'버그'가 아니라 '기능'이라고 하는데요...
마이크로소프트가 Windows 원격 데스크톱 프로토콜(RDP)을 이용하는 기기의 보안 결함을 해결할 계획이 없는 것으로 알려졌다. 대니얼 웨이드(Daniel Wade)가 마이크로소프트 보안 대응 센터(Microsoft Security Response Center)에 제출한 최근 보고서에 따르면, 현재 Windows RDP 설정은 사용자가 비밀번호를 업데이트하거나 변경했음에도 불구하고, 구(舊) 캐시된 비밀번호를 사용하여 기기에 접근할 수 있도록 허용한다.
이는 단순히 비밀번호를 변경하는 것만으로는 RDP을 통한 기기 접근을 차단할 수 없다는 것을 의미한다. 구 캐시된 비밀번호가 여전히 성공적인 로그인을 가능하게 하여 심각한 보안 문제를 야기한다. 명백한 백도어(backdoor)임에도 불구하고, 마이크로소프트는 이 기능이 의도적이라고 주장하며, 사용자가 자신의 기기에서 완전히 차단되는 것을 방지하는 방식을 제공하기 때문에 작동 방식을 변경할 계획이 없다고 밝혔다.
마이크로소프트는 자체적인 ‘보안 취약점’의 정의를 가지고 있으며, 해당 기능은 취약점으로 간주되지 않는다고 주장한다. 이 기능은 사용자가 장기간 오프라인 상태였더라도 RDP를 통해 해당 기기에 접속할 수 있도록 의도적으로 설계되었다. 그럼에도 불구하고, 이 기능은 선택 사항이 아니며 비활성화할 수 없다.
한편, 보안 연구원은 AMD 자동 업데이트기(auto-updater)가 소프트웨어를 안전하지 않은 방식으로 다운로드하여 원격 코드 실행(remote code execution)을 가능하게 한다고 지적했다.
웨이드는 이번 보안 문제가 신뢰의 붕괴를 보여준다고 설명했다. 정보 보안 측면에서 비밀번호를 변경하는 것은 일반적으로 기존 비밀번호를 이용해 인증하는 경우, 계정에 대한 접근을 확실히 차단하는 수단으로 여겨진다. 그러나 이 경우, 구 비밀번호를 통한 접근을 막을 방법이 없고, RDP 사용 시 오래된 비밀번호가 여전히 유효하다는 경고도 받지 못한다.
이 문제는 특히 비밀번호가 공적으로 유출된 상황에서 매우 우려스럽다. RDP 인증 자체를 제거할 방법이 없기 때문에, 계정 소유자조차 모르게 해커가 기술적으로 기기에 접근할 수 있게 된다.
마이크로소프트는 2023년 8월의 이전 보고서가 있다며 이 문제에 대해 이미 오랫동안 인지하고 있었다. 비록 당시 이 문제가 조사되었으나, 기존 애플리케이션과의 호환성 문제에 대한 우려 때문에 작동 방식을 변경하지 않기로 최종 결정했다고 설명했다.
최신 뉴스, 분석, 리뷰를 피드에서 받아보려면 Google News에서 Tom's Hardware를 팔로우하세요. '팔로우' 버튼을 클릭해 주시기 바랍니다.