마이크로소프트(MS)가 윈도 서버용 운영체제(OS)에서 윈도8.1까지 모든 윈도 버전에서 적용되는 보안취약점을 수정한 긴급 보안 패치를 내놨다.
12일(현지시간) 미국 지디넷, 기가옴 등 외신에 따르면 인터넷 익스플로러(IE)에 사용되는 암호화 통신용 보안패키지인 '시큐어채널(Secure Channel)'이 공격 대상이 된다.
이 취약점은 SSL, TLS와 같은 암호화 통신용 프로토콜에 적용된다. 공격자들은 해당 기능을 사용하고 있는 윈도 서버에 특정한 패킷을 전송한 뒤 원하는 악성코드를 원격에서 삽입하는 일이 가능해진다.
심각한 점은 SSL/TLS를 적용하는 과정에서 여러 곳에서 유사한 보안 취약점이 등장하고 있다는 점이다. 애플 시큐어트랜스포트, 오픈SSL, 그누TLS, 모질라 NSS 등 암호화 통신 기능에 대해 수개월 전부터 취약점이 등장하기 시작했다는 설명이다. 아무나 함부로 보지 못하도록 막기위해 사용되는 암호화 통신이 무용지물이 될 수도 있는 셈이다.
관련기사
- 맥 요세미티, 관리자 권한 탈취 취약점 발견2014.11.13
- 어도비 플래시 악용한 악성코드 유포 '주의'2014.11.13
- 삼성電 보안플랫폼 '녹스'서 취약점 발견?2014.11.13
- 애플, 셸쇼크 보안 패치…"빈구멍 남아"2014.11.13
이와 관련 미국 국가안보국(NSA)의 인터넷 감시활동을 폭로한 에드워드 스노든은 NSA는 SSL/TLS, 기타 널리 활용되고 있는 보안 매커니즘을 우회할 수 있는 방법을 알고 있다고 밝힌 바 있다.
MS의 긴급 패치에 대해 오픈소스 소프트웨어 개발자로 여러 프리BSD 프로젝트를 이끈 폴-헤닝 캠프는 트위터를 통해 1개 SSL이 무너진 것은 실수이지만 2개째는 사고이고, 3개째는 (보안업무에) 태만한 것이라며 애플, 오픈SSL + MS = NSA 풀하우스?(Apple, OpenSSL + Microsoft = NSA Full House?)라고 비꼬았다. 세 곳에서 발견된 암호화 통신 관련 취약점들이 NSA에게는 아주 좋은 패라는 것이다.
