메인화면으로
MS 윈도시리즈에 중대 '보안결함'
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
  • 밴드 공유하기
  • 인쇄하기
  • 본문 글씨 크게
  • 본문 글씨 작게
정기후원

MS 윈도시리즈에 중대 '보안결함'

MS 뒤늦게 시인, 소비자들 분통

이승선 기자  |  기사입력 2002.08.30. 13:11:00
전세계 퍼스널컴퓨터(PC)의 90%가 운영체제로 쓰고 있는 마이크로소프트(MS)사의 윈도시리즈가 보안상 '중대한 결함'이 있는 것으로 드러났다. 이같은 사실은 마이크로소프트사 스스로 인정한 것이어서 더욱 충격적이다.

MS는 29일 "웹사이트 접속과 이메일 처리과정에 필수적인 인증파일이 해커들에 의해 삭제되는 등 중대한(critical) 결함이 발견됐다"고 발표했다. '중대한(critical)'이라는 용어는 3단계 보안 결함 중 가장 심각한 단계다. 전문가에 따르면 "해커가 컴퓨터에 침입해 각종 정보를 수정하거나 컴퓨터 및 프로그램 기능에 손상을 가할 수 있는 수준"이다.

***96년 이후 발표된 모든 윈도 중대한 보안결함**

문제가 되는 윈도는 96년 이후 발표된 윈도 98 버전 등 거의 모든 윈도 체제로서 윈도 98 세컨드 에디션, 윈도 밀레니엄, 윈도 NT 4.0, 윈도 2000, 윈도XP 등을 망라하고 있다.

MS가 이같은 사실을 공시했음에도 불구하고 컴퓨터 업계 및 전문가, 컴퓨터 사용자들은 '불충분하며 뒤늦은 대처'라며 분통을 터뜨리고 있다. 이달초부터 보안전문가들이 "MS 윈도체제에 중대한 결함이 있다"는 폭로가 여러차례 제기되었음에도 MS는 묵묵부답으로 일관해 왔기 때문이다.

MS측에서는 이번에 문제가 된 보안상 결함은 윈도상에서 웹브라우저를 작동할 때 일어나는 것으로 보안패치프로그램으로 해결이 가능하다며 윈도 자체에 대한 해커의 공격은 사실상 불가능하다는 입장이지만, 전문가들은 윈도 자체에 심각한 문제가 있다고 지적하며 대립하고 있다.

이 때문에 전문가들은 이번 공시를 통해 MS가 주장한 '보안개선작업(Trustworthy Computing)'도 믿을 수 없는 대책이라고 주장하고 있다.

***독점적 시장지배 확보 위해 처음부터 무리수**

가장 최근에 MS 윈도 결함에 관한 보고서를 발표한 보안전문가 마이크 벤햄은 "웹사이트 접속시 대표적인 인증기관인 베리사인 등의 인증을 받는 과정에서 악의적인 웹사이트 운영자가 가짜 인증파일을 생성해 신용카드 정보 등 개인정보를 손쉽게 획득할 수 있다"고 MS 윈도의 보안문제를 설명했다.

미국 오크리지 국립과학연구소의 선임연구원 제임스 롬은 "MS는 불완전한 제품이라도 일단 시장을 선점해 표준기술의 지위를 획득한 뒤 제품 결함을 보완하는 것은 나중에 한다는 'Take a standard and modify it' 전략을 써왔다"며 "이같은 전략에 정말 짜증이 나 MS 제품은 절대 사용하지 않겠다고 결심했었다"고 분노를 감추지 않았다.

그러나 그는 "MS의 웹브라우저 인터넷 익스플로러(IE)를 사용하지 않는다는 것은 모든 게 IE와 연관이 되어 있기 때문에 사실 불가능하다. IE에서 '스크립트 불능'을 선택하면 다른 응용프로그램이 작동하지 않는 식"이라며 MS의 독점적 시장지배의 심각성을 고발했다.

MS측은 이번에 발견된 보안결함을 '보안패치'를 다운받아 설치하면 해결할 수 있다고 공시했다. 그러나 전문가들은 "MS가 패치를 발행할 때마다 그것으로 일이 끝나지 않는 경우가 많다"고 우려하고 있다.

미국 휴스턴의 바인드뷰사 보안담당임원인 스콧 블레이크는 "MS가 이번 문제를 해결하지 못할 거라고 볼 이유는 없다"면서도 "그러나 개인정보가 웹사이트를 통해 원하지 않는 곳으로 흘러들어가는 더 큰 문제는 패치로 해결되는 것은 아니다"라고 말했다.

인증보안 문제는 단순히 인터넷 익스플로러의 문제가 아니라 근본적으로 웹사이트에 접속하는 데 작동하는 윈도의 SSL(보안소켓레이어)에서 일어나는 것이기 때문이다. 이 때문에 보안패치를 만드는 일이 쉽지 않다는 것이다.

그러나 윈도의 보안상 결함이 이것뿐이 아니라는 점에서 문제의 심각성이 더 크다. 이달초에 발표된 한 보안전문가는 윈도에 있는 Win32프로그래밍API가 해커들이 한번 접근한 PC에서 더욱 접근이 손쉬워지는 결함이 발견되었다는 보고서를 발표했다. 이에 대해서 MS는 침묵으로 일관하고 있다.

보안컨설팅연구회사인 미국 매사추세츠 @스테이크의 연구개발팀장 크리스 와이소펄은 "MS는 문제를 확실히 파악할 때까지는 아무것도 말하지 않는 방침"이라면서도 "그러나 SSL 문제는 정말 간단한 문제가 아닌데, MS가 계속 침묵하면 그들이 '나 몰라라'하는 것으로 소비자들에게 비쳐질 것"이라고 경고했다.

와이소펄 역시 해커가 SSL을 공격하기 어려울 것이라는 MS의 주장에 동의하고 있지 않다. 해커가 다른 PC로부터 SSL인증파일을 훔쳐내 사용할 경우 해커를 추적하기는 사실상 불가능하다는 것이다.

이 기사의 구독료를 내고 싶습니다.

+1,000 원 추가
+10,000 원 추가
-1,000 원 추가
-10,000 원 추가
매번 결제가 번거롭다면 CMS 정기후원하기
10,000
결제하기
일부 인터넷 환경에서는 결제가 원활히 진행되지 않을 수 있습니다.
kb국민은행343601-04-082252 [예금주 프레시안협동조합(후원금)]으로 계좌이체도 가능합니다.
프레시안에 제보하기제보하기
프레시안에 CMS 정기후원하기정기후원하기

전체댓글 0

등록
  • 최신순