ms_ff_before

나는 마이크로소프트(MS) 윈도우 운영체제에 모질라 파이어폭스로 인터넷을 즐긴다. 윈도우 기반 이용자라면 대개 겪는 경험이 있다. 틈날 때마다 윈도우 업데이트 알림창이 뜨고, 새 업데이트 파일을 내려받아 설치하는 일이다. 보안 업데이트도 있고, 확장기능을 내려받을 때도 있다. 으레 그러려니 하고 ‘확인’ 버튼을 눌러 파일을 설치했다. ‘동의’인지 ‘확인’인지는 기억이 확실치 않다.

헌데 좀전에 새로운 사실을 알게 됐다. MS가 윈도우 업데이트 작업을 하면서 파이어폭스 확장기능을 내 PC에 조용히 설치했다는 것이다. <워싱턴포스트> ‘시큐리티 픽스‘(Security Fix) 코너가 이를 알려줬다.

문제의 확장기능은 ‘마이크로소프트 닷넷 프레임워크 어시스턴트 1.0′이다. ‘시큐리티 픽스’ 운영자 브라이언 크렙스에 따르면 이 확장기능은 올해 초 MS가 ‘닷넷 프레임워크 3.5 서비스팩1′을 윈도우 업데이트를 통해 뿌리면서 함께 넣은 것으로 알려졌다.

물론 이 과정에서 MS는 다른 윈도우 업데이트 과정처럼 이용자 동의 절차를 밟았을 게다. 기억은 안 나지만 틀림없을 것이다. 그러니 ‘업데이트할 때 왜 꼼꼼히 살펴보지 않았냐’고 면박을 주면 할 말은 없다. 허나 윈도우 업데이트 서비스 이용자치고 업데이트 과정에서 ‘동의’ 버튼을 누르지 않는 사람은 드물 게다. 더구나 MS가 업데이트 목록에 파이어폭스 확장기능을 심었으리라고는 생각도 못했을 일이다.

나는 닷넷 프레임워크 기술에 대해선 문외한이다. 이 파이어폭스 확장기능이 닷넷 기반 클릭원스(ClickOnce) 애플리케이션을 파이어폭스에서도 구동할 수 있도록 돕는 기능을 내장했다는 정도만 들어 알고 있다.

이 확장기능이 아직까지 문제를 일으켰다는 보고는 나온 바 없다. 그런데 왜 이리 뒷맛이 개운치 않은 걸까.

문제는 MS가 확장기능을 뿌린 방식에 있다. 파이어폭스 확장기능은 저마다 ▲세부 옵션을 선택하는 ‘설정’ ▲사용 여부를 결정하는 ‘사용함/사용안함’ ▲확장기능을 파이어폭스에서 제거하는 ‘제거’ 버튼이 달려 있다. 이용자가 원치 않는다면 사용하지 않거나 아예 지울 수 있도록 한 것이다.

헌데 ‘닷넷 프레임워크 어시스턴트’는 설치는 멀쩡히 되는데, 이용자 마음대로 지우지는 못한다. ‘제거’ 버튼이 활성화돼 있지 않기 때문이다. 이건 해당 확장기능이 유용한 지 위험한 지, 메모리 점유율이 높은 지 낮은 지 여부와는 다른 문제다. 이용자가 원하지 않을 때 확장기능을 지울 수 있는 기회를 박탈한 조치다.

그래도 굳이 지우고 싶다면 방법은 있다고 한다. 윈도우 레지스트리를 건드리면 된다. 일반인이 따라하기엔 쉽지 않을 뿐더러, 레지스트리란 게 잘못 건드리면 PC를 망가뜨리기 십상이라 위험도 크다. 브라이언 크렙스는 “잘못 건드리면 PC가 부팅되지 않을 수도 있다”고 지적했다.

그냥 지우지 않고 쓰면 될 것을 왜 이리 까탈스럽게 구느냐고 타박할 지도 모르겠다. 허나 문제는 간단치 않다. ‘Annoyance.org‘는 “이 업데이트가 인터넷 익스플로러(IE) 현재 버전들이 지닌 가장 위험한 보안 취약점 가운데 하나를 당신 PC에 설치한다”고 지적했다. 이는 또한 애써 IE를 피해 파이어폭스나 구글 크롬, 오페라를 선택하는 이용자들이 내세우는 이유 가운데 하나이기도 하다.

다른 건 제쳐두고라도 이건 짚어보고 넘어가야겠다. ‘윈도우 업데이트’가 MS 제품이 아닌 다른 제품을 건드리는 건 위험한 정책이다. 물론 파이어폭스는 오픈소스 웹브라우저다. 누구나 소스코드를 만지고 고칠 수 있다. MS도 예외는 아니다. 그렇지만 이같은 ‘예외’를 적용할 땐 미리 충분히 알리는 노력을 했어야 옳다. 이용자는 ‘윈도우 업데이트’를 ‘내 PC 업데이트’와 똑같다고 여기진 않는다. 이처럼 소리없이 내 PC 속 SW들을 건드리는 일이 생긴다면, MS ‘윈도우 업데이트’의 보안성에 대한 불신은 점점 커질 뿐이다.

문제가 확산되자 MS는 5월초, 새로운 ‘닷넷 프레임워크 서비스팩1‘을 윈도우 다운로드 사이트에 공개했다. 이 서비스팩을 설치하면 ‘닷넷 프레임워크 어시스턴트’ 파이어폭스 확장기능에서 ‘제거’ 버튼이 활성화된다.

Comments

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.