[김국배기자] 마이크로소프트(MS)가 내년 1월 12일부터 OS별로 가장 상위 버전의 인터넷 익스플로러(IE)만 기술 지원 및 보안 업데이트를 지원키로 하면서 신형 웹브라우저로의 업그레이드가 시급해졌다. 구형 인터넷 익스플로러에 대한 보안 문제가 우려되고 있기 때문이다.
특히 국내 인터넷 사용자들은 윈도 사용에 따른 인터넷 익스플로러 잠금효과(Lock-in)가 강하게 나타나 업그레이드가 시급히 요구되는 상황이다.
이를테면 윈도 비스타에서 설치할 수 있는 인터넷 익스플로러 버전은 IE 7·8·9이므로 IE 9, 윈도 7은 IE 8·9·10·11 가운데 IE 11만 지원받을 수 있다.
◆윈도 7 IE 10 이하 사용자 10명 중 3명
정책 변경일은 약 100일 앞으로 다가왔지만 국내 인터넷 사용자들은 여전히 구형 IE를 쓰는 비율이 높은 편이다.
한국인터넷진흥원(KISA)에 따르면 지난 8월 기준 IE 11을 설치할 수 있는 윈도 7에서 IE 10 이하의 웹브라우저를 사용하는 비율은 29.48%에 달한다. 10명 가운데 3명은 최신 브라우저를 사용하지 않는 셈이다. IE 점유율 자체가 87.64%로 크롬(8.82%)의 10배 가까이 된다.
OS와 무관하게 IE 6부터 IE 10를 쓰는 사용자가 과반수가 넘는다는 게 KISA 측 설명이다. 이에 따라 KISA는 지난 8월부터 9월까지 두 달에 걸쳐 최신 웹브라우저 업그레이드 대국민 캠페인(www.koreahtml5.kr)까지 벌였다.
KISA 인터넷환경개선팀 심동욱 팀장은 "사용자들이 최신 브라우저가 필요하다는 것을 인지하지 못하는 게 큰 원인"이라며 "또 IE는 크롬, 파이어폭스와 달리 최신 브라우저에서만 자동업그레이드가 디폴트로 설정돼 있다"고 설명했다. 사용자가 직접 업그레이드에 신경을 써야 한다는 얘기다.
◆구형 브라우저 보안 위협 '불보듯 뻔해'
IE 취약점은 매년 꾸준히 발견되는 터라 구형 웹브라우저를 계속 사용할 경우 보안 위협이 커질 수밖에 없다.
보안업체 하우리에 따르면 악성코드 유포에 쓰인 IE 신규 취약점만 올해 9월까지 4개가 발견됐다. 지난 2013년 13개로 정점을 찍은 뒤 줄고 들고 있긴 하나 IE 취약점은 2006년부터 10년간 꾸준히 악성코드를 뿌리는데 악용됐다.
하우리 침해사고대응팀(CERT) 최상명 실장은 "(IE의) 모든 취약점이 실제 악성코드 유포에 쓰이는 것은 아니지만 매년 수십 건의 취약점이 나오는 상황"이라며 "IE 업데이트가 중단되면 IE 공통 취약점이 나올 경우 해당 IE를 쓰는 한 악성코드에 계속 감염될 수밖에 없어 매우 위험하다"고 지적했다.
보안 업데이트를 종료한다는 것은 해당 브라우저 취약점이 발견돼도 원천적으로 막을 수 없다는 뜻이다. 실제로 IE 전 버전에 해당하는 'CVE-2014-6332' 취약점의 경우 윈도 XP에서 IE 지원이 중단되면서 현재 해당 취약점에 대한 패치가 없는 상태라 웹서핑만 해도 악성코드에 쉽게 감염된다.
공격자들이 특정 사이트를 변조해서 취약점이 존재하는 브라우저로 해당 사이트에 방문만 해도 악성코드에 감염시키는 '드라이브 바이 다운로드' 공격을 할 수 있고 사용자가 현혹될만한 제목이나 내용의 인터넷주소(URL)을 메일로 전송해 접속을 유도할 수도 있는 것이다.
안랩 관계자는 "백신(Anti-Virus) 같은 보안제품은 구형 브라우저 취약점을 악용하는 악성코드에 대한 진단은 할 수 있지만 브라우저 자체의 취약점을 막는 것은 해당 브라우저를 만든 제조사만 가능하다"며 "보안 패치가 없는 브라우저를 계속 사용하면 다양한 보안 위협에 노출될 수 있다"고 경고했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기