Microsoft Windows의 보안 처리... Symantec의 보고서 이야기..

Microsoft Windows의 보안은 어떤가요? 라는 질문을 많이 받습니다. 항상 이런 질문을 종종 듣는데, 토요일 저녁 한가지 재미있는 뉴스가 외국에서 나왔습니다.

"Surprise, Microsoft Listed as Most Secure OS"

해당 뉴스를 읽다보니, Symantec에서 2006년 하반기(7월~12월)에 대한 Internet Security Threat Report를 발간했더군요. 여러 운영 체제에 대한 비교를 곁들이고, 이에 대한 분석 및 전망을 하는 상당히 짜임새있는 보고서 였습니다. 필자의 입장에서도 Symantec에서 해당 보고서를 내놓았다는데 조금은 놀랐습니다. :)

<해당 보고서 40페이지의 그림13>

취약점이라고 함은 시스템내에서 디자이닝 또는 구현상의 오류로 인해, 여러 보안상의 이슈가 발생함을 의미합니다. 패치 개발 시간(Patch Development Time)이라고 함은 취약점이 발견된 날부터, 실제 패치를 출시한 날짜사이의 기간입니다. 해당 보고서에 따르면

2006년 하반기 운영 체제 취약점의 갯수 및 처리 시간

Windows - 39개의 취약점, 평균 처리 기간 21일
RedHat Linux - 208개의 취약점, 평균 처리 기간 58일
Apple Mac OS X - 43개의 취약점, 평균 처리 기간 66일
HP-UX - 98개의 취약점, 평균 처리 기간 101일
Sun Solaris - 63개의 취약점, 평균 처리 기간 122일

2006년 하반기 동안, 모든 운영 체제 벤더들은 실제 패치를 개발하는 시간이 2006년 상반기보다 길어졌으며, 이는 개발이 필요한 취약점에 대한 숫자 증가에 따른 것으로 보여진다고 합니다. 이상적으로는 아무런 문제점이 없는 제품을 출시하는 것이 각 벤더마다의 목표겠지만, 보안 기술의 발전 및 새로운 공격 방식의 등장으로 인해, 실제 벤더들이 얼마나 빨리 보안 취약점에 대응할 수 있느냐도 중요한 사항으로 고려해야 합니다.

Microsoft는 취약점이 발견되었을 경우, 이에 대한 수정 패치를 빠르게 배포하고자 노력하고 있습니다. Zero-Day 공격(취약점 발견 후, 패치가 발표되기 전 보안 공격이 시작되는 경우)이 발생했을 경우 이에 대한 차선 방어 방안책(방화벽 설정에 의한 방어, 추가적인 운영 체제 설정 변경을 통한 우회)을 알려드리고 있습니다.

IT 산업 뿐만 아니라, 모든 산업에서 고객에게 판매 또는 적용한 제품에 대해 문제가 발생했을 때는 이에 대해 적극적으로 수정 및 알려줘야 함이 기업의 의무라고 생각합니다. 자동차의 리콜도 이에 해당되며, Windows를 개발한 Microsoft, 기타 모든 벤더들도 여기에는 동감하지 않을까요?