IBM이 기업 민감 정보를 다루는 자사 제품의 보안 취약점을 보고 받고도 패치 거부 의사를 밝혔던 사실이 알려져 논란이다. IBM은 이같은 내용이 알려지자 패치를 준비하겠다며 입장을 내놨다.
그는 IDRM이 매우 민감한 정보를 다루는 기업용 보안 제품인데다가 다른 보안 툴에 접근하도록 하는 자격 증명도 갖는 만큼 해당 취약점이 심각한 문제라고 판단했다. 이에 미국 카네기 멜런 대학 소프트웨어 공학 연구소의 CERT/CC팀과 함께 IBM에 취약점을 제보했다.
IBM은 이같은 내용의 제로데이(취약점 공격) 보고서를 듣고도 개선할 의지를 보이지 않았다. 자사 내부 정책상 IDRM이 고급 지원 버전이기에 취약점 공개 프로그램 범위를 벗어난다는 이유다.
히베이루 연구소장은 이에 4가지 취약 정보를 오픈소스 커뮤니티인 깃허브(Github)에 올렸다. IDRM 인증 메커니즘을 우회할 수 있다는 점과 하드코딩된 a3user/idrm 사용자 이름과 암호 조합에 취약점이 있다는 내용이다. 또 IDRM 애플리케이션 프로그램 인터페이스(API)에 존재하는 명령 인젝션 포인트로 공격자가 명령어를 실행할 수 있다는 점과 해당 API에 존재하는 취약점도 짚었다.
그는 "4개 취약점 모두 원격으로 공격이 가능하다"며 IDRM 어플라이언스가 온라인으로 노출될 시 인터넷으로 공격이 가능하다고 강조했다. 다만 보통은 해당 어플라이언스를 인터넷에 노출하지 않기에 원격 공격에 대한 위험성은 줄어들 수 있다.
IBM 측은 깃허브에 취약점이 공개되자 외신을 통해 "해당 사건이 전개된 점에 유감을 표한다"며 "해당 취약점 패치를 준비하겠다"고 전했다. 이어 "회사가 취약점 보고에 부적절하게 대응했다"며 "완화 단계를 준비하고 있으며 곧 발표될 보안 권고문을 발표하겠다"고 밝혔다.
김평화 기자 peaceit@chosunbiz.com