최근 베타버전이 공개된 윈도우 7의 UAC 기능이 보안에 취약하다는 주장이 제기돼 국내외 블로거들의 관심을 끌고 있다.


 ▲ 윈도우 7 한글판 UAC 설정창
중국 출신으로 호주에 거주중인 멀티미디어 시스템 연구자 롱 정(Long Zheng)은 지난 30일(현지 시간) 자신의 블로그 “i started Something.com”를 통해 윈도우 7의 UAC 기능이 보안에 취약하다고 주장했다.

그는 “보안 문제 때문이 이 ‘취약점’을 공개하게 됐다”며, 특히 이 문제에 대해 “의도적”인 것일뿐 취약점이 아니라는 마이크로소프트의 대응에 대한 실망해 이 내용에 대해 공개함으로써 MS의 태도에 변화를 유도하고자 하는 의도임을 강조했다.

윈도우 비스타의 단점 중 하나로 지적되던 UAC(User Account Control) 기능이 윈도우 7 베타버전에서는 비스타에 비해 “덜 거슬리는” 기능으로 변화했다. 즉, 보안 인증이 된 제어판 아이템들과 관련해 사용자가 시스템 설정을 변경한다 하더라도 UAC가 뜨지 않아 사용자의 불편함이 줄어들었다.

그러나 문제는 이 기능에 사용자의 인터액션이 필요치 않아 맬웨어 실행에도 무방비 할 수 있다는 것. 즉, 이것이 UAC 변경 자체도 “윈도우 설정 변경”으로 인지한다는 점이다. 따라서 UAC가 변경, 혹은 아예 비활성화 되더라도 알림 메시지가 나타나지 않게 된다.

이에 정(Zheng)은 미국의 라파엘 리베라(Rafael Rivera)와 함께 키보드 입력의 시퀀스를 에뮬레이트 해 사용자 인터액션없이 UAC가 뜨지 않게 하는 VBScript의 POC를 작성, 블로그를 통해 이를 공개했다. 아울러 이것이 심각한 보안 이슈가 될 수 있다는 판단으로 MS를 접촉했으나 MS의 반응은 시큰둥했다고 정은 전했다.

그가 받았다는 MS 대변인의 이메일 내용에 따르면 MS는 “이것은 취약점이 아니다. UAC 디폴트 설정의 목적은 사용자들이 윈도우 설정 변경시 알림 메시지가 뜨지 않게 하는 것”이라며 “UAC 프람프팅(prompting) 레벨의 변경도 이에 포함된다”고 설명했다.

또한 “마이크로소프트는 UAC의 UAC 프람프팅 행위의 유용성에 관한 피드백을 받아 그 피드백에 따라 변경해왔다”며 “UAC는 표준 사용자가 자신의 권한으로서 소프트웨어를 구동할 수 있도록 의도된 기능”이라고 강조했다.

아울러 “사용자의 인지없이 변경될 수 있는 유일한 방법은 이미 박스에 구동되고 있는 악성 코드에 의한 것 뿐”이라며 “이미 어떤 것이 침해되었을 경우에만 악성 코드가 박스에 존재할 수 있다”고 답했다고 정은 공개했다.

이에 상당수 해외 네티즌들은 “MS의 태도에 실망스럽다”는 반응을 보이고 있다. 한편, 윈도우 7 정식 버전에서 이 이슈가 어떻게 해결될지는 아직 알려지지 않고 있다.
[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>