MS가 인터넷 익스플로러(IE)의 새로운 결함에 대해 조사에 착수했다. 아무리 안전한 윈도우 버전을 쓰고 있는 사용자라 할지라도 피싱(phishing) 공격의 위험에 노출될 수 있다는 보고 때문이다.
지난 17일 MS는 세큐니아(Secunia)등 여러 보안업체들이 제기한 IE 6.0의 보안 결함에 대해 조사하고 있다고 밝혔다. 이들 보안업체에 따르면 기존 윈도우 버전뿐만 아니라 가장 최근에 보안을 위해 업데이트 된 서비스팩2(SP2)가 설치된 PC들 조차도 피싱수법을 사용하는 공격자들에게 공격받을 수 있다고 경고했다. 피싱은 일반적으로 은행과 같은 금융기관이나 상거래 사이트로 위장한 페이지를 제작해 사용자들을 속이고, 그들에게서 신용카드나 계좌번호, 패스워드와 같은 금융정보를 가로채는 것이다.
이번 문제를 제기한 보안업체중 하나인 세큐니아는 사기꾼들은 IE를 이용해 식별이 힘든 가짜 사이트를 만들 수 있는 것은 물론 가짜 SSL 서명인증 까지도 위조할 수 있다고 전했다. 또한 어떤 사이트에서 발행된 쿠키값도 빼낼 수 있다고 덧붙였다.
세큐니아의 최고 기술 책임자(CTO) 토마스 크리스틴센은 "이 문제는 사용자들이 브라우저의 표시내용을 확인할 수 없다는데 있다. 이 점을 이용해 공격자들은 사용자들을 속이고 그 사이트가 믿을만한 사이트라고 생각하게 만들어 개인정보를 입력하게끔 만든다. 그리고 불행히도 이들 정보는 악성사이트에 기록돼 악용되는 것이다"고 말했다.
이런 문제가 IE사용자들에게 큰 피해를 줄 수 있음에도 불구하고 세큐니아는 이 취약성에 대해 '다소 심각한’이라는 비교적 낮은 등급으로 분류했다. 이 취약점이 컴퓨터 네트워크에 접근하기에는 무리가 있기 때문이라는 이유에서다.
이번 결함 이전에도 MS는 여기저기서 불거져 나오는 보안 결함을 보완하기 위해 여러 패치와 방법으로 대응해봤지만 결과는 그다지 만족스럽지 않았다. 지난 8월, 빌게이츠 회장은 SP2를 내놓으며 이 프로그램이 다양한 공격에 대해 중요한 역할을 해낼 것이라고 대대적으로 선전하기도 했다.
MS의 한 관계자에 따르면 MS는 이번 결함에 대한 조사에 적극적으로 참여하고 있으며 아직 이 취약점을 이용한 공격이 있었다는 보고는 없었다고 강조했다. 현재 MS는 고객들에게 자사가 내놓은 'PC의 자기 방어(Protect your PC)‘라는 일종의 지침서에 따라 방화벽의 설치나 소프트웨어의 업데이트, 안티-바이러스 프로그램을 작동시킬 것을 권고하고 있다.
그는 "이번 문제에 대한 조사가 완료된 후에도 MS는 고객들을 보호하기 위해 한 달마다 보안업데이트를 발표하거나 고객의 요구에 따라 보안 업데이트를 비정기적인 점검을 실시할 것”이라고 전했다.
세큐니아는 IE 6.0의 DHTML 에디트 액티브X 컨트롤이 문제의 원인으로 특정상황에서 ‘이그젝스크립트(execScript)’라는 기능을 사용하면 이 취약점이 드러난다고 설명했다. 공격자들은 이를 이용해 임의의 스크립트 코드를 실행할 수 있고 가짜 웹사이트로 연결되는 링크를 전자메일에 송부할 수 있다고 전했다. 링크로 연결된 웹사이트에는 순간적으로 이동하고자 하는 사이트의 URL이 표시되지만 곧바로 사용자들은 이와는 다른 가짜 사이트로 이동하게 되는 것이다.
크리스텐센은 "이번 문제는 액티브X 컨트롤에 전달되는 특정 입력정보가 올바르게 확인되지 않는다는데 있다. 이로써 사용자들은 자신들이 올바른 사이트에 접속하고 있다고 믿게 되고 윈도우에 표시되는 내용들까지도 바뀌게 되는 것”이라고 말했다.
세큐니아는 이 수법에 대한 사례를 자사 사이트에서 보여주고 있으며 이 문제를 수정하는 패치가 나올 때까지 액티브X가 실행되지 않도록 할 것을 사용자들에게 권고하고 있다.
Dawn Kawamoto( CNET News.com ) 