마이크로소프트가 지난 해 보고한 크리티컬한 버그 10개 중 9개는 윈도우의 관리자 권한 만 사용하지 않으면 그냥 해결되거나 최소한 위험하지 않은 것이었다는 주장이 제기됐다.
기업용 권한 관리 소프트웨어 개발업체인 비욘드트러스트(BeyondTrust)는 마이크로소프트가 공개한 개별 취약점을 정리해 각각의 취약점에 대한 정보를 제공하는 마이크로소프트의 보안 게시판을 점검했다. 그리고 취약점으로 인한 공격을 줄이거나 완전히 제거할 수 있는 방법을 알려주는 “완화 요소(Mitigating Factors)" 부분에 ”관리자 권한을 가진 사용자보다 권한이 적은 사용자가 덜 위험하다“라는 설명이 있는 취약점의 수를 계산했다.
계산 결과, 치명적인 취약점의 거의 대부분, 즉 92%가 사용자의 관리자 권한을 제한하면 완화할 수 있는 것이었다. 비욘드트러스트의 CEO 존 모이어는 “이는 기업이 무엇을 해야 하는지를 설명하는 것”이라며, “의심할 여지 없이 관리자 권한을 제거하면 윈도우의 공격 위험을 막을 수 있다”고 강조했다.
마이크로소프트가 작년에 발표하고 패치한 154개의 버그 전체에서는 69%가 관리자 권한을 제한하는 것으로 차단하거나 위험도를 줄일 수 있는 것으로 나타났다.
마이크로소프트의 사용자 권한에 대한 접근법은 최근에 다시 논쟁거리로 떠올랐다. 일단의 블로거가 개념 증명 코드를 통해 윈도우 7의 개선된 UAC(User Account Control)를 무력화할 수 있다고 주장한 것.
비욘드트러스트의 마케팅 책임자인 스콧 맥칼리는 “이번 개념 증명 코드는 사용자가 관리자 권한이 아니라 일반 사용자로 로그인하는 것이 얼마나 중요한 가를 보여준다”며, “오직 관리자 권한으로 윈도우를 실행한 사용자만이 공격에 취약하다”고 강조했다.
한편, 마이크로소프트는 윈도우 7의 UAC 문제를 보안 버그가 아니라고 주장하고 있다.
출처: IDG
원문: http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=53474
