의 취약점은 ‘중요함’ 등급을 받았다. 한 개는 오피스 2007 버전의 원노트에 있는 오류로 원격 조정을 가능케 하는 취약점이고 세 개는 사용자의 정보를 유출시켜 공격자가 높은 권한을 갖도록 하는 버그였다. 이는 개별 PC에 설치된 윈도우나 서버 버전이나 모두 해당한다.

이번 업데이트는 현지 시각(P.T.)으로 오전 11시 즈음부터 배포될 예정이며 이는 한국 시간으로 수요일 새벽 세 시경이다. 마이크로소프트는 수요일 같은 시각부터 웹 캐스트를 운영해 사용자들의 질문에 답을 할 예정이다. 9가지 업데이트 중 네 가지는 사용자 컴퓨터를 다시 시작해야 효력이 발생한다.

윈도우 8.1 사용자들 중 윈도우 8.1 업데이트로 업그레이드를 하지 않은 사용자는 이런 보안 혜택을 받을 수가 없게 된다. 마이크로소프트는 적어도 2015년 말까지 윈도우 8에 대한 지원을 계속할 예정이지만 여기에는 윈도우 8.1이 포함되지는 않는다. 가정용 윈도우 8.1을 사용하는 사용자 중 가정용 윈도우 8.1 업데이트를 설치하지 않은 사용자들은 여름이 시작되기 전부터 업데이트를 제대로 받지 못했다.

비즈니스 버전의 윈도우 8.1 사용자도 비슷한 처지가 될 뻔했으나 고객 불만으로 그 허용 기간을 연장해야 했다. 그런데 그 연장 기간이 딱 오늘까지다. 비즈니스 버전 사용자도 8.1 업데이트 버전을 사용하지 않는다면 이번 보안 패치를 받을 수가 없게 된다. 비슷한 맥락에서 마이크로소프트는 2016년부터는 IE 역시 최신 버전에만 보안 패치를 적용할 예정이라고 발표한 바가 있다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>