Home > 전체기사
한컴, 치명적 취약점 제보 몰랐나? 결국 온라인에 공개
  |  입력 : 2012-02-13 10:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

임의의 코드 실행 가능... 위험도 ‘매우 치명적’으로 분류돼

한글과컴퓨터 “이번 주 패치 배포할 것”

 

[보안뉴스 호애진] 한컴 오피스(HWP) 2010 SE의 제로데이 취약점 2건이 공개됐다. 보안업체 시큐니아(Secunia)는 7일 자사의 권고문을 통해 관련 정보를 공개하고, 이는 한글 문서에 포함된 이미지 파일을 처리하는 과정에서 인티저 오버플로우(Integer Overflow)를 야기시켜 임의의 코드 실행이 가능한 문제점이라고 밝혔다.

 


해당 취약점 2건은 티엘레이 왕(Tielei Wang)이라는 중국의 한 연구원이 발견한 것으로 발견 후 이를 시큐니아에 보고했다. 시큐니아의 경우, 각종 제로데이 취약점을 보고 받아 이를 해당 업체에 통보하는데, 보통 패치될 때까지 기다린 후 이를 공개하는 것이 정석이다. 악용될 소지가 있기 때문이다.


그러나 이 취약점들은 패치가 되지 않은 채 공개됐다. 왜일까. “시큐니아는 이를 공개하기 전 한글과컴퓨터 측에 연락을 계속 시도했으나 회사가 아무런 답변도, 반응도 보이지 않자 결국 자사의 정책에 따라 이를 공개했다”고 티엘레이 왕은 밝혔다.


시큐니아의 공개정책에 따르면, 공식적으로 공개시점을 약 2주 후로 정하고 연락을 시도한다. 그리고 이 과정서 회사가 패치하는 데 시간이 더 필요하다고 하면 기간을 조정한다. 그러나 회사가 이 기간 내 아무런 반응을 보이지 않으면 그대로 공개하는 것이 원칙이다(아래 공개정책 참조. 11개의 조항으로 이뤄졌다).

이에 대해 티엘레이 왕은 보안뉴스를 통해 유감을 표했다. 분명 시큐니아에 보고한 것은 선의의 의도였지만, 자신이 발견한 취약점이 악용될 수 있다는 데 우려할 수 밖에 없는 것.


사실상 많은 이들이 취약점을 발견하고서도 이를 공개하는 데 애를 먹는다. 해당 업체에 연락하면 무시하기 일쑤고, 화를 내거나 심지어는 협박까지 하기 때문이다. 이에 전문적으로 취약점을 보고 받는 시큐니아 같은 업체를 통해 공개한다.


티엘레이 왕도 이러한 현실을 알기 때문에 한글과컴퓨터에 직접 연락하지 않고 시큐니아에 보고했다고 전했다. 그러나 한글과컴퓨터의 무반응에 해당 취약점들이 패치도 되기 전에 공개되는 이런 상황이 벌어질 줄은 몰랐던 것.


시큐니아는 이 취약점들의 위험도를 ‘매우 치명적’으로 분류했다. 그만큼 심각한 보안 위협이며, 악의적인 해커가 이를 이용해 익스플로잇을 만드는 건 시간문제가 됐다. 그리고 이제 피해는 고스란히 한컴 오피스 사용자들의 몫이 됐다.

 

한편, 한글과컴퓨터는 “시큐니아로부터 연락을 받은 적이 없다”며, “9일 한국인터넷진흥원(KISA)로부터 이를 통보받은 상황으로 이번주 내 패치를 배포할 계획“이라고 밝혔다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)