2024-03-29 02:05 (금)
마이크로소프트가 일부 버그를 바로 패치하지 않는 이유
상태바
마이크로소프트가 일부 버그를 바로 패치하지 않는 이유
  • 페소아 기자
  • 승인 2018.06.17 23:49
이 기사를 공유합니다

MS-7.jpg
마이크로소프트는 신속한 수정이 필요한 보안 버그와 추후 릴리즈될 보안 버그를 명확히 분류하는 새로운 초안 문서를 게시했다.

이 문서에는 보고된 취약점이 패치 튜스데이 보안 업데이트에서 신속하게 수정될 것인지 또는 이후 버전 업데이트때 이루어질지를 결정하기 위한 기준이 요약되어 있다. 마이크로소프트는 이 문서가 연구원들에게 윈도우에 존재하는 보안기능, 경계 및 완화와 함께 제공되는 ‘서비스 약속(servicing commitment)’에 대한 명확한 설명을 제공하기 위한 것이라고 밝혔다.

이 기준은 두가지 핵심 질문을 중심으로 이루어진다. △“취약점이 마이크로소프트가 방어하려고 하는 보안 경계 또는 보안 기능에 의해 만들어진 규약에 위배되는가?”, △“취약점의 심각성이 서비스를 위한 기준에 만족하는가?”

두 질문에 대한 대답이 ‘그렇다’이면 보안 업데이트에서 패치가 이루어지지만 두가지 모두에 대한 대답이 ‘아니다’이면 취약점은 영향을 받는 제품(기능)의 다음버전에서 패치가 고려된다.

서비스를 위한 기준은 고객이 패치된 각 취약점의 위험을 이해하도록 돕는 것을 목적으로 하는 마이크로소프트의 심각도 등급 시스템에 의해 위험, 중요, 중간, 낮음, 없음으로 부여된다.

또 “취약점이 위험 또는 중요 등급으로 평가되고 서비스 약정이 있는 보안 경계 또는 보안 기능에 적용되면 보안 업데이트를 통해 취약점을 해결한다”라고 초안에는 설명하고 있다.

마이크로소프트는 커널 모드와 사용자 모드 간의 논리적 구분과 같이 서비스 약속을 유지 관리하는 8가지 유형의 보안 경계를 갖고 있다. 여기에는 네트워크, 커널, 프로세스, 앱컨터이너 샌드박스, 세션, 웹브라우저, 가상컴퓨터 및 가상 보안 모드가 포함된다.

서비스약속이 포함된 보안 기능에는 BitLocker 및 보안 부팅, 윈도우즈 디펜더 시스템 가드, 윈도우즈 디펜더 응용 프로그램 제어, 윈도우즈 Hello, 윈도우즈 리소스 접근 제어, 플랫폼 암호화, 호스트 보호자 서비스(Host Guardian Service) 및 인증 프로토콜이 포함된다.

나열된 모든 보안 경계 및 보안 기능은 마이크로소프트의 버그바운티 프로그램에 포함되어 있다. 그러나 마이크로소프트의 서비스 약속은 컨트롤 플로우 가드(Control Flow Guard), 코드 무결성 가드(Code Integrity Guard)및 임의코드 가드(Arbitary Code Guard)와 같은 심층 방어나 윈도우즈 10 OS 강화 기능에는 적용되지 않는다.

이들에 대한 우회 공격은 마이크로소프트의 방어기법 우회 및 보호 프로그램 버그바운티를 통해 $100,000의 보상을 받을 수 있지만 패치 튜스데이에 패치를 제공하지는 않는다.

서비스 약속에서 제외된 다른 기능으로는 제어된 폴더 접근(CantrolledFloder Access) 랜섬웨어 방어, 그리고 놀랍게도 마이크로소프트 안티 바이러스인 윈도우즈 디펜더가 포함된다.

마이크로소프트 윈도우즈 10 익스플로잇 완화기법은 구글 프로젝트제로 연구원들의 많은 관심을 받았다. 마이크로소프트는 때때로 프로젝트제로팀에 회사가 버전 업데이트를 릴리즈할 때까지 취약점 공개를 연기해줄 것을 요청했다.

이는 마이크로소프트가 이 문서에 “우리의 접근 방식에서 고객과 투명하게 전달되도록 하기 위한 것이기도하다"고 말한 이유 중 하나일 수 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★