Compartilhar via

Windows Vista와 Microsoft의 보안...

  • Artigo

2006년 11월 30일(미국)에 Windows Vista가 Windows XP의 다음 버전으로 출시되었습니다. 한국에는 2월에 런치를 했으니, 한글 Windows Vista도 이제 거의 출시 1년여가 되어 가고 있습니다.

Windows Vista가 출시된지 1년이 지났고, Windows Vista가 보안적인 측면에서 어떠한 의미를 주고 있는지에 대해서 생각해보신 적이 있으신지요? Microsoft는 모든 기술을 계획, 디자인 단계에서부터 보안을 최우선으로 생각하고, 제품을 개발하는 개발자들에게 SDL(Security Development Lifecycle) 을 적용하여, 보안에 대한 모든 사항을 제품에 반영하도록 노력하고 있습니다.

오늘은 Windows Vista가 출시 1년동안(2007년 11월까지) 보안 취약점 측면에서 Windows XP, 기타 플랫폼과 비교하여 분석해볼까합니다.

image Windows Vista가 2006년 11월이후, 1년동안 출시된 보안 업데이트(Security Bulletins)는 몇개일까요? 17개입니다. 17개의 업데이트가 1년여동안 9번에 걸쳐 릴리즈되어 실제 제품에 반영되었습니다. 오늘 포스팅에서는 "적어도 한번의 업데이트가 출시된 날짜"를 패치 이벤트(Patch Event)라고 칭하겠습니다. 그렇다면 Windows Vista는 9번의 패치 이벤트가 발생했다는 것입니다.(왼쪽 이미지를 클릭하시면 큰 이미지로 이동합니다.)"보안 업데이트 17개 = 취약점 17개?"는 아닙니다. 취약점이 발견된 몇가지를 하나로 묶어서 한개의 보안 업데이트로 출시를 하게 됩니다. Windows Vista는 2007년 11월까지 36개의 취약점이 발견되었고(내, 외부를 통해), 이를 9번의 패치 이벤트를 통해 Microsoft는 수정하였습니다. 출시 후 1년동안 수정되지 않은 취약점은 30개가 있었습니다. Microsoft는 이미 Bill Gates 회장의 Trustworthy Computing 발표 이후, 여러 보안 적용 사항에 대해서 예상 가능하게 하여, 보안을 관리하는 관리자 분들의 부담을 덜어드리고 있습니다. 이러한 취지에서 적용된 것이 바로 보안 업데이트의 달별 1회 출시입니다. 이러한 예측 가능한 보안 업데이트 적용은 보안 관리자에겐 필수적입니다.

image

그렇다면 Windows XP는?

image Windows XP의 출시 후 1년은 Windows Vista 때와는 사뭇 틀렸습니다. 2001년 10월 25일에 출시된 Windows XP는 Microsoft의 SDL(Security Development Lifecycle) 사상이 적용되기 전에 출시된 플랫폼이었죠. Windows XP의 경우에는 출시 후 1년내에 30개의 보안 업데이트를 출시하였고, 이 때에는 보안 업데이트에 대해서 한달에 한번씩 지정한 날짜에 출시하는 지금과 같은 방식도 채택하기 전이었죠. 각각의 보안 업데이트를 취약점으로 나누어서 생각해보면, Windows XP는 출시 1년동안 65개의 취약점을 가지고 있었습니다. 보안 업데이트에 대해서 별도의 출시 스케쥴을 가지고 있지 않았기 때문에, Windows Vista에 비교해서는 잦은 패치 이벤트가 발생하게 되었습니다. 출시 후 1년동안 수정되지 않은 취약점은 54개가 있었죠.

image

그렇다면 Windows Vista와 Windows XP를 비교할 수 있게 되었습니다. 먼저 출시 후 1년동안 고쳐진 보안 취약점과 고쳐지지 않은 보안 취약점을 살펴보면...

image

Windows XP에 비해 Windows Vista가 현격히 낮아졌음을 아실 수 있습니다.

그렇다면, 이제 관리자에게 업무적 영향을 주는 보안 업데이트 출시, 다시 말해 패치 이벤트가 발생한 것에 대해서 비교해보겠습니다. Windows Vista는 17개의 보안 업데이트가 1년동안 각기 다른 9주에 걸쳐 9번의 패치 이벤트가 발생했으며, Windows XP는 30개의 보안 업데이트가 각기 다른 9주에 걸쳐 26번의 패치 이벤트가 발생했습니다.

image

그래프에서 나타난대로 예상 가능하고, 더 적은 숫자의 보안 업데이트는 보안 위협을 관리하는 보안 관리자에게 2001년의 Windows XP 시절때보다 Windows Vista는 더 큰 영향을 주었다고 볼 수 있습니다. Windows XP는 서비스 팩 2에서 Trustworthy Computing 사상이 반영되었고, Windows XP 서비스 팩 2 이후, 많은 고객들은 긍정적 방향의 보안 모습을 보실 수 있었습니다.

image

이제는 Windows Vista와 다른 플랫폼과의 비교를 해보려고 합니다. 이 포스팅에서는 출시 1년이 지났고, 고객에게 장기간 기술 지원을 하고 있는 Red Hat, Ubuntu, Mac OS X를 대상으로 하려고 합니다.

Red Hat Enterprise Linux 4 Workstation

물론 Red Hat Enterprise Linux 5가 2007년 5월에 출시되었지만, 아직까지 1년이 되지 않았기 때문에, Red Hat의 경우, Red Hat Enterprise Linux 4 Workstation(이하 Red Hat)을 기준으로 비교합니다.

    • 2005년 2월 15일 출시한 Red Hat의 경우, 출시전 이미 129개의 취약점이 알려졌으며, 출시 전, 이중 64개를 처리하고, 27개의 보안 권고를 발표
    • 출시후 1년동안, 183개의 보안 권고/업데이트를 발표, 이중 심각(Critical)과 중요(Important)는 88개, 57회에 걸쳐 발표
    • 출시후 1년동안, 493개의 취약점을 수정하였다고 Red Hat이 발표, 이중 심각과 중요는 214개
    • 출시 1년후, 패치 없이 82개의 취약점을 남겨놓았음(차후 보안 권고 혹은 다른 패치를 출시). 결론적으로 출시후 1년동안 575개의 취약점을 발표

혹, 이렇게 말씀하실 수 있습니다. Red Hat Enterprise Linux 4 Workstation의 경우, 모든 구성 요소에 대해서 다 비교하면 공정치 못한 비교가 아니냐는 반론이 여기에 해당됩니다. Windows XP에도 IIS가 포함되어져 있는 것도 마찬가지 사항으로 볼 수 있습니다만, 이에 불필요한 구성 요소를 제거한 후 다시 비교해보았습니다. 제거한 구성 요소는 아래와 같습니다.

    1. 기본적으로 설치되지 않는 모든 구성 요소, 여기에는 서버 구성 요소도 제거 대상에 포함됩니다.
    2. Text-Internet, Graphics(gimp), Office(OpenOffice), 그리고 개발 도구(gcc등)
    3. 설치 및 제거에 사용한 명령어는 RPM

표준 시스템 관리를 위한 Gnome-windows, 브라우징을 위한 Firefox, 사운드, 비디오 지원만 설치한 셈이죠. 결론은 아래와 같습니다.

    • 출시후 1년동안, 125개의 보안 권고를 64회에 걸쳐 발표, 이중 심각과 중요의 경우, 64개의 보안 권고를 30주간 41회에 걸쳐 발표
    • 360개의 취약점을 수정하였다고 발표, 심각과 중요는 154개
    • 출시 1년후, 패치 없이 40개의 취약점을 남겨놓았음

전체 설치 버전보다 정말 필요한 사항만 설치했을 때, 보안 권고/업데이트는 많이 줄어들었습니다. Red Hat의 경우, 패치 이벤트를 정해진 특정 기간에 하지 않으므로, 여러 주에 걸쳐 다수의 패치 이벤트가 발생합니다. 아래의 표를 참고해보시면, 패치 이벤트가 없었던 주는 8주정도입니다.

image

UBUNTU 6.06 LTS

다음 비교 대상은, Ubuntu 6.06 LTS(Long-term Support)입니다. 2006년 6월 1일에 출시한 6.06 버전의 경우, 장기간 지원을 약속한 버전으로, 기업에서 사용할 때, 장기 기술 지원은 중요한 팩터가 되게 됩니다. Ubuntu의 경우, 6.10, 7.02 이상의 버전이 출시되었지만, 장기간 지원에 대해서는 6.06 버전에 대해서만 하였습니다.

    • 2006년 6월 1일 출시전, 이미 53개의 취약점이 발견
    • 출시후 1년동안, 181개의 보안 권고/업데이트를 발표, 보안 업데이트를 1년간 119번 출시
    • 패치내, Ubuntu는 406개의 취약점을 수정하였다고 하였으며, NVD(National Vulnerability Database)의 중요 등급 이상은 총 160개
    • 출시 1년후, 55개의 취약점을 남겨 놓았음. 결론적으로 출시후 1년동안 461개의 취약점을 발표

Red Hat과 마찬가지로, 불필요한 구성 요소를 제거하고 비교해보았습니다. 서버 구성 요소, gimp, OpenOffice를 제거하였다는 의미입니다.

    • 출시후 1년동안, 80개의 보안 권고/업데이트를 발표, 39주간 65회에 걸쳐 발표
    • 출시후 1년동안, 224개의 취약점을 수정하였다고 발표
    • 출시 1년후, 패치 없이 18개의 취약점을 남겨놓았음

image

APPLE MAC OS X v10.4

2005년 4월 19일에 발표한 MAC OS X v10.4와의 비교도 진행해보았습니다.

    • 출시후 1년동안, 17개의 보안 업데이트를 발표하였으며, 이는 각각 다른 날에 발표되었음
    • 17개의 보안 업데이트는 총 116개의 취약점을 해결
    • 출시 1년후, 패치 없이 41개의 취약점을 남겨놓았음. 결론적으로 출시후 1년동안 157개의 취약점을 발표

image 

Windows Vista, Windows XP와 더불어 업계에서 널리 사용되고 있는 3가지의 플랫폼에 대해서 추가적으로 비교해보았습니다. 이를 히스토그램으로 표시해보면 아래와 같아집니다.

 

Windows Vista가 Windows XP에 비해서는 그림상 크게 차이가 없게 느껴지실 수 있지만, 여타 다른 플랫폼보다는 확연히 보안 업데이트에 대해서는 뛰어난 결과를 보여주고 있습니다. Windows XP와 Windows Vista에서도 비교해보았지만, 패치 이벤트는 보안 관리자에게는 많은 부담을 줄 수 있다고 했습니다. Windows Vista의 경우, 17개의 보안 업데이트를 9번의 패치 이벤트에 걸쳐 발표했다고 언급했습니다.

image

상당히 읽기 복잡하다고 하실 수도 있겠죠? 이에 비교 표를 하나 더 첨부해봅니다.

image

출시후 1년동안 발표한 보안 권고/업데이트의 숫자는 벤더가 개발 프로세스에서 얼마나 보안을 고려하고 개발하는지, 또한 출시전 보안 취약점을 사전에 발견/수정하려고 시도하는지, 그리고 보안 관리자의 부담을 줄여줄 수 있는지... 이런 의미에서 Windows Vista는 Windows XP와 여타 다른 플랫폼보다 뛰어난 가치를 제공하고 있음을 아실 수 있으며, 이러한 보안에 대한 많은 관심 및 집중을 Microsoft는 하고 있다고 말씀드릴 수 있습니다. 보안 업데이트 하나를 하기 위해서, 많은 인력과 시간이 필요하다는 것은 저도 많이 느껴보았습니다.

취약점에 대한 공고는 각 벤더의 사이트에 발표되고 있습니다. Microsoft Security Bulletins(https://www.microsoft.com/technet/security/current.aspx), Red Hat Security Advisories(https://rhn.redhat.com/errata/rhel4ws-errata-security.html), Ubuntu Security Notices(https://www.ubuntu.com/usn)이 여기에 해당됩니다.

오늘 포스팅할 때 참고한 자료는, JEFF JONES의 보안 블로그에 발표한 Windows Vista One Year Vulnerability Report를 참고하였습니다. 또한 여러 보안 취약점에 대한 발견 및 공고는 Microsoft가 아닌, www.securityfocus.com, Bugtraq 메일링 리스트, www.secunia.com, www.securitytracker.com을 참고하였습니다. Windows XP, Windows Vista의 취약점을 설명했던 CVE(Common Vulnerabilities Exposure) 목록은 https://cvs.mitre.org를 참고하시면 됩니다.

Comments

  • Anonymous
    January 29, 2008
    좋은 자료입니다 :)

  • Anonymous
    February 17, 2008
    플랫폼이나 응용 프로그램에 대한 이야기를 IT 엔지니어 분들과 나눠보거나, 각종 이벤트의 설문 조사 결과를 보면, Windows 플랫폼이나 응용 프로그램의 보안이 약하다라는 몇몇 의견을

  • Anonymous
    January 19, 2009
    오늘은 Windows 7의 보안에 대해서 이야기를 드려볼까 합니다. 바로 UAC에 대한 이야기입니다. 지금까지는 주로 새롭게 등장한 가치에 대해서 언급했지만, 오늘은 꼬알라의 생각도