MS 보안 업데이트서 빠진 구버전 IE, 대비책 마련 시급

[미디어잇 노동균] 지난달 마이크로소프트(MS)가 구버전 인터넷 익스플로러(IE)에 대한 지원을 종료함에 따라 보안 위협에 노출된 PC에 대한 대비책 마련이 시급해졌다. 당장 MS의 최신 보안 업데이트에서 구버전 IE가 빠졌기 때문이다.

 

최근 MS는 2월 정기 보안 업데이트를 통해 IE의 보안 취약성을 해결하기 위한 누적 보안 업데이트(KB3134220)를 배포했다. 해당 업데이트에는 DLL 로드 원격 코드 실행 취약점과 IE 정보 유출 취약점, 다중 메모리 손상 취약점, 권한 상승 취약점, 브라우저 스푸핑 취약점 등을 해결하기 위한 패치가 포함돼 있다. 중요도 등급상으로도 ‘긴급(Critical)’에 해당하는 중요한 패치들이다.

MS에 따르면 이 중 가장 심각한 취약점은 사용자가 IE를 사용해 특수 제작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있는 부분이다. 공격자가 이 취약성 악용에 성공하면, 현재 사용자와 동일한 사용자 권한을 얻어 데이터 조회, 변경, 삭제가 가능하며, 모든 사용자 권한이 있는 새 계정을 만들 수도 있다.

현재 MS의 최신 보안 업데이트가 지원되는 운영체제별 IE 버전은 윈도 비스타 서비스팩(SP)2와 윈도 서버 2008 SP2에서는 IE 9, 윈도 서버 2012에서는 IE 10, 윈도 7 SP1과 윈도 8.1, 윈도 서버 2008 R2 SP1, 윈도 서버 2012 R2에서는 IE 11이다. 윈도 10에는 IE 11이 기본 탑재돼 있기 때문에 큰 걱정이 없다. 그러나 하위 버전의 윈도를 사용 중이라면 어떤 IE를 사용하고 있는지를 확인할 필요가 있다. 이미 단종된 윈도 XP의 경우 IE 버전에 관계없이 업데이트 대상에 해당되지 않는다.

문제는 여전히 IE 구버전 사용자가 절대적으로 많다는 점이다. 미래창조과학부의 2015년 하반기 국내 인터넷 이용 환경 현황 조사에 따르면, MS의 지원 중단 대상인 구버전 IE를 이용 중인 사용자가 전체의 59.47%로 절반을 훨씬 웃도는 것으로 나타났다.

이들 구버전 IE에서는 새로운 취약점이 발견돼도 더 이상 해당 취약점에 대한 패치가 제공되지 않는다. 결국 이를 노린 제로데이 공격 등으로 인해 구체적인 피해 사례가 발생할 가능성이 크다. 정부나 보안 업계가 보안 강화를 위해 운영체제 및 주요 소프트웨어를 항상 최신 상태로 유지할 것을 권고하는 이유도 이 때문이다.

기업의 경우는 더 심각한 피해를 입을 수 있다. 업계에 따르면, 대부분의 기업 사내 인트라넷에서 IE를 사용하고 있는데, 이 중 최신 버전의 IE를 사용하는 곳은 많지 않은 것으로 추산된다. 기존 사용 중인 업무용 애플리케이션과의 호환성 때문에 굳이 구버전 IE를 사용한다는 것이 표면적인 이유다.

업계 관계자는 “대다수 기업들이 현행 업무 환경을 유지하면서도 호환성 테스트를 거쳐 일시에 시스템을 업그레이드하기에는 비용이 부담될 수밖에 없다”며 현실적인 문제를 강조했다. 그러나 MS가 구버전 IE에 대한 지원 종료를 앞서 2년 전부터 예고했음을 고려하면, 대응하기에 충분한 시간이 있었다는 지적을 피하기는 힘들어 보인다.

한편, MS는 이번 정기 보안 업데이트를 통해 IE 외에도 엣지 브라우저, 오피스, 닷넷(.NET), 어도비 플래시 플레이어 등에 대한 총 13종(MS16-009~022)의 패치를 내놨다. 이들 패치는 윈도 업데이트를 통해 자동 혹은 수동으로 설치할 수 있다.

노동균 기자 saferoh@chosunbiz.com