마이크로소프트는 변경된 비밀번호로도 로그인할 수 있는 Windows Remote Desktop Protocol (RDP)의 심각한 보안 결함을 해결하지 않기로 결정했습니다. 이 결함은 사용자가 이전에 캐시된 비밀번호로 로그인할 수 있게 하여, 비밀번호를 변경하더라도 여전히 접근이 가능하게 만듭니다. 이는 비밀번호 변경이 이전 비밀번호로 부여된 접근을 무효화해야 한다는 기본적인 보안 원칙을 저해하는 심각한 보안 위험을 초래합니다.
이 문제는 다니엘 웨이드(Daniel Wade)가 마이크로소프트 보안 대응 센터에 보고한 내용에서 강조되었으며, 현재 RDP 구성에서 구식 비밀번호를 사용한 접근이 허용된다고 지적했습니다. 마이크로소프트는 이 기능이 의도적이며, 사용자가 오랜 기간 연결이 끊긴 후에도 자신의 기기에 접근할 수 있도록 설계되었다고 주장합니다. 그러나 이 기능이 남용될 가능성이 있음에도 불구하고, 마이크로소프트는 이를 보안 취약점으로 분류하지 않으며, 기존 애플리케이션과의 호환성 문제를 이유로 이 기능을 수정할 계획이 없다고 밝혔습니다.
웨이드(Daniel Wade)는 이 상황을 정보 보안 관행에 대한 신뢰의 붕괴로 묘사하며, 비밀번호 변경이 접근을 종료할 것으로 기대되는 상황에서 구식 비밀번호로 접근을 방지할 수 없는 것은 RDP를 사용하는 시스템의 보안에 대한 중대한 우려를 불러일으킨다고 강조했습니다. 마이크로소프트는 최소한 2023년 8월부터 이 문제를 인지하고 있었음을 인정했지만, 보안 강화를 우선시하기보다는 호환성을 우선시하여 변경을 시행하지 않기로 선택했습니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.