비스타 베타, P2P 기능 기본탑재「보안 위험하다」

윈도우 비스타 베타 버전에서 보안 위험을 유발할 수 있는 네트워크 기능이 발견됐다. 그러나 MS는 걱정할 필요가 없다는 입장이다.일부 비스타 베타 버전 사용자들에 따르면 베타 버전을 설치한 뒤 시스템에서 의심스러운 네트워크 트래픽이 발견된 것으로 드러났다. 이들은 공격 가능성을 우려해 지난주 SANS 인터넷 스톰센터와 연락을 취했다.SANS와 협력하고 있는 다트마우스 대학 보안 기술 연구소의 보안 전문가 조지 바코스는 “베타 버전 사용자들이 기존에 본 적이 없는 매우 이상한 종류의 트래픽을 발견했다”라며 “이번에 발견된 트래픽은 새로운 종류의 공격이 발생할 수 있거나, 혹은 사용자가 미처 인지하고 있지 못하는 사이에 누군가 취약점을 주시하고 있을 수 있다는 것을 의미한다”라고 밝혔다.이번 트래픽을 발견한 베타 버전 사용자들은 트래픽이 비스타 베타 시스템과 연계돼 있지 않은 것으로 추정되는, 인터넷상의 컴퓨터로부터 들어온 것이라고 설명했다. 바코스는 “이 트래픽은 기존에는 생각지 못했던 전혀 다른 유형의 것이다”라고 덧붙였다.바코스는 SANS용 트래픽에 대한 조사를 통해 이 트래픽의 정체를 밝혀냈다. 지난주 발표된 비스타 베타1의 기본 시작 프로그램으로 설정돼 있는 P2P 네트워크 기능이 문제였다. 바코스에 따르면 이 기능은 MS의 자체 프로토콜인 PNRP(peer name resolution protocol)의 새로운 버전을 이용하는 것으로 인터넷 접속만 되면 다른 비스타 베타 시스템과 곧바로 연결된다.바코스는 이 기본 시작 설정이 베타 버전 사용자들의 시스템을 보안 위험에 노출시킬 수 있다고 주장했다.이 같은 사실은 MS가 주장하고 있는 “설계에 의한, 기본에 의한, 그리고 배치에 의한 보안” 원칙에 위배된다. 이 원칙은 MS가 포괄적인 보안 정책의 일부로 적용하고 있으며, 기능이 작동하지 않도록 잠금 모드 상태에서 제품을 배송할 것을 요구하고 있다.이 P2P 기능을 이용하면 중앙 서버 없이도 윈도우 컴퓨터간 연결이 가능하다. MS가 이 기술을 구현하면서 염두에 두었던 애플리케이션 중 하나는 멀티플레이어 게임이다. 이 기능은 써드 파티 애플리케이션 개발업체들도 소프트웨어 개발 킷(SDK)을 사용할 수 있다는 이점이 있다.P2P 기능 기본 탑재, 보안에 안좋다바코스는 이 기능을 기본으로 탑재할 경우 위험한 상황이 초래될 수 있다고 지적했다. 아직 보안 차원의 검토가 완료되지 않은 프로토콜을 사용해 인터넷 접속에 노출될 뿐 아니라 접속된 컴퓨터의 디렉토리로 기능하기 때문에 공격자들이 목표를 찾아내는 데 유리할 수 있다는 설명이다.바코스는 “P2P 서비스가 비스타 내에 존재하고 있으며 불필요한 서비스, 그리고 여기에 사용되는 프로토콜과 연계된 추가적인 보안 위험이 있다는 점을 사용자들이 기꺼이 수용할 것인지 결정할 수 있도록 해야 한다”며, “이 서비스에 대응하는 쿼리는 윈도우 비스타 베타 사용자들의 광범위한 리스트를 상당부분 노출시킬 수도 있다”고 강조했다.또한 바코스는 사생활 침해를 우려하는 사용자들의 경우 자신들의 시스템과 연계된 추가 인증 가치가 있다는 점에 대해서도 우려할 수 있다고 덧붙였다. 비스타의 P2P 서비스는 새로운 식별자 형태로 PC에 부착된다.윈도우 제품 담당자 그레그 설리반은 내년 말 출시될 윈도우 비스타 최종 버전에는 P2P 서비스가 기본 기능으로 포함되지 않을 것이라고 밝혔다. 이는 곧 이번에 발견된 보안 취약성은 얼리 어댑터에 속하는 베타 버전 사용자들에게만 국한될 수 있다는 의미가 된다.네덜란드의 윈도우 비스타 베타 사용자 마르코 드리오엘은 “베타 1에서 발견된 버그는 충분히 예상할 수 있는 것이다. PNRP가 위험하다고 생각되면 이 기능을 중지시키면 된다”고 밝혔다.코드명 롱혼으로 알려져 있는 비스타는 사용자들이 오랫동안 기다려온 윈도우 XP의 후속 버전이다. 비스타의 3가지 설계 목표는 더 나은 보안, 정보 정리에 대한 새로운 방식, 그리고 외부 장비와의 끊김없는 접속이다. 주요 기능으로는 새로운 검색 메카니즘, 새로운 노트북 기능, 모체 제어, 그리고 더 나은 홈네트워킹 등이 있다.또다른 2명의 비스타 베타 버전 사용자들도 MS가 제품을 발표하기 전에 P2P 기능에 대해 설명했다면 더 좋았겠지만 그렇지 않다 해도 우려할 필요는 없다는 입장이다.휴스턴의 윈도우 비스타 베타 사용자 토마스 스미스는 “기본 기능을 바꾸게 되면 사전에 알려줄 필요가 있다”고 밝혔다. 암스테르담의 테스터 스티븐 빙크도 이에 동의하며 “이 기능에 대해 미리 공지하지 않은 것은 잘못됐다. 하지만 베타 버전 사용자들이 위험한 상황에 처할 수 있다는 것은 말이 되지 않는다. 비스타는 베타 버전이고, 당연히 테스트 환경에서 운영해야 한다”고 강조했다.바코스는 비스타가 베타 서비스이므로 사용자들도 완벽한 제품을 기대해서는 안 된다며 이에 동의했다. 그는 “베타 버전 사용자들은 이 시스템을 테스트 환경에서 운영하면서 문제점을 찾아내야 한다. 베타 버전에는 기존에는 익숙하지 않은 다른 새로운 기능들이 추가되기 때문이다”고 밝혔다.MS의 설리반은 MS가 이 서비스에 대해 사전에 공지할 수도 있었지만 베타 서비스는 새로운 기능을 시험해보기 위한 것이라는 점을 강조했다.설리반은 “베타 시스템은 비스타 최종 버전을 보완하기 위한 정보 수집 과정이기 때문에 기능상 최종 버전과 다소 다를 수 있다”며, “이번에 기본 장착한 서비스를 통해 다양한 테스트를 해볼 수 있으며, 더 나은 기능으로 발전시키는 데도 도움이 된다”고 밝혔다.MS는 PNRP에 대해 내부 보안 리뷰를 이미 완료했다. PNRP 초기 버전은 윈도우 XP 서비스팩1에서도 이용할 수 있지만 기본 기능으로 포함돼 있지는 않다. MS 관계자는 현재 이 프로토콜에 대한 써드 파티 분석을 위해 외부 보안 전문가들과 논의를 진행 중이라고 밝혔다.윈도우 비스타는 출시에 앞서 보안 측면에서 면밀한 검토가 이뤄지고 있다. 이달 초에는 당초 비스타에 포함될 예정이던 새로운 명령 셀(코드명 모나드)이 바이러스 공격에 취약하다는 보고가 나오자 비스타에는 포함하지 않겠다고 발표하기도 했다. @