원격제어의 명가 - 아란타(주)

게시물 제목
MS, 드디어 보안에 눈돌리다

작성일
2001-06-11

[2001/06/11]
러브 바이러스 이후 전략 수립·정책 강화

아이러브유(ILoveYou) 바이러스로 아웃룩 메시징 소프트웨어의 취약점이 드러나면서 마이크로소프트는 보안 문제에 대해 새롭게 고민하고 있다.

1년 전 아웃룩 사용자들의 그래픽과 오디오 파일을 완전히 망가뜨리고 전자우편 서버를 마비시킨 이 악명 높은 바이러스로 인해, 마이크로소프트는 자사에서 개발하는 모든 소프트웨어에 보안 기능을 지원한다는 광범위한 전략을 진행해 왔다.

실제로 이런 움직임은 지난 수년 동안 사용 편이성 위주로 개발해온 마이크로소프트로서는 획기적인 사건이 아닐 수 없다. 마이크로소프트 임원들은 패치가 거의 필요 없는 보안 소프트웨어를 출시하면서 이번 전략을 통해 마이크로소프트가 보안 문제를 등한시해 왔다는 오명을 씻을 수 있기를 바라고 있다.

4월 초 RSA 보안 컨퍼런스에서 마이크로소프트의 보안 프로그램 관리자인 스콧 컬프는 “과거 보안 정책과는 전혀 다른 획기적인 전환점을 마련했다. 모든 소프트웨어가 취약점과 버그가 있다는 사실을 알게 됐으며 이 문제를 해결할 것”이라고 기존과는 전혀 다른 태도를 보였다.

마이크로소프트의 관계자에 따르면 지난해 러브버그 바이러스의 공격 이후 최고 경영진들이 보안과 관련된 정책이나 규정을 직접 하달하고 있다고 한다. 이번 전시회에서 발표된 마이크로소프트의 전략들은 180도 다른 방향으로의 선회를 예고하고 있다.

첫 번째 징후로는 윈도우 XP 클라이언트와 휘슬러 서버의 SRP(Software Restriction Policies)를 들 수 있다.

이는 ‘관리형 코드’ 기능으로 관리자가 정책을 설정하고 실행을 허용할 코드를 선택할 수 있으며 사용자의 시스템에서 프로그램을 실행하는 방법과 시기도 선택할 수 있다. 예를 들어 비주얼베이직 스크립트 파일은 스크립트 코드에 디지털 서명이 포함된 경우를 제외하면 렌더링을 해도 무용지물이 된다.

이런 방법으로 러브버그와 같은 웜 바이러스로 윈도우를 해킹하는 것을 방지할 수 있을 것이라는 기대다.

PwC(PricewaterhouseCoopers)의 보안 실무 담당 수석 관리자인 데이비드 톰슨은 “대단한 기능이지만 제품이 실제로 출시되고 직접 사용해 봐야만 결과를 알 수 있다.

그동안 보안과 관련된 발표가 세 번 정도 있었지만 마이크로소프트와 같은 주요 운영체제 업체가 이 같은 발표를 했다는 것이 의미있다. 썬 마이크로시스템은 아직 이와 같은 발표를 하지 않았다”고 말했다.

Top

취약한 보안 인정, 정책 변화 선포
마이크로소프트는 취약점이나 보안 사고에 대응하는 절차도 개선했다. 마이크로소프트는 패치와 관련해 등급 시스템을 개발하고 있다.

이는 고객들이 패치를 즉시 설치할 것인지 아니면 서버 유지 보수 예정일이 돌아올 때까지 기다릴 것인지 여부를 결정할 수 있도록 하고 있다.

관계자들은 마이크로소프트가 리부팅 없이 필요할 경우 언제든지 설치할 수 있는 ‘핫픽스’를 지원할 것이라고 말했다.

마이크로소프트가 자사 제품의 보안 강화를 위해 전력 투구했다는 사실은 인정하지만 대다수의 고객들은 아직도 해결해야 할 문제가 많다고 불만이다. 스내퍼(Snapper)의 CIO인 하워드 존스는 “보안을 심각하게 받아들일 필요가 있다. 모든 운영체제에서 보안 기능을 강화할 필요가 있다”고 강조했다.

이는 마이크로소프트의 또다른 프로그램인 SWI(Secure Windows Initiatives)의 목표이기도 하다. SWI에는 개발자를 위한 연속적인 교육 프로그램과 새로운 코드를 위한 내·외부 테스트 절차가 포함돼 있다. 결국 윈도우 소스 코드를 외부에 공개하는 것에 인색했던 마이크로소프트는 대학이나 보안 전문가들에게 코드를 공개하기 시작해 취약점을 찾도록 하고 있다.

마이크로소프트의 보안을 위한 새로운 노력으로 SSPP(Security Services Partner Program)를 들 수 있다. SSPP에는 컴퓨터 사이언스, 가던트, 파운드스톤 등 총 50개 기업이 참여하고 있다.

또 파운드스톤과 가던트는 마이크로소프트 환경을 위해 개발한 새로운 관리형 보안 서비스를 발표했다.

파운드스톤의 윈도우용 ‘파운드스캔 매니지드 시큐리티 서비스(FoundScan Managed Security Services for Win-dows)’는 정기 서비스로 취약점 평가와 침입 탐지 서비스를 월 7000달러에 지원하고 있다.

가던트의 마이크로소프트 ISA(Internet Security & Acceleration) 서버용 관리형 보안 서비스는 6월부터 서비스 수준에 따라 월 2000달러에 지원될 예정이다.

일부 개발자들은 이달 오피스 XP 패키지로 함께 출시될 아웃룩 2002의 새로운 보안 기능을 지적하면서 마이크로소프트가 상당한 수준의 보안 서비스를 지원할 것으로 생각하고 있다. 아웃룩 2002의 새로운 보안 기능은 전자우편의 모든 첨부 파일을