2012.10.09

MS, IE10 긴급 보안 패치 ··· 구글 해킹대회 대응책?

Gregg Keizer | Computerworld
플래시 보안 업데이트가 갑작스럽게 단행됐다. 구글이 10일(이하 현지시각)부터 시작하는 총상금 200만달러(약 22억원) 규모의 '피우니움'(Pwnium) 해킹 대회를 대비한 조치라는 분석이 나오고 있다.
 
어도비는 8일 플래시 플레이어 소프트웨어의 25가지 치명적인 보안약점을 보완한 대규모 업데이트를 발표했다. 어도비 측은 업데이트가 3단계로 진행되며 최우선 패치 대상인 윈도우 사용자용 패치가 72시간 이내에 적용된다고 밝혔다. 패치 우선순위는 보안 취약점이 노리는 운영체제와 취약점의 위험도 등에 따라 결정된다.
 
구글 역시 8일 플래시 플레이어가 포함된 윈도우용 크롬의 업데이트를 발표했다. MS는 윈도우8용 인터넷 익스플로러(IE10)을 지난 7일 다운로드 웹사이트에 등록했다고 밝혔지만 개발자들은 날짜가 잘못됐다고 지적한다. 실제로는 MS 역시 구글처럼 8일부터 윈도우 업데이트를 통해 IE10 업데이트를 제공하기 시작했다.
 
이번에 패치가 이뤄진 25개 보안취약점 가운데 14개는 버퍼 오버플로우 버그로 밝혀졌다. 다른 11개는 메모리 손상에 대한 오류로 확인됐다. 어도비 측은 이 보안취약점들을 이용하면 악성 코드를 실행할 수 있다고 설명했다.
 
MS의 이례적으로 빠른 패치는 지난 달의 사례와 큰 대조를 이룬다. 당시 MS는 10월말까지 플래시 보안취약점을 업데이트하지 않을 것이라고 발표했다가 무책임한 태도라는 비난이 폭주하자 이를 번복하는 소동을 벌인 바 있다. 이어 MS는 어도비와 공동으로 대응할 것이라고 밝혔고 이것이 지난 9월 21일이었다.
 
엔서클 시큐리티(nCircle Security)의 보안 담당 이사인 앤드류 스톰은 이 예상치 못한 플래시 업데이트의 배경에 구글이 있다고 분석하고 있다.

그는 "9일이 MS의 정비 보안패치 발표 예정일임을 고려하면 서로 협력하고 있다고 말하는 MS와 어도비가 하루를 기다리지 못한 다른 이유가 있을 것"이라며 "해커들에게 공격받을 부분을 없다는 어도비의 주장에도 불구하고 구글의 해킹대회 '피우니움'에서 보안취약점이 발견될 수 있다는 우려가 있었고 이것이 두 기업을 제휴하게 만든 것으로 보인다"라고 말했다.
 
스톰의 가설에 따르면 어도비는 플래시 업데이트를 신속히 실행하도록 압력을 받았을 것이다. 당장 구글이 10일부터 말레이시아 쿠알라룸푸르에서 대규모 해킹대회 '피우니움'을 시작하기 때문이다. 실제로 구글의 보안 전문가들은 어도비의 25개 보안취약점 가운데 24개를 찾아내 크롬을 패치했고 이것은 실제 경연대회에서 해커의 공격으로부터 크롬을 더 안전하게 보호하게 될 것이다.
 
구글은 지난 8월 피우니움 개최를 공식 발표하면서 200만 달러를 준비했다. 소프트웨어에서 버그를 발견한 연구자에게 상금으로 지급하기 위해서다. 구글은 크롬에서 보안취약점을 발견할 경우 6만달러(약 6,700만원), 크롬과 다른 소프트웨어를 함께 사용하는 경우 5만달러(약 5,600만원), 비구글소프트웨어 대해서는 4만달러(약 4,400만원)를 각각 지급할 예정이다.
 
스톰은 MS와 어도비, 구글의 플래시 업데이트를 보고 있으면 뒷맛이 씁쓸하다고 지적했다. 그는 "이번 사례처럼 패치 절반은 정책적으로 업데이트하고 절반은 정기 업데이트를 통해 업데이트하는 것은 결국 혼란을 불러 일으킨다"며 "특히 플래시 플레이어 업데이트를 발표하고 다시 결별한 MS와 어도비를 보고 있으면 이것이야 말로 더 이상의 보안경고가 없는 '제로데이'(zero-day)가 아니겠는가"라고 말했다. 제로데이란 보안 취약점을 발견한 후 이를 수정하는 패치가 발표되기 이전에 해킹하는 수법을 의미한다.

스톰은 MS가 8일 발표한 패치 대해 "정기 업데이트 날짜인 9일까지 이 패치를 기다려고 괜찮을 것"이라고 말했다. 윈도우8 사용자들은 윈도우 업데이트 서비스 또는 기업용 WSUS(Windows Server Update Services)를 통해 IE10용 플래시 업데이트를 할 수 있다.

한편 이번 패치 발표로 어도비는 올해에만 8번의 플래시 업데이트를 발표한 셈이 됐다. 2월에 한번, 3월에 두번, 5월과 6월에 각각 한번, 8월에 두번, 그리고 9월에 한번이다. editor@idg.co.kr



2012.10.09

MS, IE10 긴급 보안 패치 ··· 구글 해킹대회 대응책?

Gregg Keizer | Computerworld
플래시 보안 업데이트가 갑작스럽게 단행됐다. 구글이 10일(이하 현지시각)부터 시작하는 총상금 200만달러(약 22억원) 규모의 '피우니움'(Pwnium) 해킹 대회를 대비한 조치라는 분석이 나오고 있다.
 
어도비는 8일 플래시 플레이어 소프트웨어의 25가지 치명적인 보안약점을 보완한 대규모 업데이트를 발표했다. 어도비 측은 업데이트가 3단계로 진행되며 최우선 패치 대상인 윈도우 사용자용 패치가 72시간 이내에 적용된다고 밝혔다. 패치 우선순위는 보안 취약점이 노리는 운영체제와 취약점의 위험도 등에 따라 결정된다.
 
구글 역시 8일 플래시 플레이어가 포함된 윈도우용 크롬의 업데이트를 발표했다. MS는 윈도우8용 인터넷 익스플로러(IE10)을 지난 7일 다운로드 웹사이트에 등록했다고 밝혔지만 개발자들은 날짜가 잘못됐다고 지적한다. 실제로는 MS 역시 구글처럼 8일부터 윈도우 업데이트를 통해 IE10 업데이트를 제공하기 시작했다.
 
이번에 패치가 이뤄진 25개 보안취약점 가운데 14개는 버퍼 오버플로우 버그로 밝혀졌다. 다른 11개는 메모리 손상에 대한 오류로 확인됐다. 어도비 측은 이 보안취약점들을 이용하면 악성 코드를 실행할 수 있다고 설명했다.
 
MS의 이례적으로 빠른 패치는 지난 달의 사례와 큰 대조를 이룬다. 당시 MS는 10월말까지 플래시 보안취약점을 업데이트하지 않을 것이라고 발표했다가 무책임한 태도라는 비난이 폭주하자 이를 번복하는 소동을 벌인 바 있다. 이어 MS는 어도비와 공동으로 대응할 것이라고 밝혔고 이것이 지난 9월 21일이었다.
 
엔서클 시큐리티(nCircle Security)의 보안 담당 이사인 앤드류 스톰은 이 예상치 못한 플래시 업데이트의 배경에 구글이 있다고 분석하고 있다.

그는 "9일이 MS의 정비 보안패치 발표 예정일임을 고려하면 서로 협력하고 있다고 말하는 MS와 어도비가 하루를 기다리지 못한 다른 이유가 있을 것"이라며 "해커들에게 공격받을 부분을 없다는 어도비의 주장에도 불구하고 구글의 해킹대회 '피우니움'에서 보안취약점이 발견될 수 있다는 우려가 있었고 이것이 두 기업을 제휴하게 만든 것으로 보인다"라고 말했다.
 
스톰의 가설에 따르면 어도비는 플래시 업데이트를 신속히 실행하도록 압력을 받았을 것이다. 당장 구글이 10일부터 말레이시아 쿠알라룸푸르에서 대규모 해킹대회 '피우니움'을 시작하기 때문이다. 실제로 구글의 보안 전문가들은 어도비의 25개 보안취약점 가운데 24개를 찾아내 크롬을 패치했고 이것은 실제 경연대회에서 해커의 공격으로부터 크롬을 더 안전하게 보호하게 될 것이다.
 
구글은 지난 8월 피우니움 개최를 공식 발표하면서 200만 달러를 준비했다. 소프트웨어에서 버그를 발견한 연구자에게 상금으로 지급하기 위해서다. 구글은 크롬에서 보안취약점을 발견할 경우 6만달러(약 6,700만원), 크롬과 다른 소프트웨어를 함께 사용하는 경우 5만달러(약 5,600만원), 비구글소프트웨어 대해서는 4만달러(약 4,400만원)를 각각 지급할 예정이다.
 
스톰은 MS와 어도비, 구글의 플래시 업데이트를 보고 있으면 뒷맛이 씁쓸하다고 지적했다. 그는 "이번 사례처럼 패치 절반은 정책적으로 업데이트하고 절반은 정기 업데이트를 통해 업데이트하는 것은 결국 혼란을 불러 일으킨다"며 "특히 플래시 플레이어 업데이트를 발표하고 다시 결별한 MS와 어도비를 보고 있으면 이것이야 말로 더 이상의 보안경고가 없는 '제로데이'(zero-day)가 아니겠는가"라고 말했다. 제로데이란 보안 취약점을 발견한 후 이를 수정하는 패치가 발표되기 이전에 해킹하는 수법을 의미한다.

스톰은 MS가 8일 발표한 패치 대해 "정기 업데이트 날짜인 9일까지 이 패치를 기다려고 괜찮을 것"이라고 말했다. 윈도우8 사용자들은 윈도우 업데이트 서비스 또는 기업용 WSUS(Windows Server Update Services)를 통해 IE10용 플래시 업데이트를 할 수 있다.

한편 이번 패치 발표로 어도비는 올해에만 8번의 플래시 업데이트를 발표한 셈이 됐다. 2월에 한번, 3월에 두번, 5월과 6월에 각각 한번, 8월에 두번, 그리고 9월에 한번이다. editor@idg.co.kr

X