[지디넷코리아]MS가 강조하는 자사의 제품 미학은 “제품/서비스(애플리케이션)가 윈도우 운영체제에 통합돼 있다”라는 모토로 대변될 수 있다. 하지만 이런 미학은 전형적인 사용자의 관점에서 본다면 극히 아름다운 것일지 모르지만, 보안을 담당하는 부서 혹은 관리자에게는 그리 달가운 일은 아니다.

모든 윈도우 운영체제에는 기본적으로 인터넷 익스플로러가 설치돼 있으며, 윈도우 서버에 올려진 모든 백오피스 제품들은 동일한 RPC(Remote Procedure Call)를 사용한다. 따라서 공격자들은 인터넷 익스플로러의 시큐리티 익스플로이트(Security Exploit)를 이용해 모든 윈도우 시스템을 공격할 수 있으며, 동일한 포트를 통해 서비스를 초기화하는 모든 애플리케이션들은 하나의 애플리케이션 익스플로이트를 통해 시스템의 영역에 침범할 수 있는 것이다.

시큐리티 익스플로이트는 시스템의 숨겨진 기능이나 버그를 이용해 시스템에 접근하는 불법 행위를 말한다. (표 1)은 SANS(System Administration Networking and Security) 연구소가 발표한 각 플랫폼의 시큐리티 익스플로이트 번호 리스트이다. (표 1)에서 알 수 있듯이 실제 서버와 클라이언트를 포함한 윈도우 시스템의 시큐리티 익스플로이트는 조직의 보안 위협에 높은 확률을 제공하며, 더욱이 SSO(Single Sign On)를 다중 플랫폼에서 구현하는 경우 윈도우 플랫폼의 취약한 보안은 위협 확률을 기하급수적으로 증가시킬 것이다. 물론 다른 플랫폼의 보안 취약이 이런 가능성을 가지고 있다는 것도 포함하지만, 일단 이 글의 초점은 윈도우 기반의 보안에 대해서만 다룰 것이다.


윈도우 플랫폼에 대한 보안 심사와 보안 지침
윈도우 2000이 출시된 후 코드레드/님다와 같은 웜 바이러스에 뒷북치기에 급급하던 마이크소프트는 다행스럽게도 자체 보안 프로그램을 강화시킨 전략적 보안지원 프로그램인 SSTP(Strategic Technology Protection Program)를 2001년 10월 3일 발표했다(www.microsoft.com/presspass/features/2001/oct01/10-03securityqa.asp). 이 프로그램은 보안 확보와 보안 유지 2단계로 구성된다.

보안 확보(Get Secure) 단계에서 바이러스 피해에 대응하는 핫라인(HotLine) 서비스를 운영, 윈도우 NT 4.0이나 윈도우 2000 등 제품군의 보안 강화를 위해 보안 패치를 인터넷으로 제공한다. 또한 2001년 12월부터는 기업 단위의 네트워크 보안 강화를 위해 보안 설정, 패치 상태 검색도구와 SMS(Short Message System)를 이용한 보안 패치 설치도구 등을 제공하는 기업용 시큐리티 툴 킷도 발표했다. 시큐리티 툴 킷은 웹 서비스를 목적으로 하는 윈도우 플랫폼의 보안 구현에 목적을 두고 있다는 점이 특징이다.

보안 유지(Stay Secure) 단계는 STPP의 장기 전략으로 2001년 12월부터 2개월마다 한번씩 정기적으로 윈도우 업데이트를 통해 광범위한 시큐리티 롤업 패키지를 제공하며, 기업 내에 윈도우 업데이트 서버의 운용, 관리와 윈도우 업데이트 서버와 연동 선택 등의 기능을 2002년 2월에 추가했다. 현재 윈도우 2000과 IIS에 대한 시큐리티 롤업 패키지는 이미 배포된 성과에 해당한다.