구글 보안 연구원이 윈도8.1 운영체제(OS)에서 관리자 권한을 가질 수 있게 하는 취약점을 발견하고 마이크로소프트(MS)에 알린 지 90일이 지났으나 아직까지 수정되지 않고 있다는 보도가 나왔다.
미국 지디넷에 따르면 MS는 지난달 31일(현지시간)에 문제를 파악해 이를 해결하기 위한 보안 업데이트를 배포할 계획이라는 입장을 공개했다.
이어 공격자들은 다른 시스템에 침투할 경우 먼저 해당 시스템에 허용된 로그인 정보를 파악해 로그인한다며 고객들이 백신을 최신상태로 유지하고, 모든 보안 업데이트를 실행, 방화벽을 사용할 것을 권고했다.
이에 대해 구글측은 MS에 해당 취약점을 알린 것은 9월 30일이었으며 이후 구글 프로젝트 제로 정책에 따라 처음 통보한 뒤 90일이 지난 시점에 해당 내용을 일반에 공개하게 됐다고 설명했다.
구글 프로젝트 제로는 HP 티핑포인트 사업부에서 운영 중인 제로 데이 이니셔티브(ZDI)와 마찬가지로 아직 보안패치가 발표되지 않은 취약점을 발견한 보안연구원들에게 포상금을 지급하는 제도를 운영하고 있다.
관련기사
- 구글, 클라우드 취약점 발견에 5만달러 포상2015.01.02
- CMS툴 워드프레스-웹사이트베이커서 취약점 급증2015.01.02
- 워드프레스도 해킹위험 높아져2015.01.02
- 암호화 통신 취약점 '푸들', TLS도 영향권2015.01.02
ZDI의 경우 통상 취약점을 발견한 뒤 4개월 동안에는 해당 내용을 일반에게 공개하지 않는다. 관련 업체가 보안패치를 준비할 수 있도록 시간을 벌어주는 것이다. 구글 프로젝트 제로의 경우 이 기간이 3개월이다.새로 발견된 취약점은 일반적인 API를 통해서는 공개된 적이 없는 'AhcVerifyAdminContext'라는 기능을 악용하고 있는 것으로 확인됐다.
포셔는 개념증명(POC)을 통해 관리자 권한으로 윈도용 계산기를 실행하는 모습을 시연하기도 했다. 포셔는 해당 취약점을 발견한 뒤에 9월 30일에 올린 관련 포스팅은 90일 뒤에 MS에서 어떤 보안패치도 이뤄지지 않았을 때 자동으로 공개되도록 했다고 설명했다.
