MS 패스포트 보안 결함 경고

COMPARA

03/07/03 11:13

2243

 

마이크로소프트가 인터넷 패스포트 서비스에서 결함을 발견하고 이를 수정했다고 발표했다.
이 결함은 악용할 경우 계정정보를 탈취당할 위험이 있다고 한다. 마이크로소프트는 그러나 이 결함으로 인한 계정 탈취 사례는 없는 것으로 나타나고 있다고 하며 이 결함은 4년전 패스포트 계정을 만든 소수의 사용자에게만 해당된다고 밝혔다. 이 결함을 수정하기 위해서 마이크로소프트는 어제 잠시 구형 패스포트 등록자의 비밀번호 변경을 잠시 막았었다.

마이크로소프트가 제공하는 사용자 인증 서비스인 패스포트는 현재 주로 핫메일 전자 메일과 인스탄트 메지시 로그인에 사용되고 있다. 마이크로소프트는 패스포트 결함이 인터넷에 보안 컨설턴트를 자칭한 사람이 이에 대해서 언급하여 퍼지게 되어 알게 되었다고 밝혔다.

그는 이 문제를 인터넷에 공개하기전 이미 마이크로소프트에 수차례 메일을 보내 알렸지만 아무런 응답이 없었다고 주장했다.

마이크로소프트의 패스포트에 심각한 보안 결함이 발견된 것은 이번이 두 번째이다. 미 FTC는 패스포트 결함에 대해서 마이크로소프트를 제소했으며 마이크로소프트는 이에 합의하고 계정 정보를 보호하기 위한 합리적인 대책을 세우고 앞으로 20년간 매 2년마다 이를 위반하는 사례에 대해서 최고 건당 1만 1천 달러의 벌금을 내기로 한 바 있다.

지난 5월에 한 파키스탄의 컴퓨터 연구원은“emailpwdreset"이라는 구문을 포함한 웹 주소를 타이핑 해 넣는 것만으로 패스포트 계정 정보를 변경할 수 있다는 것을 발견한 바 있다. FTC는 아직 이 사건에 대한 결론을 내리지 않았지만 합의 사항에 위반한 결과가 될 경우 마이크로소프트는 엄청난 벌금을 물어야 할 수도 있다.