오라클 패치 파일 보안 취약

최근 발표된 오라클 패치 파일에 대한 보안전문가들의 불만이 고조되고 있다고 C넷이 보도했다.

보도에 따르면 보안 전문가들은 오라클이 지난 주 공개한 분기별 패치 업데이트가 사용자 비밀번호를 저장 및 암호화하는 데 충분한 보안을 제공하지 않고 있다고 주장했다.

영국의 ‘넥스트 제너레이션 시큐리티 소프트웨어’의 공동 창업자이자 보안 연구자인 데이비드 리치필드도 이번 패치에서 몇 가지 보안 결함이 발견됐다고 밝혔다.

다른 보안 연구자들도 오라클이 보안 취약성을 실질적으로 해결하지 못하거나 낮은 품질의 패치를 내놓을 뿐 아니라 연구자들이 제공하는 샘플 공격 코드를 차단하는 임시방편만 제공하고 있다고 비난했다. 또 다른 전문가들은 오라클 데이터베이스 시스템의 보안 체계가 취약해 기업 데이터를 노출 위험에 빠뜨릴 수 있으며 공격자들이 이 제품 사용자들의 비밀번호를 쉽게 알아낼 수 있다고 경고했다.

SANS 연구소의 조슈아 라이트와 런던대학 로열 할러웨이 칼리지의 카를로스 시드는 26일(현지 시각) 로스앤젤리스에서 열린 SANS 네트워크 보안 콘퍼런스에서 이러한 문제에 대한 보고서를 발표했다.

이들은 오라클이 사용자 비밀번호를 저장 및 암호화하는 데 사용하는 기술은 충분한 보안을 제공하지 않는다고 말했다. 또 오라클 데이터베이스 비밀번호들로부터 평문으로 된 비밀번호를 수 분 내에 알아낼 수 있는 방법을 알아냈다고 말했다.

보고서에 따르면 제한된 자원을 가진 외부인이 이러한 취약성을 활용함으로써 평문 비밀번호를 알아내는 공격을 실행할 수 있다.

라이트와 시드의 발표문은 SANS 웹사이트에서 볼 수 있다.

정소영기자@전자신문, syjung@