[이미지 via i started Something]
많은 분들이 주지하다시피 윈도우 7은 비스타에 비해 UAC 정책이 많이 완화됐습니다.
유
저 허락 없이 실행되는 프로세스를 원천적으로 막아주는 UAC 기능으로 비스타의 보안 성능은 대폭 업그레이드 됐지만, 시도 때도
없이 나오는 대화상자로 인해 “비스타는 불편하다”, “비스타는 짜증난다.”는 인상을 강하게 남겼고.. 결국 대표적인 비스타
실패의 원인이 됐습니다.
아무튼 윈도우 7은 이런 유저들의 피드백을 받아들여 UAC 기능을 많이
다듬었는데요. 일단 기본적인 UAC 레벨에서는.. 외부 프로그램이 윈도우 설정을 변경할 때만 이전과 마찬가지로 유저 허락을
물어보지만, 유저 스스로 윈도우 설정을 변경할 때는 더 이상 대화상자를 호출하지 않습니다. 사실 이 정도만 해도 비스타 쓰던
때에 비해 윈도우 쓰기는 많이 편해진 거죠.
하지만 마이크로소프트에서 한가지 간과한 게 있는데요. 바로 UAC 레벨을 바꾸는 것을 그냥 일반적인 윈도우 설정의 변경과 동일하게 취급하는 점입니다. UAC 자체를 완전히 꺼버려도 별다른 유저 허락이 필요 없어진 거죠.
만약 UAC를 꺼버리고 악성 코드를 구동시키는 멀웨어가 실행된다면 속수무책으로 당할 수 밖에 없습니다. 실제로 i Started Something 블로그의 Long Zheng과 Withing Windows의 Rafael이 VBScript로 이런 프로그램을 만들었는데.. 키보드 입력을 애뮬레이트 해서 UAC 레벨을 어처구니 없이 간단하게 변경합니다. 직접 다운로드 해서 구동해 보셔도 되구요.
근데 더 웃긴 건.. 이 문제를 보고 받은 마이크로소프트의 반응인데요. MS의 말에 따르면.. 이 문제는 보안상의 결함이 아니라 원래부터 유저의 편의를 위해 이렇게 만든 것이고.. 윈도우 7 정식판까지도 고칠 생각이 없다는 것입니다.. –_-;
*
This is not a vulnerability. The intent of the default configuration of
UAC is that users don’t get prompted when making changes to Windows
settings. This includes changing the UAC prompting level.
*
Microsoft has received a great deal of usability feedback on UAC
prompting behavior in UAC, and has made changes in accordance with user
feedback.
* UAC is a feature designed to enable users to run
software at user (non-admin) rights, something we refer to as Standard
User. Running software as standard user improves security reduces TCO.
* The only way this could be changed without the user’s knowledge is by malicious code already running on the box.
*
In order for malicious code to have gotten on to the box, something
else has already been breached (or the user has explicitly consented)
마
이크로소프트의 이런 반응 때문에 현재 네트즌들의 갑론을박이 치열한데요. 대부분 마이크로소프트의 자충수임이 분명하다면 조속한
해결을 요구하고 있습니다. 개인적인 생각으로도 윈도우 7의 릴리즈를 늦추더라도 꼭 점검해야 할 부분인 것 같네요.. ;;