윈도 보안결함 파문 확산

　96년 이래 발표된 윈도에 심각한 보안적 결함이 있다고 지난주 발표된 가운데 이번에는 이들 윈도의 보안 결함이 인터넷상의 사기 거래를 촉발할 수도 있다고 추가로 지적돼 윈도의 보안 결함 파문이 증폭되고 있다.

　6일 C넷에 따르면 일부 애널리스트들은 ‘크립토API’(CryptoAPI)라고 불리는 윈도의 핵심적 보안·인증 체계에 결함이 있어 가짜 신용카드 번호와 패스워드를 제대로 인식하지 못해 자칫 소비자들이 온라인 구매에 있어 피해를 볼 수도 있다고 지적했다. 앞서 지난주 MS는 최신 윈도인 ‘윈도XP’를 비롯해 윈도2000· 윈도NT4.0·윈도 밀레니엄·윈도98 세컨드 에디션·윈도98 등 96년 이래 선보인 윈도에 심각한 보안 결함이 발견됐다고 밝히며 자사의 웹사이트에서 즉각 패치를 다운로드하도록 경고한 바 있다. 윈도 보안의 온라인 사기 유발에 대해 가트너 애널리스트 존 페스카토어는 “소비자들이 첫번째 웹사이트를 방문했을 때는 크립토API가 아무런 문제없이 디지털 인증을 하지만 두번째 웹사이트를 방문할 때는 인증을 제대로 하지 못한다”며 “이때문에 내가 아마존닷컴에서 신용카드로 물건을 구입하지도 않았는데도 구입한 것처럼 될 수도 있다”고 설명했다.

그는 “전문가들이 먼저 이러한 점을 발견했다”고 덧붙이며 “아직 크래커들이 이를 악용한 사례가 발견되지 않았지만 자칫 네티즌들의 온라인 거래를 위축시킬 수도 있다”고 우려했다.

　이에 대해 MS의 보안대응센터에서 보안 프로그램 매니저로 일하고 있는 린 테르워즈는 “크립토API의 기능에 대해 충분히 검토했다. 사람들이 이를 신뢰할 만한지 알고자 하는데 우리는 믿을 만하다고 확신한다”고 말했는데 MS는 자사의 보안 게시판에서 “크립토API가 어떤 유형의 디지털 인증에 대해서는 적절히 인식하지 못할 수도 있다”고 털어 놓고 있다.

　애널리스트들은 ‘크립토API’가 윈도뿐 아니라 윈도에서 돌아가는 많은 비 마이크로소프트 프로그램에서도 사용되고 있어 더욱 큰 문제라고 지적하고 있다.하지만 MS는 보안 게시판에서 “매킨토시 제품에 영향을 주는 보안 결함은 크립토API와는 아무 상관 없다”고 적고 있다.

　문제가 되고 있는 크립토기술은 MS에 따르면 △웹사이트 인증을 합법화 하거나 △소프트웨어 드라이버 같은 소프트웨어 컴포넌트 작성 △그리고 중요한 서브시스템을 침입자가 장악하지 못하도록 하기 등에 사용되고 있다.

　한편 MS는 윈도NT4, 윈도NT4 터미널서버, 윈도XP, 윈도XP 64비트 이디션 등의 4제품에 대해서만 현재 패치를 제공하고 있는데 윈도98, 윈도98세컨드 이디션, 윈도미, 윈도2000 등 다른 보안에 취약한 윈도에 대해서는 아직 패치를 제공하지 않고 있다. 윈도뿐 아니라 오피스v.X, 오피스2001, 오피스98, 맥 OS 8·9용 인터넷익스플로러, 맥OS X용 인터넷익스플로러, 아웃룩익스프레스 5.05 등과 같은 6종의 마이크로소프트 매킨토시 프로그램도 윈도의 보안 결함에 영향을 받고 있는데 MS는 이들 제품에 대한 패치를 조만간 선보일 예정이다.　<방은주기자 ejbang@etnews.co.kr>