(샌프란시스코=연합뉴스) 임화섭 특파원 = 마이크로소프트(MS)가 윈도 8.1의 보안 취약점을 구글로부터 통보받고도 자그마치 90일이 넘도록 이에 대한 패치를 내놓지 않고 있다는 사실이 드러났다.
http://www.yonhapnews.co.kr/bulletin/2015/01/03/0200000000AKR20150103028900091.HTML?input=1195m
구글 보안 연구원 포셔가 발견한 윈도8.1 권한상승 관련 취약점 POC 화면.
https://code.google.com/p/google-security-research/issues/detail?id=118
구글이 윈도의 보안취약점을 MS에 보고했는 데... 90일이 넘도록 패치가 처리되지않았답니다. 보니까 심각한 권한 취약점인 것 같은 데... 90일이 넘도록 처리되지않은 건... 너무하네요... 그래서 구글이 해당 취약점 내용을 공개한 겁니다..
이런 기사가 나오고, 문제가 이슈화가 되자... 그제서야 MS는 부랴부랴 보안패치 준비에 들어갔다네요... 어딘가 괘씸한 구석이 있는 것 같군요...
구글은 보안취약점을 발견하면, 해당 소프트웨어 회사에 비공개로 제보하고, 90일이 넘어서도 처리되지않으면... 취약점 내용을 공개하는 그런 정책을 쓴다고 합니다.. 이런 구글 정책은 호불호로 갈려... 보안취약점이면 패치가 나올때까지 기다려야한다는 비난이 있습니다.
하지만 저는 개인적으로 구글정책을 옹호하는 편입니다. 누군가가 그 보안취약점을 발견해내고 제보한다면 이미 해커들사이에서 비밀리에 알려져있다고 봅니다. 그 말은 서둘러 패치를 하지않으면... 악용하는 사례가 늘어난다는 걸 뜻하죠.. 더군다나 보안문제 같은 경우는 아주 민감한 사항이죠.. 만약 시간을 넉넉히 줬음에도 불구하고... 서둘러 패치하지않는다면 공개해서라도 문제 심각성을 사용자들에게 알려야 된다고 봅니다..