블로그 방명록 사전 갤러리 게시판 인클봇 인클챗 웹 IRC
 


자동 업데이트는 보안에 취약하다?

미국 카네기 멜론(Carnegie Mellon) 대학의 연구진이 윈도우의 자동 업데이트(Windows Update, Automatic Update)가 위험하다는 연구 결과를 발표했습니다.

사용자 삽입 이미지

소프트웨어 패치는 어쩔 수 없이 어떤 점이 바뀌었는지에 대한 정보를 가지고 있을 수밖에 없습니다. 이 점은 보안 버그의 경우 특히 심각한데, 연구진에 따르면 몇몇 윈도우 취약점의 경우 패치를 분석하여 해킹 프로그램(exploit)을 만드는 것이 가능했다고 합니다. 또한 패치는 발표되고 나서 몇 분 이내로 바로 구할 수 있다고 하는군요. 따라서 전 세계의 모든 사용자가 자동 업데이트를 통해 패치를 적용하기 전까지 수많은 해킹이 가능할 수 있습니다.

즉, 패치가 이루어지는 '시차'가 문제인 것입니다. 한 번에 전 세계 모든 컴퓨터가 업데이트되면 좋은데, 그럴 수가 없으니까요.

관련 문서에 따르면, 이러한 문제를 완화하기 위한 방식으로 크게 세 가지를 제시하고 있습니다.

1. 난해한 패치(Patch Obfuscation): 무엇이 수정되었는지 정확히 알기 어렵게 합니다. 실제 문제점 말고도 의미 없는 부분을 다량으로 패치하여, 해커를 혼동스럽게 합니다. 단, 패치에서 익스플로잇을 뽑아내는 알고리즘이 좋아지면 무용지물이 되고, 의미 없는 부분이 너무 많아지면 관리하기 어려워져서 역효과가 날 수도 있습니다.
2. 패치 암호화(Patch Encryption): 암호화된 패치를 배포합니다. 그리고 모든 사용자가 패치를 받았다는 생각이 들면, 그때 암호화 해제 코드를 배포하여 모든 컴퓨터에서 패치가 '동시에' 일어나도록 합니다. 다만, 이 방식으로도 무언가 문제가 있다는 사실은 숨길 수 없고, 오히려 지연 시간이 생기게 되므로, 해커가 고전적인 방식을 사용하여 익스플로잇을 만들 여지가 늘어나게 됩니다.
3. 빠른 패치 배포(Fast Patch Distribution): 패치를 빠르게 배포하기 위해 P2P 등을 사용합니다. 문제는, 컴퓨터가 꺼져 있을 경우 적용할 수 없고, 공유기 사용 등으로 P2P를 사용할 수 없는 시스템도 있다는 점입니다.

따라서 위에서 언급한 방식 중 어느 것도 완벽한 해결책은 될 수 없겠지요.

이것은 비단 윈도우의 자동 업데이트에만 해당하는 사항은 아닙니다. 모든 자동 업데이트에 비슷한 문제가 있겠지요. 특히 소스 코드가 공개되어 패치 내용이 한 눈에 보이는 리눅스는 더욱 심할 듯하네요. 이러한 문제에 대해 확실한 해결책이 있을까요? 현재로서는 딱히 생각나는 것이 없군요.

Posted by 랜덤여신

2008/04/21 19:37 2008/04/21 19:37

Trackback URL : http://barosl.com/blog/trackback/745

Comments List

  1. Draco 2008/04/27 22:35 # M/D Reply Permalink

    결국은 사용자들의 보안의식과 습관이 최후의 보루라는 생각이 듭니다.
    아무리 배포 서비스가 훌륭해도 개인 이용자가 보안의 중요성을 인식못해서 귀찮다고 업데이트 꺼버리고, 안티바이러스에 신경 안쓰면 당할수밖에 없지요.
    온라인 게임 좀 할때....윈도 서비스팩이든 보안업데이트든, 백신이든 다 필요없다고 생각하는 유저가 의외로 엄청나게 많다는걸 알고 놀랐습니다. 그래놓고 해킹당하면 서비스업체에게만 화내죠. -_-

Leave a comment
« Previous : 1 : ... 15 : 16 : 17 : 18 : 19 : 20 : 21 : 22 : 23 : ... 672 : Next »

블로그 이미지

랜덤여신이 살아가는 이야기입니다. / 국내 점유율이 1%도 안 되는 리눅스 관련 글을 주로 씁니다. 관심 좀... ㅠㅠ / 컴퓨터쪽 이야기도 씁니다.

- 랜덤여신

Recent Posts

  1. 맥 클론 제작사 Psystar, 이번에는 서버... (2)
  2. 리눅스용 그림판, 컬러페인트(KolourPaint) (10)
  3. 와인(Wine) 1.0 발표 - 15년 여정의 전환점 (5)
  4. 인클봇@MSN 서비스 시작 (5)
  5. 구글 "신뢰성 떨어지는 하드웨어라도, 2... (5)
  6. 인클 웹 IRC 탄생 - 플래시 기반 IRC 클... (5)
  7. 버추얼박스(VirtualBox) 1.6.0 발표 (1)
  8. 와인(Wine) 1.0 RC1 발표 (7)
  9. 리눅스용 실버라이트, 문라이트(Moonlig... (2)
  10. OLPC, 윈도우 탑재 논란 - 네그로폰테 v... (6)
  11. ReiserFS 개발자 한스 라이저, 1급 살인... (6)
  12. 우분투 8.04 vs. 윈도우 비스타 - 전력... (12)
  13. 모바일 브라우저를 위한 Acid 테스트 탄생
  14. EMI, 온라인 음악 파일 저장 서비스에 소송 (1)
  15. 썬, 자바의 오픈 소스화 계속 진행 중
  16. 우분투 8.04 LTS (하디 헤론) 발표 (1)
  17. 노키아, 인터넷 타블렛에 Qt 지원 추가
  18. 해킨토시, 정식 발매되나
  19. 자동 업데이트는 보안에 취약하다? (1)
  20. 아이폰 SDK는 오픈 소스와 맞지 않는다
  21. MySQL, 오픈 소스 모델 포기? (3)
  22. 구글, 이제 form 태그도 탐색한다?
  23. 공각기동대, 3D 실사판 영화로 나온다 (4)
  24. 마이스페이스, 한국 서비스 시작
  25. 리눅스용 한글 2008 발표 - 우분투에서... (32)
  26. MS 관계자 '비스타 UAC는 사용자를 귀찮... (6)
  27. 썬, 공개 동영상 코덱 개발 추진
  28. MS, OS 패치 속도 가장 빨라 - 썬 꼴지 (6)
  29. Last.fm, 음악 재생 무료화 이후 판매량... (4)
  30. 플리커, 동영상 공유 서비스 시작 (4)