최근 Lenovo 제품에 설치된 Superfish가 이슈가 되고 있습니다.

이 글에서는 Superfish와 그 제거 방법에 대해 알아보도록 하겠습니다.

-----

1. Superfish는?

2014년 9월~12월 사이에 출시된 Lenovo의 일반 소비자용 제품에 사전 설치된 소프트웨어로, Lenovo에 따르면 '온라인 쇼핑 시 관련된 제품을 찾는데 도움을 주는 소프트웨어'라고 합니다. 하지만 루트 인증서를 이용하여 HTTPS 전송을 모니터링하기 때문에 암호화 통신에 큰 위협을 주는 취약점이 될 수 있습니다. Superfish가 사전 설치된 제품은 G/U/Y/Z/S/Flex/MIIX/YOGA/E 시리즈(상세 정보는 하단에 추가)이며, ThinkPad 데스크탑, 기업용 서버/스토리지와 NEC PC는 Superfish가 설치되지 않았다고 합니다.

사실 Superfish는 악성 프로그램으로 분류될 여지가 충분하다고 판단되는데요. Lenovo 측에서는 '이 프로그램에 대해 철저하게 분석했고 보안상으로 문제가 되는 어떠한 증거도 없다. 하지만 소비자들의 의견이 많았기 때문에 신속하게 대응했다.'고 합니다.

(추가) 현재 본사의 대응이 변경되었습니다. 초기엔 Lenovo 측에선 자신들은 철저하게 조사했고 잘못한 게 없다는 뉘앙스가 강했는데, 지금은 '어떤 이유든 어떤 사용자에게 불편을 준 것에 대해 사과하며, 우리는 항상 경험에서 배우려고 하며 무엇을 어떻게 해야하는지를 개선하려고 노력하고 있다.'라는 내용이 추가되었네요.

1-1. Superfish의 영향을 받을 수 있는 제품

Lenovo가 밝힌 Superfish의 영향을 받을 수 있는 제품은 다음과 같습니다.

E-Series: E10-30
Flex-Series: Flex2 14, Flex2 15, Flex2 14D, Flex2 15D, Flex2 14 (BTM), Flex2 15 (BTM), Flex 10
G-Series: G410, G510, G40-70, G40-30, G40-45, G50-70, G50-30, G50-45
M-Series: Miix2 – 8, Miix2 – 10, Miix2 – 11
S-Series: S310, S410, S415; S415 Touch, S20-30, S20-30 Touch, S40-70
U-Series: U330P, U430P, U330Touch, U430Touch, U540Touch
Y-Series: Y430P, Y40-70, Y50-70
Yoga-Series: Yoga2-11BTM, Yoga2-11HSW, Yoga2-13, Yoga2Pro-13
Z-Series: Z40-70, Z40-75, Z50-70, Z50-75

2. Superfish 사태 현재 상황은?

Lenovo는 지난 1월부로 Superfish의 사전 설치를 중단했고 서버와의 통신도 차단했다고 밝혔습니다. 또한 레노보는 2월 21일 Superfish 및 루트 인증서를 자동으로 제거하는 툴과 수동 제거 방법을 공개했고, 이 문제에 대해 파트너 업체 및 전문가들과 이 문제에 대해 심도있게 다시 조사할 것이라고 합니다.

3. Superfish 및 루트 인증서 제거 방법은?

Lenovo가 공개한 자동 제거 도구를 통해 Superfish 및 루트 인증서의 제거가 가능합니다.

자동 제거 도구: [다운로드]

수동 제거 방법 및 보다 자세한 제거 방법은 http://support.lenovo.com/kr/ko/product_security/superfish_uninstall를 참고하세요.

이 글에 남겨진 댓글은 0개 입니다.

*

*