[뉴스] IE와 파이어폭스, 보안 담당자 블로그 격돌

http://news.kbench.com

MS, IE가 파이어폭스보다 취약성 개수가 적다! 모질라, 취약성 개수만 따지는 것은 무의미한 일!

인터넷 익스플로어(IE)보다 파이어폭스의 취약성 개수가 많다는 보고서를 마이크로소프트 관계자가 발표한 것을 둘러싸고, 쌍방의 보안 담당자 블로그가 격돌하고 있다.

마이크로소프트의 Trustworthy Computing 부분 보안 전략 디렉터를 맡고 있는 제프·존스의 보고서에는 파이어폭스에서 과거3년간 공개된 취약성 정보를 조사해 IE가 파이어폭스보다 취약성이 적었다고 결론을 내리고 있다.

존즈씨의 보고서에 의하면 2004년 11월 10일 이후 수정된 취약성 개수가 파이어폭스의 199건에 비해 IE는 87건으로 파이오폭스가 IE에 비해 보안 문제가 적다는 모질라의 주장은 잘못된 것이라고 주장한 것이다.

이것에 대해 모질라의 보안 책임자인 윈도우·슈나이더씨는 존즈의 보고서는 모든 보안 문제의 취약성 개수만을 반영하는 것은 잘못된 것이라고 반론했다.

취약성 개수의 문제가 중요한 것이 아니며 이 문제점이 발견되고 나서 수정 될 때까지 어느 정도 시간이 걸리느냐가 중요하다는 것이다. 마이크로소프트의 IE의 취약성 수정시간과 파이어폭스의 취약성 수정시간을 비교하면, 존즈의 보고서에서 취약성 개수만 따지는 이유는 명백하다고 비판한 것이다.

게다가 Washington Post의 분석 기사를 인용해 2006년 패치가 이뤄지지 않은 상태의 심각한 코드가 인터넷으로 공개되고 있던 날짜를 비교한 결과 IE(7버전 이전)가 284일이었는데, 파이어폭스의 경우 9일에 불과하다고 지적했다.

모질라 간부 마이크·슈레파씨의 블로그에서도 IE의 취약성이 몇 개 존재하고 있었는가는 마이크로소프트 관계자 이외에는 알 방법이 없다고 개제하고 취약성의 수를 세는 것은 무의미하며, 문제는 수정되지 않은 코드로 인해 사용자가 위험에 처해지고 있다는 것이라며, 파이오폭스가 IE보다 안전하다고 강조했다.

 http://news.kbench.com