보안뉴스_뉴스

최종편집 : 2010.9.3(금) 17시 27분

뉴스 | 컨텐츠 | 서비스 | 커뮤니티 | TV

보안 운영 관리

네트워크 보안

물리 보안

기타

로그인 객원기자로그인 회원가입 기사제보 스크랩

Home > 보안뉴스 > ITㆍ인터넷

[외신] 윈도우 7 베타버전 UAC기능, 보안 취약 논쟁

[입력날짜: 2009-02-02 15:30]

최근 베타버전이 공개된 윈도우 7의 UAC 기능이 보안에 취약하다는 주장이 제기돼 국내외 블로거들의 관심을 끌고 있다.

▲ 윈도우 7 한글판 UAC 설정창
중국 출신으로 호주에 거주중인 멀티미디어 시스템 연구자 롱 정(Long Zheng)은 지난 30일(현지 시간) 자신의 블로그 “i started Something.com”를 통해 윈도우 7의 UAC 기능이 보안에 취약하다고 주장했다.

그는 “보안 문제 때문이 이 ‘취약점’을 공개하게 됐다”며, 특히 이 문제에 대해 “의도적”인 것일뿐 취약점이 아니라는 마이크로소프트의 대응에 대한 실망해 이 내용에 대해 공개함으로써 MS의 태도에 변화를 유도하고자 하는 의도임을 강조했다.

윈도우 비스타의 단점 중 하나로 지적되던 UAC(User Account Control) 기능이 윈도우 7 베타버전에서는 비스타에 비해 “덜 거슬리는” 기능으로 변화했다. 즉, 보안 인증이 된 제어판 아이템들과 관련해 사용자가 시스템 설정을 변경한다 하더라도 UAC가 뜨지 않아 사용자의 불편함이 줄어들었다.

그러나 문제는 이 기능에 사용자의 인터액션이 필요치 않아 맬웨어 실행에도 무방비 할 수 있다는 것. 즉, 이것이 UAC 변경 자체도 “윈도우 설정 변경”으로 인지한다는 점이다. 따라서 UAC가 변경, 혹은 아예 비활성화 되더라도 알림 메시지가 나타나지 않게 된다.

이에 정(Zheng)은 미국의 라파엘 리베라(Rafael Rivera)와 함께 키보드 입력의 시퀀스를 에뮬레이트 해 사용자 인터액션없이 UAC가 뜨지 않게 하는 VBScript의 POC를 작성, 블로그를 통해 이를 공개했다. 아울러 이것이 심각한 보안 이슈가 될 수 있다는 판단으로 MS를 접촉했으나 MS의 반응은 시큰둥했다고 정은 전했다.

그가 받았다는 MS 대변인의 이메일 내용에 따르면 MS는 “이것은 취약점이 아니다. UAC 디폴트 설정의 목적은 사용자들이 윈도우 설정 변경시 알림 메시지가 뜨지 않게 하는 것”이라며 “UAC 프람프팅(prompting) 레벨의 변경도 이에 포함된다”고 설명했다.

또한 “마이크로소프트는 UAC의 UAC 프람프팅 행위의 유용성에 관한 피드백을 받아 그 피드백에 따라 변경해왔다”며 “UAC는 표준 사용자가 자신의 권한으로서 소프트웨어를 구동할 수 있도록 의도된 기능”이라고 강조했다.

아울러 “사용자의 인지없이 변경될 수 있는 유일한 방법은 이미 박스에 구동되고 있는 악성 코드에 의한 것 뿐”이라며 “이미 어떤 것이 침해되었을 경우에만 악성 코드가 박스에 존재할 수 있다”고 답했다고 정은 공개했다.

이에 상당수 해외 네티즌들은 “MS의 태도에 실망스럽다”는 반응을 보이고 있다. 한편, 윈도우 7 정식 버전에서 이 이슈가 어떻게 해결될지는 아직 알려지지 않고 있다.

[김동빈 기자(foregin@boannews.com)]

김동빈기자 의 다른 기사보기

윈도우7, UAC, LongZheng

※ 비회원님도 자유롭게 댓글을 입력할 수 있습니다.

작성자 :

비밀번호 :

오른쪽에서 빨간 숫자를 입력하세요.

작성자 님의 의견 / 2009-02-02

뭐 Windows XP 단종부터 마이크로소프트가 이렇죠...
아닌가요?

2010년 9월 3일 (금)


	중소기업 기술보호상담센터, ...
	하우리 ‘바이로봇’, 4년여...
	하이닉스의 보안 체계에 주목...
	강원도, ‘지방행정정보화 연...
	현금인출기로 지뢰찾기 게임을...
	안양호 행안부 차관, 정부통...
	신도리코, 보안강화·고객맞춤...

스마트폰OS 중 보안 측면에서 가장 안전한 OS는 무엇이라고 생각하시나요?
	아이폰

	안드로이드폰

	윈도우모바일폰

	모두 불안하다

	모두 안전하다

인터넷보안	바이러스, 방화벽, IDS, IPS, VPN, PC보안...	영상감시	박스형 카메라, 네트워크 카메라, 무선 카메라...
출입통제	지문인식, 홍채인식, 장문인식, 혈관인식, 얼굴인식..	홈시큐리티	홈오토메이션, 비디오 · 도어폰, 디지털 도어록...
산업보안	도청탐지기, 시큐리티 게이트, 데이터 유출방지기...	기타/보안기기	셔터 감지기, 마이크로웨이브 감지기, 진동 센서...
관련사이트	정부부처, 산하기관, 협회 · 협의회, 학회, 기타단체...