멜트다운 및 스펙터 사태 터지며 발표한 이전 패치에 오류 있어
일부 보안 전문가는 “MS가 제로데이 만들어 뿌렸다”고 평하기도

[보안뉴스 문가용 기자] 마이크로소프트가 멜트다운(Meltdown) 취약점과 관련이 있는 비정기 보안 패치를 발표했다. 이전에 발표한 64비트 윈도우 7과 윈도우 서버 2008 시스템에 대한 멜트다운 취약점 패치가 일으키는 문제를 해결하기 위해 내놓은 패치라고 한다.


마이크로소프트는 “64비트 윈도우 7이나 윈도우 서버 2008 R2 64비트 사용자라면 이번에 발표된 패치를 최대한 빨리 설치하라”고 권고하고 있다. 특히 2018년 1월에 해당 시스템과 관련된 패치를 설치한 기업이나 개인이라면 이는 필수적으로 취해야 하는 조치라고 한다.

지난 1월 MS는 CVE-2018-1038 취약점에 대한 픽스를 발표한 바 있다. 하지만 스웨덴의 침투 테스트 전문가인 울프 프리스크(Ulf Frisk)는 윈도우 7과 서버 2008 시스템에서는 이 픽스가 오히려 더 큰 문제를 야기한다고 발표한 바 있다.

당시 프리스크는 “패치를 적용하면 시스템 내 운영되는 모든 프로세스를 통해 메모리 내 저장된 모든 내용을 읽을 수 있게 해줄뿐만 아니라 쓸 수 있게도 해준다”고 설명했다. “이러한 익스플로잇을 위해 엄청난 API나 시스템 호출(syscall)이 필요한 것도 아닙니다. 키 메모리 테이블이 슈퍼바이저 모드가 아니라 사용자 모드로 맞춰지면서 퍼미션과 관련된 비트에서 문제가 발생합니다.”

보안 업체 이반티(Ivanti)의 제품 관리 부문 총 책임자인 크리스 궤티(Chris Goetti)는 “마이크로소프트의 패치가 만든 문제점들은 꽤나 심각한 것이었고, 그러므로 빨리 해결책이 나와야 할 것”이라고 강조했었다.

“윈도우 7과 서버 2008에 대한 패치를 제일 먼저 발표했을 때, MS는 큰 실수를 했습니다. 그 결과 RAM에 대한 읽기 및 쓰기 권한을 모든 사람에게 열어둔 것이죠. 이는 꽤나 큰 문제이며, 시스템을 모든 사람에게 노출시킨 것과 다름이 없었습니다.”

그러므로 이전에 패치를 받았던 사람이라면 새롭게 발표된 패치를 빠르게 적용하는 것이 중요하다. 궤티는 “이번 패치를 빨리 받거나 실험해볼 사정이 안 된다면 윈도우를 이전 버전으로 롤백하고 MS의 4월 정기 패치를 적용하는 게 나을 것”이라고 권장한다. 4월 정기 패치는 4월 11일로 예정되어 있다.

또 다른 보안 업체 바클리(Barkly)의 공동 창립자이자 CTO인 잭 다나히(Jack Danahy)는 “지난 MS의 패치가 생성한 문제가 익스플로잇이 매우 어려운 멜트다운(Meltdown)이나 스펙터(Spectre)와 같은 문제라고 생각하면 안 된다”고 경고한다. “익스플로잇이 쉬운 제로데이 취약점이에요. 멜트다운이나 스펙터처럼 환상의 기술이 필요한 게 아닙니다.”

잭 다나히는 “지난 패치를 발표하며 사실상 MS가 새로운 제로데이 취약점을 흩뿌렸다고 생각하면 문제의 심각성이 실감날 것”이라고 설명했다. 그러면서 “뭔가 급히 출시하려고 했을 때 얼마나 큰 문제가 발생하는지를 보여주는 사례”라며 “버그 픽스는 소프트웨어 개발과 다를 게 없이 조심스럽고 정교해야 하는 작업”이라고 말한다.

“또한 기업이나 기관이라면 패치를 적용하기 전에 충분히 실험을 해봐야 한다는 교훈도 남겼습니다. 자동 패치도 편리함에서는 좋은 선택이지만, 민감한 정보를 다루는 곳이라면 패치도 개발사의 실수 가능성을 염두에 두고 실험을 한 후 적용해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>