보안 결함 치료한 오라클 DB 여전히 위험

　보안 결함이 치료된 오라클의 데이터베이스(DB) SW가 여전히 위험하다는 주장이 제기됐다고 C넷이 26일(현지시각) 보도했다.

오라클은 지난주 자사 SW에서 발견된 30개 이상의 보안 결함을 수정하는 분기 패치 업데이트를 발표했다.

그러나 데이빗 리치필드 ‘넥스트 제너레이션 시큐리티 소프트웨어’ 연구자는 26일 보안 목록인 ‘풀 디스클로우저(Full Disclosure)’에 보낸 메시지에서 오라클의 DB SW ‘오라클 10g 릴리스 2’의 패치 업데이트가 보안 결함을 차단하지 못한다고 주장했다.

리치필드에 따르면 시스템 침입자들은 여전히 이 제품에서 새로운 결함을 이용해 시스템의 이용자 자격을 얻을 수 있어 위험하다.

시만텍은 자사 고객들에게 발효한 경고문에서 오라클 10g의 다른 버전도 공격받을 수 있다고 지적했다.

리치필드는 ‘오라클 10g 릴리스 2’의 문제에 대한 오라클의 반응에 불만을 드러냈다. 그는 이 결함이 지난 2월 19일 오라클에 보고됐으며, 자신이 2004년 4월 오라클에게 이 문제를 처음 알린 후 오라클이 이 문제를 치료하려 했으나 실패했다고 지적했다.

그 동안 보안 연구자들은 오라클이 패치를 늦게 발표하고 보안 결함을 수정하기 위해 자신들과 잘 협력하지 않는다고 비난해 왔다. 이에 대해 매리 앤 데이비슨 오라클 최고보안책임자(CSO)는 연구자들 스스로가 보안의 걸림돌일 수 있다고 주장해 왔다.

정소영기자@전자신문, syjung@