“기술 기업이 가장 크게 고려해야 할 것은 사용자의 안전”
패치 개발에 1주일 주는 건 너무 짧아... 90일이 안정적

[보안뉴스 문가용 기자] 구글이 윈도우에서 발견한 치명적인 제로데이 취약점을 패치 이전에 발표한 것에 대해 MS는 “사용자들을 위험에 빠트렸다”며 강력하게 비판했다. 지난 월요일 구글은 ‘자사의 취약점 공개 정책’에 따라 “MS에 보고했으나 7일이 지나도 패치가 나오지 않았고, 이미 해커들이 악용하고 있는 중”이기 때문에 해당 취약점을 공개했다. 이 취약점은 샌드박스를 우회할 수 있게 해주는 치명적인 성질의 것이었다.


▲ "너, 이리 와봐. 1주일 전에 뭐라 그랬어?"

MS는 “이 취약점을 이미 악용하고 있는 해킹 그룹을 발견했다”며 “스트론티움(STRONTIUM) 혹은 APT28, 팬시 베어(Fancy Bear), 오퍼레이션 폰스톰(Operation Pawn Storm), 세드닛(Sednit), 소파시(Sofacy), 차르 팀(Tsar Team)이라는 이름으로 알려진 그룹”이라고 설명했다. 이 단체는 러시아의 첩보 기관 및 정부와 연결고리가 있다고 의심을 받고 있다.

구글이 해당 취약점을 공개한 이유는 1) 치명적이라서, 2) MS가 일주일이 넘도록 패치를 내놓지 않아서, 3) 이미 해커들이 알고 있는 취약점이라서, 4) 이상의 조건을 만족했을 때 취약점 내용을 공개한다는 정책을 이미 예전부터 세상에 공표했기 때문에, 였다. 이에 MS는 해당 취약점이 1) 치명적이지 않고, 2) 11월 패치에 포함시켜 발표할 예정이었다며 반박했다.

“기술력을 바탕으로 사업을 해나가는 기업이라면 당연히 고객들의 안전을 최우선시 해야 합니다. 그것이 책임감입니다. 취약점을 공개하는 문제도 고객들의 안전을 우선으로 생각해서 결정해야 하죠. 그런 의미에서 구글의 이번 공개는 매우 실망스럽습니다.” MS의 부회장인 테리 마이어슨(Terry Myerson)이 공식 블로그에 올린 내용이다.

마이어슨은 또한 “MS 에지와 윈도우 10 최신 버전 사용자는 이번에 발견된 취약점 문제를 가지고 있지 않다”고 설명했으며 “이 취약점을 익스플로잇 하고 있는 해킹 그룹은 두 개의 어도비 플래시 제로데이 취약점들과 윈도우 비스타~10에서 발견되는 커널 버그를 악용하고 있기 때문에 플래시 업데이트도 반드시 할 것”이라고 권고했다.

왜 윈도우 취약점 공개 문제를 두고 구글과 MS는 날을 세우고 있는 것일까? 전문가들은 “구글이 경솔한 결정을 내린 것 아니면 러시아 공격자들에게 ‘너희들이 하는 짓을 우리는 알고 있어’라는 메시지를 전달하고 싶어서 그런 것”이라고 분석하고 있다. 빅아이디(BigID)의 CEO인 디미티르 시로타(Dimitri Sirota)는 “능동적인 방어의 일환으로 보이지만, 아직 능동적인 방어의 적정선이 어디까지인지 정해지지 않아 마찰이 일어난 것”으로 보고 있다.

때문에 구글이 이번 취약점 공개의 근거로 내세운 ‘구글만의 정책’도 도마에 올랐다. 엔실로(enSilo)의 CTO인 우디 야보(Udi Yavo)는 “두 기업 사이의 각 세우기를 보고 있자니 보안 업계가 그동안 암묵적으로 지켜오던 ‘90일 이후 공개’ 규칙이 정말 적절한 것이었다는 걸 느끼게 된다”며 “이를 명문화해서 모든 취약점 공개의 표준으로 정해야 할 필요가 있다”고 언급했다. 7일이라는 구글의 정책을 ‘돌려 까기’한 것.

야보는 구글이 MS에게 준 시간이 너무 짧았다는 입장이다. “다짜고짜 취약점을 알려주고, 패치 만들 시간을 딱 1주일만 주는 건, 솔직히 그냥 명목상 절차를 따른 것 뿐이죠. MS가 패치를 내놓건 말건 관심도 없었을 겁니다.”

MS는 윈도우 10에 내장된 Defender Advanced Threat Detection을 사용할 것을 권장한다. 스트론티움의 공격 시도를 탐지할 수 있는 기능을 갖췄기 때문이다. 그밖에 플래시를 잠시 비활성화시켜 두는 것도 도움이 될 것이라고 전문가들은 조언한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>