MS "웹3D 표준 기술은 보안에 취약"…왜?

마이크로소프트(MS)는 구글, 모질라, 오페라소프트웨어, 애플이 지지하는 '웹3D 표준'이 보안에 해로운 기술이라고 지목했다. 웹기반 3D 처리 기술을 놓고 4대 브라우저 개발사와 엇갈린 행보로 주목된다.

MS는 최근 공식 보안 블로그를 통해 '웹GL(WebGL)' 코드가 보안취약점을 수정하기 어려운 쪽으로 바뀌는 것처럼 여겨진다며, 현상태로는 보안 관점에서 자사가 추천할 수 있을만한 기술이 아니라고 지적했다. 웹GL은 브라우저 안에서 3D그래픽을 표시하기 위한 웹표준 기반 애플리케이션 프로그래밍 인터페이스(API)다.

■웹GL에 기반한 시스템 보안 취약성

MS측은 분석 결과 자사가 웹GL을 지원할 경우 '보안 개발 라이프사이클'이라는 자사 보안 적합성 검사를 통과하기 어렵다는 결론을 내렸다고 설명했다.

우선 웹GL을 지원하는 브라우저는 웹 사용자가 생각하는 것 이상으로 과도한 하드웨어 기능을 끌어오는 데 악용될 수 있는 게 문제로 꼽힌다. 웹GL를 쓴 웹사이트를 열 때 시스템에 무리를 줄 수 있는 공격에 노출된다는 얘기다. MS는 분석 결과 특정 그래픽카드나 플랫폼 사용시 잠재적으로 공격을 야기할 수 있는 버그를 발견했다고 전했다.

또한 웹GL API 자체만의 문제가 아니라 하드웨어 개발사(IHV)가 만드는 부품과 연계된 문제도 지적됐다. 브라우저가 하드웨어 설정값을 무시하고 관련 기능을 사용하는 경우가 나올 수 있기 때문이다.

MS는 사용자가 장치 드라이버를 최신 버전으로 설치해 이 문제에 대응할 수도 있지만 '안전한 웹 경험'을 위해 그래픽카드 소프트웨어(SW)를 최신 상태로 유지해야 한다는 점을 납득할 수 없을 것이라고 지적한다. IHV 역시 해당 드라이버를 웹보안 때문에 브라우저에 맞춰 업그레이드해주긴 무리라고 덧붙였다.

마지막으로 문제될만한 시나리오는 시스템에 대한 서비스 거부(DoS) 공격이다. MS는 현대적인 운영체제(OS)와 그래픽 인프라가 공격자로부터 들어오는 셰이더, 지오메트리 데이터를 완전히 막아낼 수 있게 설계되지 않았다고 판단한다. 3D 시각 정보를 모두 처리하지 못할 정도로 흘려보내 시스템에 무리를 주는 공격이 가능하단 얘기다. 웹3D 공격으로 시스템이 멈춰버리거나 재시작되는 상황을 이끌어낼 수 있게 된다.

■MS vs. 모질라, 구글, 애플, 오페라소프트웨어?

이에 대해 미국 씨넷은 MS가 세계적인 3D 웹 그래픽 표준을 애호하는 팬들에게 상처를 줄 수 있는 의견에 무게를 더하고 있다고 보도했다. 웹기반 애플리케이션, 특히 3D를 많이 쓸 수 있는 게임 개발 영역에서 풀기 어려운 문제를 화두로 던졌다는 평가다.

일례로 최근 구글은 인체 해부도를 3D 웹 그래픽으로 표현한 '구글 보디'를 선보이며 웹GL 기술을 적극 활용했음을 드러냈다. 구글 보디는 웹기술만으로 인체 각 부위의 조직과 장기와 골격 등을 세밀하게 구현한 입체 모형이다.

주로 데스크톱 3D콘텐츠용으로 쓰이는 오픈소스 그래픽라이브러리 '오픈GL(OpenGL)'을 만든 비영리조직 크로노스 그룹이 주도한다. 구글, 애플, 모질라, 오페라소프트웨어같은 브라우저업체들도 참여 중이다. 다시 말해 MS는 5대 브라우저 업체 가운데 크로노스 그룹에 속하지 않는 유일한 회사다.

당연히(?) MS는 인터넷 익스플로러(IE) 9 브라우저에서 웹GL을 지원하지 않고 있다. 윈도7과 비스타에서만 돌아가는 IE9는 GPU 가속을 통해 빠른 그래픽 처리 성능을 보여주긴 하지만 웹표준 3D 콘텐츠 표시를 구현하진 않는다는 얘기다.