Home > 전체기사

[외신] 윈도우 7 베타버전 UAC기능, 보안 취약 논쟁

  |  입력 : 2009-02-02 15:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

최근 베타버전이 공개된 윈도우 7의 UAC 기능이 보안에 취약하다는 주장이 제기돼 국내외 블로거들의 관심을 끌고 있다.


 ▲ 윈도우 7 한글판 UAC 설정창

중국 출신으로 호주에 거주중인 멀티미디어 시스템 연구자 롱 정(Long Zheng)은 지난 30일(현지 시간) 자신의 블로그 “i started Something.com”를 통해 윈도우 7의 UAC 기능이 보안에 취약하다고 주장했다.


그는 “보안 문제 때문이 이 ‘취약점’을 공개하게 됐다”며, 특히 이 문제에 대해 “의도적”인 것일뿐 취약점이 아니라는 마이크로소프트의 대응에 대한 실망해 이 내용에 대해 공개함으로써 MS의 태도에 변화를 유도하고자 하는 의도임을 강조했다.


윈도우 비스타의 단점 중 하나로 지적되던 UAC(User Account Control) 기능이 윈도우 7 베타버전에서는 비스타에 비해 “덜 거슬리는” 기능으로 변화했다. 즉, 보안 인증이 된 제어판 아이템들과 관련해 사용자가 시스템 설정을 변경한다 하더라도 UAC가 뜨지 않아 사용자의 불편함이 줄어들었다.


그러나 문제는 이 기능에 사용자의 인터액션이 필요치 않아 맬웨어 실행에도 무방비 할 수 있다는 것. 즉, 이것이 UAC 변경 자체도 “윈도우 설정 변경”으로 인지한다는 점이다. 따라서 UAC가 변경, 혹은 아예 비활성화 되더라도 알림 메시지가 나타나지 않게 된다.


이에 정(Zheng)은 미국의 라파엘 리베라(Rafael Rivera)와 함께 키보드 입력의 시퀀스를 에뮬레이트 해 사용자 인터액션없이 UAC가 뜨지 않게 하는 VBScript의 POC를 작성, 블로그를 통해 이를 공개했다. 아울러 이것이 심각한 보안 이슈가 될 수 있다는 판단으로 MS를 접촉했으나 MS의 반응은 시큰둥했다고 정은 전했다.


그가 받았다는 MS 대변인의 이메일 내용에 따르면 MS는 “이것은 취약점이 아니다. UAC 디폴트 설정의 목적은 사용자들이 윈도우 설정 변경시 알림 메시지가 뜨지 않게 하는 것”이라며 “UAC 프람프팅(prompting) 레벨의 변경도 이에 포함된다”고 설명했다.


또한 “마이크로소프트는 UAC의 UAC 프람프팅 행위의 유용성에 관한 피드백을 받아 그 피드백에 따라 변경해왔다”며 “UAC는 표준 사용자가 자신의 권한으로서 소프트웨어를 구동할 수 있도록 의도된 기능”이라고 강조했다.


아울러 “사용자의 인지없이 변경될 수 있는 유일한 방법은 이미 박스에 구동되고 있는 악성 코드에 의한 것 뿐”이라며 “이미 어떤 것이 침해되었을 경우에만 악성 코드가 박스에 존재할 수 있다”고 답했다고 정은 공개했다.


이에 상당수 해외 네티즌들은 “MS의 태도에 실망스럽다”는 반응을 보이고 있다. 한편, 윈도우 7 정식 버전에서 이 이슈가 어떻게 해결될지는 아직 알려지지 않고 있다.

[김동빈 기자(foregin@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

작성자 2009.02.02 17:16

뭐 Windows XP 단종부터 마이크로소프트가 이렇죠...
아닌가요?


  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)