본문 바로가기

IT/MS

IE 보안 취약점, 손쓸 방법 없는 국내 상황


 얼마 전, OpenSSL의 치명적 버그인 일명 '하트블리드(Heartbleed)'가 화제의 중심이었습니다. 아직 대처하지 않은 서비스가 많아 논란이 완전히 가라앉은 것은 아니지만, 당장 사용자들이 할 수 있는 일은 하트블리드에 영향받은 웹 서비스의 비밀번호를 바꾸는 것이 전부였기에 비밀번호를 변경했다면 당장은 이슈를 벗어날 수 있었던 덕분입니다.
 


IE 보안 취약점, 손쓸 방법 없는 국내 상황
 
 그러나 이달 초 발견된 하트블리드와 관련한 공중파 뉴스는 공개된 지 보름이나 지나서야 제대로 다뤄졌으며, 주요 포털에서 화제가 되었습니다. 문제는 대처법이 기존에도 해킹 대비로 권고하던 비밀번호 변경이 전부였던 탓에 하트블리드가 왜 심각한 문제인지에 대한 설명보다는 대중들에게는 그냥 지나가는 이슈 정도에 그칩니다. 하트블리드라는 명칭이 이 취약점을 대중에게 깊이 알리기 위함이었다는 점을 생각해봐야 합니다. 이 이슈를 놓쳐선 안 되는 이유가 취약점 보안 패치가 이뤄진 후 비밀번호를 변경해야 효과가 있으니까요.
 
 


 하트블리드가 흐지부지 넘어가고 있는 상황에서 국내 브라우저 점유율 75%에 육박하는 인터넷 익스플로러(IE)에서 심각한 취약점이 발견되었습니다. IE 6부터 IE 11에 걸쳐 사용자를 위협하는 이 취약점은 보안업체인 파이어아이(FireEye)가 위험성을 알렸습니다.
 
 취약점을 통해 공격자는 IE 내 임의의 코드를 실행하여 사용자의 메모리를 훼손할 수 있으며, 일반적으로 대상이 링크를 클릭했을 때 공격이 발생합니다. 파이어아이는 '자신의 게시물이 제로데이 취약점에 악용될 수도 있다.'면서 사용자들의 주의를 요구했는데, 이미 이 결함을 사용하는 그룹이 공격을 시작했다고 주장했습니다.
 
 파이어아이의 설명으로는 IE 9부터 11을 주요 목표로 삼고 있으며, 이는 전체 브라우저의 26%에 해당하지만, 6~8 버전까지 포함하게 되면 56%의 사용자가 공격 대상에 포함됩니다.
 
 구체적으로 공격의 예를 들자면, 공격자는 취약점을 활용할 수 있는 웹 사이트를 새로 구축한 다음 해당 사이트를 탐색하도록 하여 링크 클릭을 유도할 수 있습니다. 사용자는 쉽게 보안 위협에 노출되는 것이죠. 그 밖에 게시물의 링크나 메일을 통해 링크 클릭을 유도하는 방법도 있으니 의심스러운 링크는 클릭하지 않아야 합니다.
 
 문제가 심각해지자 미국 국토안보부는 IE 사용 금지를 요청하는 성명을 발표했습니다. 공식적인 업데이트가 제공될 때까지 다른 웹 브라우저를 사용해달라는 겁니다. 익스플로러 외 모질라의 파이어폭스나 구글의 크롬 같은 우수한 브라우저는 얼마든지 있고. 스탯카운터의 통계를 보면 미국의 IE 점유율은 35% 수준으로 권고에 따른 대응으로 피해를 줄일 수 있을 것입니다.
 
 단지, 국내 상황은 그렇지 못하다는 거죠.
 
 


 한국인터넷진흥원(KISA)도 IE 취약점에 대한 성명을 발표했습니다. MS가 보안 업데이트를 제공할 때까지 파이어폭스나 크롬, 사파리 등을 사용하라는 내용입니다. 옳은 말이며, 실행하는 것은 아주 간단합니다. 해당 브라우저 사이트로 이동해서 내려받아 설치하기만 하면 됩니다. 링크를 통한 공격이 가능하니 기본 브라우저도 설치한 브라우저로 변경하는 것이 좋겠죠.
 
 그러나 완전히 IE를 배제할 수 있는 국내 상황이었나요? 최근 몇몇 쇼핑몰이 오픈 결제 모듈을 도입하여 IE가 아니더라도 결제할 수 있도록 변경하고 있습니다. 현상이 두드러지면 여러 면에서 IE 외 다른 브라우저를 사용할 수 있는 환경이 조성되리라 필자는 기대합니다만, 기대를 충족하기 전에 이런 일이 벌어졌습니다. 아직 국내 웹 사이트 대부분이 IE를 기반으로 하고 있으며, IE가 아니면 아예 서비스를 이용할 수 없는 웹 사이트도 존재합니다. 다른 브라우저를 써야 한다고 알린다 해도 하트블리드가 아직 완전히 해결되지 않았음에도 금방 누그러들었듯이 타 브라우저에 대한 익숙함이 적어 대응하기가 쉽지 않습니다.
 
 IE만 두고 문제 삼자는 것은 아닙니다. 당분간 사용하라고 권고한 브라우저 중 점유율 상위에 속한 크롬과 파이어폭스의 2010년부터 3년간 발견된 취약점을 보면 결코, IE보다 이들이 안전하다고 단정할 수 없습니다. 3년 동안 크롬은 1,347개, 파이어폭스는 613개의 취약점이 발견되었습니다. 개수는 크롬이 2배 정도 많지만, 심각성을 보면 파이어폭스 보안 취약점의 심각성이 훨씬 높았습니다. 크롬은 '그리 심각하지 않으나 많이 발견된 것.'이고, 파이어폭스는 '수는 적으나 심각한 취약점이 발견된 것.'인데, 어쨌든 이들 브라우저도 항상 취약점에 노출된 상태라는 거죠.
 
 '그럼 이번에만 이슈가 된 IE가 나은 거 아닌가?' 싶지만, 크롬이나 파이어폭스는 먼저 안정화 버전을 통해 취약점을 파악하고, 보안 업데이트를 빠르게 진행하면서 진압해왔습니다. IE도 마찬가지입니다. 하지만 이번에는 제로데이 공격 위협이 있는, 아직 해당 취약점에 대한 패치가 준비되지 않은 상황에서 공격받을 수 있는 아주 심각한 취약점입니다.
 
 필자가 말하고자 하는 것은 'IE보다 속도가 빨라서', '부가기능이 풍부해서'라는 이유로 크롬이나 파이어폭스를 사용하기도 하지만, 웹 브라우저 보안에 유동적으로 대처하기 위해선 '현재의 IE 취약점만을 피하고자 다른 브라우저를 설치해야 하는 것'이 아니라 이미 여러 웹 브라우저의 보안에 대처하기 위해선 다양한 브라우저를 사용했었어야 한다는 겁니다.
 
 그러나 이것이 이행되기 어려웠던 이유는 알만한 사람은 다 알만큼 국내 웹 환경이 IE에 종속된 상태였고, 갑자기 이런 심각한 문제가 발생했을 때 다른 브라우저를 사용하라는 권고만으로 피해를 대처할 순 없습니다. 미리 대비되어있지 못했으니까요. 그나마 크롬이나 파이어폭스의 사용을 이끌 수 있었던 건 단지 '속도'가 전부였습니다. 손쓸 방법이 없는 상황입니다.
 
 


 애초 한 가지 웹 브라우저만 사용해야 하는 시대는 저물었습니다. PC 브라우저도 마찬가지지만, 모바일 브라우저는 그보다 훨씬 많은 수가 존재하고, 기능도 막강해져서 선택할 여지도 늘어났죠. 이젠 보안을 위해서라도 다양한 브라우저 설치와 사용이 지향되어야 합니다.
 
 EU는 오래전부터 MS에 대해 반독점 조사를 했고, 2009년 MS가 윈도에 IE뿐만 아니라 파이어폭스, 크롬, 사파리, 오페라 등의 웹 브라우저를 선택하게 하면서 독점 관련 조사가 철회된 일이 있었습니다. 2012년에 다시 윈도 8을 두고, 다시 반독점 조사를 하여 작년에 벌금을 물기도 했지만, 어쨌든 한 가지 브라우저 사용을 유도하는 자체에 대해서 그다지 좋은 인식은 아니게 되었습니다.
 
 실제 IE의 56% 글로벌 점유율을 넘어서는 점유율을 보유한 국가는 그리 많지 않은데, 국내 점유율은 무려 75%로 워낙 인터넷 사용자도 많다 보니 평균을 올리는 주역의 하나로 꼽힙니다. 이런 형태는 바뀌어야 하고, 웹 생태계와 안전한 보안을 위해서도 다양한 브라우저 사용이 지향되어야 합니다.