웹센스의 보안 연구소(Websense Security Labs)에서 수행한 범용 애플리케이션 및 서비스의 보안 위험성 조사에 따르면 기업용 및 공공용 네트워크상에서 알지 못하는 사이에 정보가 유출되고 있으며 이 정보들은 악성 해커들에게 악용될 소지가 있다고 밝혔다.

웹센스는 글로벌 위협탐지 인텔리전스 네트워크(ThreatSeeker Intelligence Network)를 통해 수집한 샘플 데이터를 조사 검토한 결과 윈도XP, 비스타, 7에서 운영되는 ‘윈도 에러 리포팅(Windows Error Reporting 또는 Dr. Watson)’이 전송하는 텍스트 형태의 오류 보고서는 네트워크 침투 기회를 엿보는 악성 해커들에게 네트워크의 취약점을 탐색하고 거점을 확보할 빌미를 제공할 가능성이 있다는 것.

웹센스는 이에 대해 ▲네트워크에 연결된 전세계 PC중 80%(약 10억여대) 윈도 에러 리포팅 사용중 ▲윈도 에러 리포팅(Dr. Watson)은 해커들이 OS, 서비스팩, 업데이트 버전 등과 같이 해커에서 보안이 취약한 시스템을 탐색 및 손상시킬 수 있는데 사용할 수 있는 정보를 제공 ▲시스템 충돌 보고는 악성 해커들이 제로 데이(zero-day) 공격을 위한 새로운 취약점 코드를 찾아내는데 유용한 정보 이용 ▲USB 장치 사용과 같은 일상 활동 정보도 전송 등의 우려를 표했다.


윈도 XP에서 처음 소개된 MS 에러 리포팅은 개인정보보호정책 설명서에서 MS로 전송되는 정보가 무엇인지 설명하고 있으며 자동 오류 보고 시스템이 지원되는 애플리케이션은 정보가 MS로 전송되기 전에 사용자에게 미리 알릴 필요가 없는 것으로 정의하고 있다.

이에 해당하는 제품은 윈도 XP, 비스타, 7 및 OS X상의 애플리케이션이다. 윈도8을 탑재한 PC들의 경우는 IT보안 모범 사례를 따라 윈도 오류 보고로 전송시 모든 애플리케이션 텔레메트리에 TLS암호화를 의무화 하고 있다.

MS의 온라인 정책 설명서에 따르면 네트워크 관리자는 그룹 정책을 적용함으로써 자동 오류 리포팅에 대해 세부 조작을 할 수 있는 것으로 명시하고 있다(관련 링크: technet.microsoft.com/en-us/library/bb490841.aspx). 하지만 웹센스의 조사 결과에 따르면 많은 기업들이 윈도 오류 보고 시스템을 통해 애플리케이션, 서비스 및 하드웨어의 특정 정보가 일반 텍스트 형태로 전송되고 있다. 전송되는 정보 중에는 충돌 오류는 물론 애플리케이션 업데이트 실패, USB 장치 삽입, 네트워크에 있는 컴퓨터간 TCP 타임아웃 등이 있으며 상당 부분 HTTP 일반 텍스트 형태로 전송되고 있다.

웹센스는 이러한 정보가 프로그램의 비정상적인 종료와 하드웨어 구성의 문제점을 해결하는데 중요하지만 암호화가 되지 않은 형태로 전송될 때는 상당한 정보 유출의 위험성이 있다고 지적하고 MS로 전송되는 정보와 메타데이터의 민감성을 감안해 기업에서 그룹 정책을 통해 기업 내 모든 네트워크상의 윈도 오류 보고를 내부 서버로 이동 시킬 것을 권고했다.


윈도 기반 PC중 대략 80%(2009년 기준 약 10억 대)가 윈도 오류 보고 시스템을 보내고 있는 것으로 추정되는 데 웹센스는 장치 업데이트 실패, USB 장치 연결 빈도, TCP 타임아웃 등의 정보는 기업에 상당히 유용한 정보지만 적대적인 사람이나 집단이 해당 정보를 가로챈다면 상당한 위험을 제기할 수도 있다고 설명했다.

웹센스는 애플리케이션 텔레메트리, 보안 환경 및 기본 네트워크 인프라에 대한 정보를 포함하고 있는 서비스는 최소한 SSL 또는 TLS 1.2로 암호화해야 하며 데이터 암호화 없이 해당 정보를 보고하는 애플리케이션은 정보를 유출할 위험이 있고 업스트림 프록시, 방화벽, 기업 네트워크, 애플리케이션 개발자와 개발 파트너 조직 사이에 있는 ISP 등 관련 정보 유출의 소지가 있다고 밝혔다.

웹센스는 기업에서는 그룹 정책을 설정해 모든 텔레메트리 보고의 암호화를 의무화하고 사내 네트워크와 애플리케이션을 정기적으로 검사해 정보 유출로 인한 보안의 손실을 막도록 해야 한다고 강조했다.