보안

“인터넷 익스플로러, 포기하면 안전해질까?”

David Jeffers | PCWorld 2012.09.21
독일 정부는 현재 널리 퍼져있는 제로데이 공격을 피하기 위해 IE(Internet Explorer) 사용을 중단할 것을 촉구하고 있다. 마이크로소프트는 문제를 해결하기 위한 패치를 개발하는데 애쓰고 있지만, 안타깝게도 공격은 IE가 아닌 자바에 의존하고 있다는 것이다. 즉, 이 상황은 자바가 문제인 것이다.  

자바는 최근 제로데이 취약점에 대한 공격 대상이었다. 그러나 제로데이의 모든 공격이 없어졌다고 밝혀지지 않았다. 보안 연구원들은 그것을 발견하고, 오라클에 보고했지만, 오라클은 공격자가 이를 발견하고 활용하기 시작할 때까지 결함을 수정하는데 우선순위를 두지 않았다.   

오라클의 경우, 자바 패치는 새로운 문제점을 만들어냈다. 오라클은 제로데이 공격으로 표적이 되고 있는 취약점을 해결하지만, 이미 알고 있는, 하지만 패치가 개발되지 않은 다른 취약점을 포함시켜 버렸다. 

자바는 올해 초에 맥 OS X 사용자를 괴롭히는 플래시백 악성코드의 핵심이었다. 오라클은 방어측면에서 개발 대상의 취약점 패치를 발표했다. 하지만 애플은 OS에서 자바의 자체 버전을 탑재하고 있기 때문에, 업데이트 발표는 느려졌다.

문제점은 오직 한 가지만이 아니라, 항상 자바도 아니다. 어도비 플래시, 어도비 리더, 다른 가상 유비쿼터스 어도비 툴도 심심치 않게 악성코드 공격의 대상이 됐다. 어도비는 마이크로소프트가 IE 10에 플래시를 탑재돼 있기 때문에, 최근 어도비 플래시의 결함을 패치했다. 사용자는 업데이트를 기다리고 있고, 윈도우 8을 사용해도 IE 10의 취약점은 여전히 남아있다.

하지만 그렇다고 OS나 브라우저 업체, 즉 마이크로소프트가 관련이 없다는 것은 아니다. IE는 충분한 공격 기회를 제공하고 있으며, 공격과 악성 코드의 주요 대상이 되고 있다. 마이크로소프트를 비롯한 브라우저 업체들은 더 강력하고 안전한 브라우저를 만들고 있지만, 공격자들은 바로 다음 주에 이것저것을 무너 뜨리고, 문제의 약점은 종종 서드파티 앱이 되고 있다.

자바와 어도비 툴은 윈도우와 맥 PC 뿐만 아니라 심지어 리눅스와 많은 모바일 기기 모두에서 보편적으로 발견할 수 있기 때문에, 문제가 되고 있다. 화제가 되고 있기 때문에 자바와 어도비는 사용자들의 우려를 최소한 적게 만들려고 한다. 지금 브라우저에서 사용하는 다른 애매한 서드파티 앱과 애드온, 다른 브라우저는 어떤가?   

오라클과 자바가 완벽하지 않을 수 있다. 하지만 적어도  자사의 제품을 지원하고 패치와 업데이트를 개발하는 것을 지속할 수 있다. 그러나 많은 서드파티 브라우저 툴은 시간이 남을 때 개인적으로 개발하고 있는 것이 현실이다. 이들 앱은 초기에는 기본적인 보안 코드 원칙이 부족할 수도 있고,  훨씬 더 큰 결함이 발견됐을 때나 패치될 가능성이 크다.

그렇다고 사용자들이 IE를 포기해야 할까. 아마도 그렇지 않을 것이다.

일부는 크롬이나 파이어폭스, 다른 브라우저를 채택하는 것을 반길 것이다. 하지만 취약점이 없는 완벽한 솔루션을 보유하는 것을 기대하지는 말자. 어떤 브라우저를 선택해도 최신 버전을 유지해야 하고, 앱과 추가 기능이 공격에 노출될 결함을 가지고 있지 않은지 아주 세심하게 살펴야 한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.