MS 윈도우 보안취약점 70~80%, 해커가 발견
선량한 해커, MS 보안패치 발표까지 비공개가 철칙
매달 3~5분 보안패치 업데이트에 투자...PC보안에 최고

우리나라 OS의 대부분은 MS사에서 제공하고 있는 윈도우 시리즈들이다. 윈도우 또한 하나의 방대한 프로그램으로 거기에는 예상치 못한 보안구멍들이 발생하기 마련이다.

이러한 취약점을 찾아내고 대비를 하기 위해 MS에서는 매달 취약점을 공개발표하고 이에 대한 보안패치도 함께 발표하고 있으며 이용자들은 자신의 PC에 보안패치를 해야만 해당 취약점을 보완할 수 있다. 이를 방치한다면 언젠가 해킹으로 인해 개인정보유출이나 데이터 유출 위험에 빠지게 된다.

한국MS 조원영 이사는 “윈도우 취약점의 70~80%는 선량한 해커들에 의해서 발견되고 그들은 취약점 자료를 MS에 넘겨준다. 이들 선량한 해커들은 MS 보안패치가 발표되기 이전에는 자신들이 발견한 취약점을 절대 대외적으로 공개하지 않는 것을 철칙으로 삼고 있다”고 밝혔다.

MSRC(Microsoft Security Response Center- Microsoft 보안 대응센터)는 24시간 윈도우 취약점에 대한 연구를 하고 있으며 선량한 해커들이 보내준 자료와 연구를 토대로 긴급한 경우는 바로 패치를 만들어 공개하고 있다. 그리 긴급하지 않은 취약점에 대해서는 매월 둘째주 수요일에 취약점과 해당 보안패치를 발표하고 있다. 여기에는 윈도우 OS뿐만 아니라 오피스, 애플리케이션 등에 대한 취약점과 버그 등도 함께 공개하고 있다. 이용자들은 보안패치를 업그레이드만 하면 해당 취약점으로부터 자유로워질 수 있다.

선량한 해커들은 MS 보안패치가 발표됨과 동시에 “이 취약점은 나에 의해 혹은 우리 해커집단에 의해 발견된 것”이라고 공식적으로 밝히고, MS사도 누구 혹은 어떤 해커 집단으로부터 이 정보를 제공받았다고 밝히는 것을 룰로 정해놓고 있다. 

MS 관계자는 “일부 몰지각한 보안업체나 해커들은 자신들이 우연히 발견한 윈도우 취약점을 마치 자신들의 기술로 인해 찾아낸 것처럼 언론에 크게 공개하곤 한다”며 “이러한 행위는 윈도우 이용자들에게 대체할 시간도 없이 악성해커들로부터 공격을 받도록 만드는 것으로 비도덕적 행위”라고 꼬집었다.

보안패치가 만들어지기 이전에 취약점을 공개해버린다는 것은 전세계 많은 이용자들에게 큰 피해를 줄 수 있는 행위이며 진정한 보안업체로써 자질이 없다고 MS측은 보고 있다. 즉 패치가 만들어질 때까지 기다려주는 것이 모든 사람들을 진정으로 보호하는 길이라는 것.

MS 또 다른 관계자는 “한국뿐만 아니라 전세계적으로도 보안패치율은 50%미만”이라고 밝히고 “이미 6개월 전에 공개된 취약점을 해커가 공격했는데도 불구하고 우리나라에 인터넷 대란이 발생한 것”이라고 설명했다. 즉 보안패치 업데이트만 제대로 돼 있었더라면 충분히 막을 수 있는 인재였던 것이다.

또한 그는 “지난주 발표된 윈도우 취약점에 대해 지금도 해커들은 대규모 공격을 시도하기 위해 공격툴을 만들고 있을 것이다. 왜냐하면 아직도 보안패치를 하지 않은 수많은 PC들이 있기 때문”이라며 “해커들은 보안패치를 하지 않는 PC이용자들 때문에 아주 쉽게 공격을 감행하고 있는 것”이라고 경고했다.  

현재 국내 보안패치 업데이트율은 대략 기업이 50%미만이며 일반인들은 35% 미만이다. 즉 초고속 인터넷을 사용하는 PC가운데 대략 60% 정도의 PC가 보안패치 업데이트를 하지 않고 있다는 결론이다. 수치로 따지면 대략 1천800만대의 PC가 해커들의 공격에 무방비로 노출돼있는 셈이다.

이렇게 심각한 상태에 놓인 보안패치율을 높이기 위해 한국MS 측은 “NHN과 손잡고 지난해 12월 27일부터 ‘한게임’에 자동보안패치프로그램을 장착해 현재 510만명 이상이 새롭게 보안패치를 업데이트하고 있다”고 밝혔다. 보안의식을 높여 보안패치를 하게 만들자는 방법은 안 통한다는 것. 무의식적으로 그리고 자동으로라도 보안패치를 하게끔 만들자는 취지에서 시작된 프로젝트다.

한국MS 조원영 보안담당 이사는 “보안패치를 하지 않는 다는 것은 잘 때 대문을 열어놓고 자는 것과 똑같은 것”이라며 “처음 패치할 때는 시간이 좀 걸릴지 모르지만 매달 3~5분만 보안패치에 투자하면 안전한 PC이용이 가능할 것이다. 거기에 추가로 안티스파이웨어와 같은 추가 보안프로그램을 사용하면 금상첨화”라고 조언했다.  
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>