윈도10 다운로드 번들로 제공되는 암호 관리자 프로그램의 암호 도용 취약점이 나왔다. 취약점은 1년 전에 발견됐지만 수정되지 않고 그대로 윈도10에 번들 프로그램으로 제공된 것으로 보인다. 주요 브라우저에서 취약점을 수정하는 패치가 적용됐지만 사파리 이용자는 수동 업데이트를 시행해야 한다.
18일 테크크런치 등 외신에 따르면, 윈도10 암호관리자 프로그램 키퍼(Keeper) 보안 취약점이 노출됐다. 해당 취약점은 웹사이트에서 소프트웨어(SW) 비밀번호를 도용하는 버그다. 구글 프로젝트 제로 연구원 타비스 오르만디(Tavis Ormandy)가 1년 전에 키퍼 보안 취약점을 발견했다. 이를 수정하지 않고 윈도10 번들 프로그램에 반영된 것으로 보인다.
키퍼는 지난 15일 해당 취약점을 패치했다. 해당 취약점을 악용한 사례는 아직 보이지 않는다.
한국 마이크로소프트(MS) 관계자는 “해당 취약점은 번들 앱으로 들어간 키퍼 앱 취약점으로 키퍼 시큐리티에서 지난 15일 취약점을 패치한 키퍼 브라우저 익스텐션(Keepr Brower Extension) 11.4.4를 발표했다”며 “엣지, 크롬, 파이어폭스에서 키퍼를 사용하는 사용자는 웹 브라우저 이미 11.4.4로 업데이트 됐고, 사파리 사용자는 키퍼 사이트에서 수동 업데이트해야 한다”고 전했다.
해당 취약점을 악용된 사례는 아직 없는 것으로 보인다. 하지만 치명적 보안 취약점을 그대로 번들 프로그램으로 추가한 것에 대해서는 문제가 있다는 지적이다.
테크크런치는 “이 문제는 16개월 된 버그가 윈도10에 번들된 SW에 포함되도록 허용한 것”이라며 “MS가 윈도10 번들로 제공되는 타사 응용 프로그램 보안에 대한 보증을 제공하는지 여부는 확실하지 않다”고 지적했다.
변상근기자 sgbyun@etnews.com
