[파이낸셜투데이=조규정 기자] 마이크로소프트(MS)가 윈도 8.1의 보안 취약점을 구글로부터 통보받고도 자그마치 90일이 넘도록 이에 대한 패치를 내놓지 않고 있다는 사실이 드러났다.
구글은 자사의 정책에 따라 이같은 사실을 전격 공개했고 MS는 뒤늦게 취약점 보완 대책을 마련 중이라고 밝혔다.
3일 구글에 따르면 이 회사 보안연구팀은 최근 웹사이트를 통해 MS 윈도 8.1에서 권한이 낮은 사용자가 관리자 권한을 부당하게 획득할 수 있는 보안 취약점이 발견됐다고 공지했다.
구글은 타사 소프트웨어의 보안 취약점을 발견하면 해커가 이를 악용하기 전에 소프트웨어 제작업체가 문제를 바로잡을 수 있도록 일단 이를 비공개로 통보하고 90일간 기다린 뒤 그때까지도 조치가 없으면 더 큰 보안 문제를 미연에 방지하기 위해 이를 공개하는 정책을 펴왔다.
구글은 윈도 8 등 윈도 8.1 이전의 버전들이 이 버그의 영향을 받았는지는 명확하지 않다고 밝혔다.
MS는 이런 보안 취약점이 자사 소프트웨어에 있다는 사실을 통보받은 후 90일이 지나도록 패치를 내놓지 않았고, 이에 따라 구글이 통보 후 90일만에 자동으로 이런 사실과 보안 취약점의 내용을 공개한 것이다.
구글은 이를 지난해 9월 30일 MS에 통보했으며 해당 게시물은 지난해 12월 29일 공개로 풀렸다.
구글의 이런 공개 조치와 문제의 심각성에 대해 사용자들의 의견은 엇갈린다.
어떤 사용자는 구글 보안연구팀 웹사이트에 “이런 종류의 취약점은 윈도에 꽤 흔한 것”이라며 구글이 이를 공개해 버린 것은 무책임한 행동이라는 의견을 내놨다.
다른 사용자는 “이 취약점을 가진 윈도 버전은 수십억대의 컴퓨터에 깔려 있다”고 주장하면서 구글이 강력한 힘을 가진 만큼 좀 더 책임감 있게 행동했어야 했다고 비판했다.
또 다른 사용자는 “비밀로 해 둔다고 해서 도움이 되는 게 아니다”라며 MS가 패치를 내놓지 않더라도 전산 관리자들이 문제의 취약점에 대해 대응 조치를 할 수 있도록 하는 것이 올바르다며 구글의 조치를 옹호했다.
MS는 이 문제가 구글에 의해 공개되고 언론에 보도된 후에야 이 취약점에 대한 보안 업데이트를 내놓기 위해 작업 중이라고 밝혔다.
구글은 최근 13년간 보안 연구자들이 이런 절차를 거쳐 보안 취약점을 통보하고 공개해 왔다며 자사의 조치를 옹호했다.