서드파티 소프트웨어인 키퍼에서 치명적인 취약점 발견
1년 반 전에 지적된 문제...다행히 패치 나와 배포 중에 있어

[보안뉴스 문가용 기자] 소프트웨어 여러 개를 한 묶음으로 제공하는 걸 ‘번들(bundle)’이라고 한다. 어도비의 포토샵, 일러스트레이터, 드림위버 등 자사가 만든 소프트웨어를 세트로 판매하는 건 ‘스위트(suite)’라고 부르는데, 번들은 자사가 만들지 않은 ‘서드파티 소프트웨어’도 포함되어 있는 경우가 많다.


스위트로 제품을 구성해 판매하는 건 소프트웨어 제조사들이 곧잘 사용하는 전략이다. 번들 방식은 그리 크게 선호되지 않는 게 일반적인데, 여기에는 이유가 있다. 서드파티 소프트웨어에 대한 조사 및 검사 권한은 없는데, 그 소프트웨어에서 취약점이라도 발견되면 자기가 욕을 먹어야 하기 때문이다. 그런데 최근 MS가 이러한 ‘번들’의 함정에 빠졌다.

구글의 보안 전문가 타비스 오르만디(Tavis Ormandy)가 MS 윈도우 10 특정 버전을 통해 함께 배포되는 비밀번호 관리 소프트웨어인 키퍼(Keeper)에서 브라우저 플러그인 취약점을 발견했다. 자신이 가지고 있는 윈도우 10 이미지(MSDN 개발자용 이미지)에 함께 묶여 있던 소프트웨어였으며, 악성 웹사이트를 통해 사용자의 비밀번호를 탈취할 수 있도록 하는 오류였다.

레딧의 사용자들이 남긴 글 타래에 따르면 키퍼는 개발자용 버전 외에 일반 사용자들을 위한 버전에도 일부 섞여 있는 것으로 보인다. 이 버전들에 있는 키퍼 역시 취약한 것으로 드러났다. 새롭게 출시된 랩톱에 기본으로 설치된 버전에서도 이 같은 문제점들이 일부 나타났다.

오르만디는 개인 트위터와 구글 프로젝트 제로팀 블로그를 통해 “윈도우 10의 가상기기를 새롭게 만들다가 디폴트로 설치되는 키퍼에서 치명적인 취약점이 발견되었다”고 발표했으며(물론 키퍼의 제작업체에 미리 알렸다), “1년 반 전쯤에 키퍼에서 발견된 권한 UI 삽입 취약점을 지적한 바 있다”고 말했다. 오르만디에 따르면 1년 반 전쯤에 지적된 문제가 여전히 고쳐지지 않은 채 배포되고 있다는 것이다.

다행히 키퍼의 제조사는 이 소식을 듣고 24시간이 걸리지 않아 패치를 발표했다. 하지만 생각만큼 그리 큰 문제는 아니었다는 식의 발표도 함께였다. “해당 취약점을 익스플로잇 하려면 키퍼의 사용자가 로그인 한 상태로 악성 웹사이트에 실제로 접속해야 합니다.” 또한 아직 실제 사고 사례에 대한 보고도 없는 상태다.

한편 마이크로소프트의 대변인은 IT 외신인 아스 테크니카(Ars Technica)를 통해 “키퍼 팀이 패치를 발표했으므로 소프트웨어를 최신화 하기만 하면 아무런 문제가 될 것 없다”고 고객들을 안심시켰다.

하지만 보안 업계는 마이크로소프트라는 IT 대표 업체가 취약점이 1년 반 전에 알려진 서드파티 소프트웨어를 자사 대표 제품과 묶어 번들로 배포했다는 것 자체도 문제라고 지적한다. 서드파티에 대한 조사를 자사 제품을 검사하는 것만큼 철저하게 하지 않는 것일까? 서드파티 제품이 섞인 번들 상품을 소비자들은 어떻게 신뢰할 수 있을까? MS는 아직 이에 대한 답변을 하지 않고 있는 상태다.

서드파티 제품을 어떤 식으로라도 함께 사용하려는 업체라면 자사 제품 수준의 보안 검사를 해야 고객의 신뢰를 유지할 수 있을 것으로 보인다. 그렇게 하기 위해서는 서드파티와의 계약 시 보안 검사에 관한 내용부터 꼼꼼하게 만들어야 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>