Offcanvas

보안 / 애플리케이션 / 운영체제

마이크로소프트 "윈도우 보안 업데이트 전 최신 안티바이러스 설치 필요"

2018.01.12 Gregg Keizer  |  Computerworld
멜트다운(Meltdown)과 스펙트라(Spectre) 결함을 이용하는 공격을 막는데 필요한 업데이트를 하려면 PC에 최신 안티바이러스 소프트웨어가 있어야 한다는 경고가 나타난다. 마이크로소프트가 최근 윈도우 사용자가 중요한 보안 업데이트를 하기 전에 PC에 최신 안티바이러스 소프트웨어 설치를 요구하는 전례없는 조치를 취했기 때문이다.

클라이언트 보안 및 관리 업체인 이반티(Ivanti)의 제품 관리자 크리스 고틀은 "그러나 여기에는 위험이 도사리고 있다"고 말했다.


Credit: Getty Images Bank

고틀은 멜트다운 및 스펙트라 취약점을 이용한 잠재적인 공격으로부터 윈도우를 방어하기 위해 마이크로소프트가 지난주 발표한 긴급 업데이트에 대해 연구원들이 제기한 문제에 대해 이야기했다. 운영제체 및 브라우저 제조업체들은 인텔, AMD, ARM과 같은 업체의 최신 프로세서 설계 결함으로 인해 시스템을 강화하기 위해 고안된 업데이트를 제공하고 있다.

위험한 점은 커널 메모리를 부적절하게 이용하는 안티바이러스 소프트웨어로 인해 이번 업데이트가 PC에 영향을 미칠 수 있다는 것이다.

마이크로소프트는 지원 문서에서 "소수의 안티바이러스 소프트웨어 제품과의 호환성 문제를 확인했다"며, "안티바이러스 애플리케이션이 윈도우 커널 메모리가 지원하지 않은 호출을 할 때 호환성 문제가 발생한다. 이런 호출은 기기를 부팅할 수 없게 하는 중지오류(일명 블루스크린 오류)를 유발할 수 있다"고 전했다.

"중지 오류", "블루스크린 오류"는 윈도우 운영체제가 중지되거나 구동할 수 없을 때 나타나는 푸른 화면인데, 윈도우 사용자들에게는 "죽음의 파란 화면(Blue Screen of Death, BSOD)"으로 잘 알려져 있다.

마이크로소프트는 블루스크린을 일으키는 소수의 안티바이러스 제품들을 거론하면서 이 문제의 심각성에 대해 강력한 행동에 나섰다. 마이크로소프트는 "중지 오류를 방지하기 위해… 마이크로소프트는 2018년 1월 3일 릴리스된 윈도우 보안 업데이트를 2018년 1월 윈도우와 호환될 수 있음이 확인된 협력업체의 안티바이러스를 실행하는 기기에만 제공한다"고 밝혔다. 마이크로소프트는 '1월 윈도우 보안 업데이트'와 '호환성 확인'에 대해 강조했다.

달리 말하면, 안티바이러스 제품을 업데이트하지 않으면 1월 4일부터 설치되는 마이크로소프트와 다른 공급업체의 호스트의 윈도우용 멜트다운 및 스펙트라 업데이트가 PC에 제공되지 않는다. 윈도우 7, 윈도우 8.1, 윈도우 10 사용자는 멜트다운 및 스펙트라를 막기 위해서는 안티바이러스 제품을 설치하고 최신 상태를 유지해야 한다.

마이크로소프트는 안티바이러스 소프트웨어 개발자에게 윈도우 레지스트리에 새 키를 작성해 코드가 업데이트와 호환된다는 신호를 보내도록 했다. 사용자는 수동으로 키를 추가해 안티바이러스 요구를 회피할 수 있다. 이 기술은 합법적이다. 마이크로소프트는 사용자에게 안티바이러스 소프트웨어를 설치할 수 없거나 실행할 수 없는 경우, 키를 추가하도록 지시했다.

고클은 "마이크로소프트의 이번 행동은 상당히 획기적인데, BSOD가 나타나는 것에 대해서는 선택의 여지가 없었다"며, "마이크로소프트는 사용자들을 나쁜 경험으로부터 보호하기 위한 상당한 주의 의무를 다하는데, 이를 무시하는 선택은 있을 수 없다"고 말했다.

역설적으로 BSOD가 발생한 것은 안티바이러스 명령에 의한 것이 아니다. 버그 패치가 블루스크린을 만든 것이며, AMD 마이크로프로세서가 탑재된 몇 대인지 알 수 없는 수의 PC를 불구로 무력화시켰다. 지난 9일 마이크로소프트는 일부 AMD 기기에 대한 업데이트를 취소했다.

이런 획기적인 방법에 대한 한 가지 문제점은 안티바이러스 제품이 업데이트됐는지 여부를 알지 못하고 윈도우 레지스트리에 새 키를 삽입한다는 것이다. 또한 마이크로소프트는 고객에게 호환되는 안티바이러스 제품 목록을 이유도 없이 제공하지 않았다.

아마도 이런 목록 대신 단순히 사용자가 마이크로소프트 자체 제품인 윈도우 디펜더(Windows Defender, 윈도우 10과 8.1에 기본적으로 설치)와 마이크로소프트 시큐리티 에센셜(Microsoft Security Essentials, 윈도우 7에 기본 설치)을 선택하라는 의도인 듯 하다.

다행히도 보안연구원인 케빈 뷰몬트는 마이크로소프트의 명령을 준수한 안티바이러스 개발업체 목록이 담긴 스프레드시트를 통해 곤란에 처한 사람들을 도와줬다. 일부 안티바이러스 제품은 필요한 키를 설정한 반면, 트렌드마이크로와 같은 제품은 그렇지 않았다. 대신 그들은 사용자가 직접 레지스트리로 들어가거나 엔터프라이즈 환경에서 액티브 디렉터리(Active Directory) 및 그룹 정책을 사용해 변경 사항을 모든 시스템에 적용하도록 했다.

중요한 것은 마이크로소프트 지원 문서를 읽은 사람들조차도 간과한 부분이 있다는 점이다.

이 문서의 마지막 부분에 마이크로소프트는 다음과 같은 냉혹한 언어로 말했다.

"고객들은 안티바이러스 소프트웨어 공급업체가 다음 레지스트리 키를 설정하지 않으면 2018년 1월 보안 업데이트(또는 후속 보안 업데이트)를 받지 못하고 보안 취약점으로부터 보호받지 못할 것이다." 마이크로소프트는 특히 후속 보안 업데이트라는 부분을 강조했다.

윈도우 7, 8.1 및 10은 누적 보안 업데이트로 서비스를 제공하기 때문에 이번 달 픽스뿐만 아니라 지난달 패치도 포함하고 있다. 만약 PC가 1월 업데이트에 접속할 수 없다면 2월, 또는 3월 업데이트에도 접속할 수 없다(예외적으로 조직들은 윈도우 7과 8.1에 대한 보안 전용 업데이트를 배포할 수 있다).

마이크로소프트가 안티바이러스와 레지스트리 키를 요구하는 상황은 한동안 계속될 것으로 보인다. 마이크로소프트는 얼마나 오랜 기간이 지속될지 자신들도 모를 때, 다음과 같은 어렴풋한 말투를 선호한다. 

"마이크로소프트는 보안 업데이트를 설치한 후, 대다수 고객이 기기 충돌을 겪지 않을 것이라는 높은 확신이 있을 때까지 이 요구 사항은 계속 시행할 것이다." 고틀은 "이번 정책이 얼마나 오래 지속될 지는 말하기 어렵다"며, "최소한 몇 개의 패치 주기동안은 계속 될 것이라고 생각한다"고 말했다.

IT 부서는 즉각적으로 그들의 조직에 배포된 안티바이러스 상황을 평가해야 한다. 필요한 경우, 그룹 정책을 사용해 필요한 키를 배포하거나 윈도우 업데이트를 테스팅하고 예상되는 성능 저하에 대비해야 한다.

고틀은 일반 사용자의 경우 일상적인 활동에서 어떤 차이점을 느끼지는 못하지만
스토리지, 높은 네트워크 활용도, 가상화 등 일부 컴퓨팅 영역에서는 그렇지 않을 것이다고 주장했다.

고틀은 "기업들은 이번 업데이트에 신중해야 하며, 배포를 시작하기 전에 철저히 테스트해야 한다. 이번 업데이트는 커널이 작동하는 방식에 근본적인 변화를 가져온다. 이전에 커널 대화가 마치 얼굴을 맞대고 말하는 것 같았다면 이제 자신과 커널은 서로 멀리 떨어져 있다"고 설명했다. editor@itworld.co.kr  
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.