MS, 구글 보안취약점 90일 공개정책 비판

일반입력 :2015/01/13 08:25

마이크로소프트(MS)가 자사 윈도8.1 운영체제(OS)의 보안취약점을 공개한 구글의 정책에 불만을 드러냈다.

미국 지디넷은 12일(현지시각) MS가 윈도8.1 보안 결함을 인지한 뒤 이를 해결하기로 계획한지 며칠 앞둔 시점에 이를 공개해버린 구글의 관련 정책을 비판했다고 보도했다.

크리스 베츠 MS 보안대응센터(SRC) 수석이사는 보안위협환경이 점차 복잡해지고 있는 가운데 기업들이 취약점이나 위협 내용 공개, 보안 패치 배포같은 사이버보안 전략에서 개별적으로 움직이기보단 함께 대응해야 할 때라고 주장했다.

이는 구글 보안연구원이 작년말 윈도8.1에서 관리자권한을 가져오는 취약점을 발견해 MS에 알린지 90일만에 그 내용을 공개한 데 따른 반응이다. 당시 MS는 구글의 제보를 파악해 이를 해결하기 위한 보안업데이트를 배포할 계획이라는 입장이었다. (☞관련기사)

관련기사

MS 윈도8.1의 보안취약점을 찾아낸 구글의 활동은 일명 '프로젝트 제로'라 불리는데, 여기서 구글은 보안취약점 버그와 같은 내용을 발견한지 90일만에 공개하는 정책을 취하고 있다. 구글은 취약점을 MS에 알린 시점이 지난해 9월 30일이라고 밝혔지만, 씨넷에 따르면 MS는 이를 10월 13일에 인지했다.

베츠 수석이사는 MS는 보안연구원들이 취약점 내용이 고쳐지기 전에 모두 공개해버리면 해당 시스템과 그에 의존하는 수백만명의 사람들에게 피해를 준다며 이런 문제의 수정을 강제하기 위해 (제품을 개발한 회사가 아닌 다른 곳에서) 내용을 공개하는 건 취약점 악용 리스크를 늘리는 것이라고 비판했다.