Offcanvas

보안 / 악성코드

돌연 취소된 MS 2월 보안 업데이트··· 보안 전문가들, "뾰족한 수 없다"

2017.02.21 Gregg Keizer  |  Computerworld
지난주 마이크로소프트는 윈도우 및 오피스를 포함한 기타 제품에 대한 2월 보안 업데이트 배포를 취소한다고 밝혔다. 업데이트 배포가 지연될 것이라고 발표한 지 하루 만에 취소 결정이 발표된 것이다.



패치 전문가들은 이번 결정에 대해 우려를 제기하고 있다. 알려진 취약성이 패치 되지 않은 상태로 유지될 것이며 그 결과 IT계획에 차질이 발생할 수 있다는 지적이다.

패치 관리 벤더 이반티(Ivanty)의 제품 관리자 크리스 고틀은 “충격을 받았다. (패치가 공개되기를) 학수고대하고 있었다”라고 말했다.

지난 14일 2월의 패치 화요일(Patch Tuesday) 업데이트가 공개되기 몇 시간 전 마이크로소프트는 패치 배포가 지연될 예정이라고 발표했다. 이 기업은 “일부 고객들에게 영향을 끼칠 수 있는 문제가 발견됐으며, 계획된 업데이트 일정에 맞추어 해결하지 못했다”라고 밝혔다. 이는 2월의 보안 픽스(Fix)가 문제 해결 이후에 제공될 것이라는 의미였다.

하지만 15일 마이크로소프트는 이 발표를 번복했다. 회사는 “2017년 3월 14일에 계획된 3월 업데이트 화요일에 업데이트를 제공하겠다"라고 밝혔다. 참고로 마이크로소프트는 더욱 널리 사용되는 ‘패치 화요일’(Patch Tuesday)이라는 용어보다 ‘업데이트 화요일’(Update Tuesday)이라는 용어를 선호한다.

월간 업데이트 누락은 예상 못한 문제였다. 2003년 정기 업데이트 출범 이후로 마이크로소프트가 패치 화요일을 4번(마지막은 2007년 3월) 누락하기는 했지만 패치가 준비되지 않았을 때의 문제였다. 픽스가 준비됐는데도 불구하고 어긴 적은 없었다.

기업 IT 관리자들이 업데이트 지식을 논의하는 ‘PatchMangement.org’ 메일링 목록 운영자 수잔 브래들리는 “아무 것도 준비되지 않았던 예전과 다른 상황이다. 패치는 준비되어 있었다. 단지, 이유가 어찌되었든 제공하지 못한 것이다”라고 말했다. 브래들리는 윈도우의 비밀(Windows Secrets) 소식지에 마이크로소프트의 패치 과정에 관해 기고하고 있다.

마이크로소프트는 지연의 이유 또는 이로 인한 월간 패치 취소의 이유에 대해 밝히지 않았다.

마이크로소프트가 해명하지 않으면서 의혹이 증폭되고 있다. 일각에서는 하나의 패치 결함으로 인해 전체가 보류되었다고 말하고 있지만 고틀은 개연성이 낮다고 평가하며, 윈도우의 취약성에 대한 패치와는 별개로 오피스 패치가 제공된다는 점을 지적했다. 윈도우의 패치 중 하나로 인해 윈도우 누적 업데이트가 지연되었더라도 오피스 업데이트는 제공되었어야 했다는 설명이다.

고틀은 취소의 범위(업데이트 전체)로 보아 해당 기업의 업데이트 서비스 인프라에 문제가 생겼을 수 있다고 추정했다. 지난 17일 인터뷰에서 그는 자신의 의견을 고수했다. “단순한 패치 이상의 문제이다. 윈도우 업데이트(Windows Update)나 업데이트 복제 프로세스에 문제가 있는 것이다”라고 말했다.

브래들리는 마이크로소프트의 정보 제공 거부는 추측만 부추길 뿐이라고 비난했다. 그녀는 “(업데이트) 공개 엔진에 문제가 있는 것 같지만 단순한 추측일 뿐이다”라고 말했다.

한편 IT 관리자들이 받는 영향에 대한 질문에 전문가들은 2월의 업데이트 취소가 파괴적인 수준은 아닐지언정 윈도우 고객들에게 영향을 끼칠 수 있다고 평가했다. 고틀은 “다음 달에 대한 (업데이트 배치) 계획 변경 등의 사소한 문제는 있을 것이다”라고 대답했다. 브래들리는 “영향이 있을까? 업계 동료들의 이야기를 들어보면 충분히 가능하다고 생각된다”라고 말했다.

그에 따르면 보안 전문가들은 2월 패치가 없다면 현재 알려진 취약성을 이용한 익스플로잇(Exploit) 공격으로 인해 일부 시스템이 공격을 당할 수 있을 것으로 우려하고 있다. 브래들리는 구체적인 사례를 들었다.

그는 “가령 3월까지 윈도우 8 및 윈도우 10 PC에서 이번 달의 어도비 플래시(Flash) 업데이트를 받을 수 없기 때문에 시한폭탄을 들고 있는 것과 마찬가지이다. 이제 SMB 제로데이(Zero-Day) 서비스 거부 (취약성) 매개체를 조사할 필요가 있다”라고 말했다.

이 윈도우 취약성은 2월 2일에 공개됐으며 화요일에 제공될 계획이었던 패치로 수정될 예정이었다.

3월 보안 업데이트에는 2개월 분량의 크기와 복잡성으로 인해 실수가 발생할 수도 있다는 지적도 있었다. 고틀은 “변화도 두 배, 고장 확률도 두 배가 될 것이다”라고 말했다.

패치 전문가뿐만이 아니라 IT관리자와 윈도우 사용자들이 불평하는 현실은, 어찌되었든 마이크로소프트의 매출이나 명성이 크게 영향을 받지 않을 것이라는 점이다. 브래들리는 “윈도우를 사용한다면 받아들일 수 밖에 없다”라며 하지만 그렇다고 해서 고객들이 당연한 것으로 여겨서는 안 된다고 지적했다. 브래들리는 “그들에게 대안이 없다면 우리에게도 방법이 없다”라고 말했다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.