• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

마이크로소프트, 윈도우는 단단해지고 IE는 약해지고 2015.01.11

ESET에서 발행한 보고서, “MS 전 제품 취약점 2배 늘어”

그러나 대부분 IE에 국한되어 있고, 윈도우 오류는 줄어


[보안뉴스 문가용] 보안 전문 회사인 ESET에서 마이크로소프트에 관한 보고서를 발행했다. 워낙 영향력이 높은 회사이며 현대 정보 기술 분야의 뿌리가 되는 기술을 많이 보유하고 있어 이번 보고서가 주는 충격이 적다고 할 수 없다.

 


마이크로소프트가 지난 해 수정한 취약점들의 수는 2013년에 비해 두 배 가량 늘었다. 이는 마이크로소프트의 전 제품에 해당하는 수치다. 그중 상당수가 인터넷 익스플로러 브라우저에 관한 것이었다. 이는 즉 마이크로소프트가 윈도우 환경에 굉장히 많은 신경을 써왔다는 것이고, IE를 제외하고는 꽤나 성공적이었다고 볼 수 있다.


“전체적으로 봤을 땐 마이크로소프트의 2014년은 2013년보다 보안성이 강했고 안정적이었다고 볼 수 있습니다.” ESET의 보안 전문가인 아리에 고렛스키(Aryeh Goretsky)의 설명이다. 제로데이 오류도 적었고 다른 치명적인 취약점도 상당히 줄었다는 것이다. “지난 해 마이크로소프트 제품에 있었던 공격들은 대체로 평범하고 예상할 수 있는 것들이었습니다. 특수한 목적성을 띈, 예를 들어 군사용 스턱스넷과 같은 건 아니었죠.” 결국 작년 한 해 마이크로소프트에게 있어 취약점과의 전쟁은 업데이트 경쟁이라고 요약할 수 있다는 것.


그러나 이것이 ‘다행스러운’ 신호는 절대 아니라고 고렛스키는 강조한다. 특별한 공격이 없었고, 윈도우에 대한 공격이 줄었다고는 하나 전체 취약점 및 공격 총량은 늘었기 때문이다. 그것도 두 배 가까이 말이다.


2014년 IE에서 나타난 취약점 대부분은 원격 코드 실행이 가능하게 해주는 것들이었다. 이는 즉 드라이브바이 다운로드 공격을 가능케 할 수 있다는 뜻이다. 또한 다섯 개 중 하나 꼴로 마이크로소프트에서 발견하기 전부터 대중들 혹은 해커 커뮤니티 사이에 알려졌다는 것도 시사하는 바가 있다.


고렛스키는 작년 발견된 IE 취약점 중 해커들이 실제로 관심을 기울이는 취약점의 수가 높은 것은 통했을 경우 쉬운 통로를 제공하기 때문이라고 한다. 아닌 게 아니라 윈도우가 단단해지다보니 상대적으로 약한 IE가 덤터기를 쓴 부분도 존재한다. “해커들의 제일 첫 목적은 돈입니다. 공격 대상이 더 단단해지면 얼른 다른 약점을 찾아냅니다.” 주로 네트워크의 인프라를 조사하거나 파고들어서 서드파티 소프트웨어나 툴의 취약점을 찾아내는 게 해커들의 방식이다. “정말 도둑하고 똑같아요. 대문이 닫혀 있으니 창문을 찾고, 창문이 잠겨 있으니 안 잠기거나 부서진 창을 찾는 거죠.”


IT하베스트(IT-Harvest)의 최고 분석가인 리차드 스티에논(Richard Stiennon)은 IE에 대한 공격이 높아진 게 당연한 것이라고 말한다. “저 같았어도 그렇게 했을 듯 합니다. 어도비 소프트웨어를 통한 공격이 늘어난 것도 같은 차원에서 이해할 수 있고요.” 윈도우가 강력해졌기 때문에 발생한 일이라는 것이다.


SANS의 존 페스카토어(John Pescatore) 역시 윈도우가 더 튼튼해졌다는 것에 동의한다. “하지만 그만큼 IE가 희생을 치러야 했습니다. 게다가 크롬에 비해 시장을 세 배나 더 장악하고 있는 제품이니까 해커들 입장에서는 효율적이기까지 하지요. 윈도우가 단단해졌다고 해서 기업들이 안심해서는 안 됩니다. 분명히 약한 부분은 아직도 존재하거든요. 문은 하나만 달린 게 아니죠.”


ESET의 이번 보고서는 마이크로소프트가 지난 몇 년간 윈도우의 보안성을 강화하기 위해 했던 노력들이 성과 있음을 알려주는 지표가 될 수 있다. 멀웨어 코드가 실행되는 것을 막아주는 데이터 실행 방지(DEP) 기능, 비스타에서 처음 시도한 주소 공간 레이아웃 무작위화(ALSR) 등의 어느 정도 효력이 있었던 것으로 보인다. 그렇다고 IE에서는 발전이 없었느냐 하면, 또 그건 아니다. IE10에 처음 소개된 향상된 보호 모드(EPM)만 해도 IE10을 이전 버전에 비해 훨씬 안정성 넘치는 브라우저로 만들었다.


하필이면 이번 ESET의 보고서는 마이크로소프트의 ‘패치 내용 사전 공지 유료화’ 결정과 시기를 맞물린다. 이 사전 공지를 통해 기업들은 매달 일주일 후 있을 마이크로소프트의 정기 패치에 대비할 수 있었다. 마이크로소프트의 보안 응답 센터(MSRC)의 수석 책임자인 크리스 베츠(Chris Betz)는 이에 대해 ‘환경 변화에 따른 어쩔 수 없는 선택’이라고 표현했다. 이제 패치 자동화가 일상화 되면서 패치 노트가 크게 필요하지 않게 되었다는 것. 하지만 마이크로소프트는 이를 유료화로는 계속 공급하겠다는 발표를 함께해 자신의 말을 스스로 부분 반박했다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>