앞으로 애플 맥 PC에서 자바를 사용하려면 오라클의 업데이트와 애플 자체 업데이트를 모두 설치해야한다. 최근 들어 수많은 보안 취약점이 공개되고 있는 자바에 대한 애플의 거리두기가 반영된 결과다.
19일(현지시간) 외신들은 애플이 지난 17일 공개한 맥 운영체제(OS)인 OS X용 자바SE6의 업데이트를 발표했으나 이는 기존 모든 OS에 호환되는 자바SE7과는 별개라고 밝혔다. 두 가지를 모두 설치해야지만 맥에서 자바를 사용할 수 있다는 설명이다.
애플은 OS X 2012-006을 위한 자바SE6을 1.6.0_37로 업데이트했다. 이를 통해 보안성, 신뢰성, 호환성을 강화했다고 밝혔다. 이 업데이트는 애플이 제공하는 자바 애플릿 플러그인을 웹브라우저로부터 제거한다. 웹페이지에서 애플릿들을 사용하기 위해서는 Missing plug-in을 클릭해서 별도로 오라클이 배포하고 있는 최신 버전의 자바 애플릿 플러그인을 다운로드해야한다.
애플이 왜 이런 결정을 했는지는 명확하지 않다. 그러나 보안전문회사인 소포스의 폴 더클린 연구원은 두 가지를 모두 깔아야 한다는 점이 언뜻보면 버그 같지만 달리보면 (보안관점에서) 모든 사용자들을 위해서는 하나의 특징이 추가된 것이나 마찬가지라고 말했다. 먼저 애플이 직접 손 본 SE6버전을 깐 뒤 최신 버전의 자바를 쓰려면 오라클이 배포한 SE7을 다시 설치하도록 사용자들에게 선택권을 주는 것이다.
이러한 움직임은 모바일 기기에 사용되는 어도비 플래시, PC 웹브라우저용 자바에 대한 애플의 경계심을 보여주는 것이라고 외신은 보도했다.
일단 오라클이 자바 패치를 발표하면 애플은 자바의 소스코드 트리를 바꿔 자신들만의 업데이트를 배포해왔다. 그러나 이번에는 애플이 최신버전인 자바SE7에 대해 업데이트하기 까지는 꽤 오랜 시간이 필요할 것이라고 외신은 전했다.
애플은 지난 1월부터 4월까지 모든 사람들에게 공개된 패치는 아예 쓸 수 없게 하는 것으로 악명 높았다. 이를 통해 해커들이 보안취약점을 공략한다는 이유 때문이다. 어도비 플래시나 오라클 자바와 같은 프로그램들이 가장 대표적인 사례다.
실제로 해커들은 'OSX/Flshplyr-B'라고 알려진 트로이 목마에 감염된 대규모 봇넷을 구성하기 위해 플래시, 자바 등의 보안취약점을 사용해왔다.
지난 16일(현지시간) 오라클은 모든 OS에서 사용할 수 있는 자바SE7에 대한 업데이트를 발표했다. 하루 지나 애플은 이전 OS X 전용 자바SE6를 배포했다. 맥에서 자바를 사용하기 위해서는 오라클과 애플이 각각 발표한 업데이트를 모두 설치해야하는 불편함이 따른다.
관련기사
- 자바 취약점 또 발견 10억명 위험 노출2012.10.21
- 자바7 패치 수시간 만에 또 취약점 발견2012.10.21
- 오라클, 자바7 보안취약점 패치2012.10.21
- 자바7 보안취약점 발견 '맥에 영향'2012.10.21
그동안 자바는 많은 보안취약점이 노출돼왔다. 이 때문에 애플은 맥용 OS X 라이언(10.7)에서부터는 자바가 사용자의 동의없이는 업데이트 안에 포함되지 않도록 했다. 사용자가 원할 경우에만 자바를 깔아서 쓸 수 있게 했다는 것이다.
최근 오라클의 자바 업데이트는 30개의 보안취약점을 개선했으나 잠재적으로 해킹방식의 하나인 원격코드실행 등을 일으킬 수 있는 문재점이 또다시 발견된 상황이다.