본문 바로가기

벌새::Analysis

윈도우 보안 패치 프로그램 : 보안 Patch(Security Patch)

반응형
보안연구소 업체에서 서비스하는 윈도우 보안 패치 프로그램 보안 Patch(Security Patch)에 대해 살펴보도록 하겠습니다.

최근 해당 제품을 사용하시는 어느 분이 설치된 제품의 삭제가 안된다는 질문을 네이버 지식인에 올라온 것을 확인하고 확인하던 중 제품에 대한 전반적인 내용을 다루게 되었습니다.

■ 테스트 OS : Windows XP Home SP3 한글판

※ 해당 컴퓨터 환경은 마이크로소프트사에서 제공하는 업데이트(긴급 / 중요)를 충실히 설치한 상태입니다.

해당 프로그램은 마이크로소프트(Microsoft)사에서 제공하는 윈도우 보안 패치 항목에 대해 해당 프로그램을 이용하여 사용자 컴퓨터를 검사하여 설치되지 않은 항목을 찾아내 설치를 도와주는 프로그램으로 유료로 서비스되는 제품입니다.


01


해당 제품은 이용약관의 동의 절차를 통해 설치가 진행이 되며, 설치 후에는 다음과 같은 추가적인 업데이트(보안 패치 정보)를 통해 프로그램이 동작합니다.

생성 폴더, 파일 정보


실제 제품이 설치되면 일반적으로 생성되는 위치(%ProgramFiles%)에는 해당 제품 이름으로 된 폴더(SecurityPatch)가 생성되지만 그 내부에는 파일이 생성이 되지 않습니다.

실제 해당 프로그램이 동작하기 위해 설치되는 폴더는 위의 정보와 같이 %사용자 계정%Application Data\SecurityPatch 폴더 내부에 생성이 되는 것을 확인하실 수 있습니다.


제품은 자동으로 컴퓨터 보안 패치 설치여부를 확인을 하고 설치된 패치와 미설치된 패치를 분류하여 사용자에게 미설치된 항목에 대해 설치를 하도록 유도합니다.

해당 패치에 대한 자세한 정보를 하단에서 제공하고 있는 것을 확인하실 수 있습니다.

그런데, 위의 내용에 따르면 MS08-062 패치가 미설치 되었다고 나오고 있으며, 이 부분에 대해 자세히 살펴보도록 하겠습니다.


MS08-062 : Windows 인터넷 인쇄 서비스의 취약점으로 인한 원격 코드 실행 문제점 (953155) - 중요

이 업데이트는 비공개적으로 보고된 원격 코드 실행을 허용할 수 있는 Windows 인터넷 인쇄 서비스의 취약점을 해결합니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 새 계정을 만들 수도 있습니다.

※ Microsoft Baseline Security Analyzer로 컴퓨터를 검색하여 이 업데이트가 필요한지 확인할 수 있습니다.


해당 업데이트 항목은 2008년 10월에 공개된 보안 패치로 Windows XP SP2 / SP3 제품군도 영향을 받는 프로그램으로 포함이 되는 항목입니다.

하지만, 실제 저의 컴퓨터에서는 해당 보안패치를 설치하지 않았으며(해당 제품이 이 부분에 대해서는 정확하게 측정을 하고 있습니다.), 마이크로소프트 업데이트 사이트에서 검사를 해보면 해당 항목에 대한 다운로드를 제공해 주지 않고 있습니다.

실제 마이크로소프트사의 해당 패치에 대한 정보를 확인해 보면 다음과 같은 문구를 발견할 수 있습니다.

영향을 받는 소프트웨어 표에 나열된 플랫폼 중 하나를 사용하고 있습니다. 보안 업데이트가 제공되지 않는 이유는 무엇입니까?

업데이트는 영향을 받는 구성 요소가 설치되어 있는 시스템에만 제공됩니다. Microsoft IIS(인터넷 정보 서비스)를 설치하지 않은 Microsoft Windows 2000 및 Windows XP 시스템은 해당이 없으며 이 업데이트를 받지 않습니다. IIS 및 인터넷 인쇄를 설치하지 않은 Windows Server 2003 및 Windows Server 2008 시스템은 해당이 없으며 이 업데이트를 받지 않습니다.

즉, Windows XP SP3 환경일지라도 해당 업데이트에 영향을 받는 구성 요소가 설치되어 있지 않는 경우에는 해당 업데이트는 설치할 필요가 없다고 해석해야 합니다.

실제 마이크로소프트에서 제공하는 Microsoft Baseline Security Analyzer(이하 MBSA) 보안도구를 통하여 정확한 점검을 해보도록 하겠습니다.

MBSA 도구는 무료 보안 및 취약성 평가 검색 도구로 보안 Patch 제품에서 제공하는 기능도 포함하고 있습니다.


MBSA 분석툴을 이용하여 윈도우 보안 업데이트 항목을 측정한 결과를 보시면 설치하지 않은 항목이 존재하지 않는다고 나오고 있습니다.

정확하게 재해석을 하면 실제 매월 공개되는 긴급 또는 중요 보안 업데이트 항목 중에서도 자신의 컴퓨터 환경에서 실제 설치를 하지 않아도 되는 항목이 존재하므로 보안 Patch와 같은 패치 관리 프로그램이라면 이런 점에 대해 더욱 정확한 분석을 통해 서비스를 해야 할 것입니다.

특히 무료로 누구나 손쉽게 보안 업데이트 사이트에서 다운로드할 수 있는 보안 패치를 유료로 서비스를 한다면 더욱 정확성이 요구됩니다.


해당 제품의 삭제는 제어판의 [보안패치] 삭제 항목을 찾아서 삭제를 하시면 정상적으로 삭제가 되는 것을 확인할 수 있었습니다.

지식인에 질문하신 분의 경우 설치된 제품의 이름으로 검색을 하다보니 놓친 것이 아닌가 생각이 됩니다.

[추가 삭제 파일 정보]

C:\Program Files\SecurityPatch

%사용자 계정%Application Data\SecurityPatch

[추가 삭제 레지스트리 정보]

HKEY_CURRENT_USER\software\Microsoft\Windows\ShellNoRoam\MUICache (C:\Documents and Settings\사용자 계정\Application Data\SecurityPatch\SecurityPatch.exe=SecurityPatch)
HKEY_CURRENT_USER\software\Microsoft\Windows\ShellNoRoam\MUICache (C:\Documents and Settings\사용자 계정\Application Data\SecurityPatch\SecurityPatch.exe)
HKEY_CURRENT_USER\software\SecurityPatch

마이크로소프트사에서는 위에서 언급한 MBSA 도구를 통해 자신의 보안 상태를 점검하여 일부 설치하지 패치와 기타 보안 상태를 확인할 수 있는 방법을 제시하고 있으므로 무료로 이용해 보시길 추천해 드립니다.
728x90
반응형