인터넷 최고의 보안「익스플로러만 쓰지 않기」 |
Robert Lemos, Paul Festa (ZDNet Korea) |
2004/07/01 원문보기 |
지난주 MS의 인터넷 익스플로러에서 발견된 주요 보안상 결함으로 모질라나 오페라와 같이 이번 결함과 관련 없는 다른 브라우저들이 황금의 기회를 맞고 있다. 로그온 정보와 패스워드를 훔치려는 주도면밀한 공격의 희생물이 되지 않으려면 네티즌들은 인터넷 익스플로러의 일부 기능을 끄거나 브라우저를 교체하는 것이 좋다고 일부 보안 전문가들은 전했다. 몇몇 웹 서버의 통제권을 장악한 신원이 밝혀지지 않은 공격자들은 지난 주 이번 결함을 악용해 JS.스코브(JS.Scob.Trojan)라 불리는 원격접속 프로그램을 해당 사이트를 방문한 사람들의 PC에 설치했다. 네트워크 위협을 감시하는 인터넷 긴급대응센터의 CTO 요하네스 율리히는 "MS가 곧 패치를 공개하기를 바란다. 그때까지는 2가지 선택권 밖에 없다. 인터넷 익스플로러의 자바 스크립트를 끄던지 다른 브라우저를 설치하는 것이다"라고 말했다. 지난주의 광범위한 공격은 인터넷 엔지니어들이 스코브 트로이 목마 프로그램을 호스팅하는 러시아 사이트를 웹에서 분리시킴으로써 약화됐다. 그러나 이 최근의 결함은 보안에 민감한 기업이나 가정용 사용자들이 대체 브라우저를 택하도록 할 수 있다. 결과적으로 MS가 웹 브라우저 시장에서 유지하고 있는 지배적 점유율이 약간 하락할 수도 있다. 일요일 현재 최소한 130개의 웹사이트가 방문자를 감염시키기 위해 시도 중이라고 인터넷 보안 회사 웹센스는 전했다. 이 회사는 지난주 러시아의 한 악성 사이트로 부터 200명 이상의 고객이 트로이 목마 프로그램을 다운로드하려 했다고 전했다. 이들 서버 중 그 어느 것도 최상위 웹사이트는 아니지만 모두 MS의 IIS (Internet Information Service) 5.0 웹 소프트웨어와 SSL (secure sockets layer) 암호화를 사용했다고 이 회사는 전했다. 오페라 브라우저나 모질라 재단이 만드는 모질라 혹은 파이어폭스 브라우저와 같은 비 MS 브라우저들은 결함 있는 기술이 상대적으로 적게 포함되어 있으며 인터넷 브라우징 기능만을 제공하는 경향이 있으며 따라서 프로젝트의 크기가 작다고 오페라 브라우저를 만드는 오페라 소프트웨어의 CTO 하콘 위움 리가 전했다. 리는 "코드 베이스가 다른 브라우저보다 작으며 문제가 발생할 경우 적극대처하기 때문에 보안이 아주 잘된 브라우저를 갖게 됐다"라고 말했다. 이러한 초점은 IE를 운영체제에 밀접히 통합시키기로 결정한 MS와는 다른 것이다. 한 가지 이유는 반독점 문제를 물리치기 위한 것이었다. MS 대변인으로 부터는 언급을 들을 수 없었다. 다른 브라우저를 사용하라는 권고는 소프트웨어의 다양성이 보안을 증진시킨다는 일부 보안 연구자들의 주장을 뒷받침하는 것이다. 농업과 질병방지에서 용어를 빌려온 소프트웨어 개발자들과 보안 전문가들은 "단종재배" 의 해악에 대해 경고해왔다. 이러한 용어는 단일 품종의 광범위한 경작을 일컫는 것으로 한 가지 병충해에 전체 경작물이 약점을 보이게 된다. 역사가들은 아일랜드 감자 기근과 같은 재앙의 원인이 단종재배라고 못 박는다. 모질라는 자사의 소프트웨어 오페라를 사용하는데 따르는 가치가 단일경작의 폐해에 따른 것이지 본질적으로 보안상 우월해서가 아니라는 사실을 알고 있다. MS의 브라우저는 웹서퍼의 95%가 사용하며 인터넷 분야를 지배하고 있다고 웹 애널리스트 회사인 웹사이드스토리가 전했다. 반면 모질라는 3.5%의 점유율을 기록하고 있으며 오페라는 웹사이드스토리가 모니터하는 사이트 방문자의 0.5%만이 사용한다. 모질라 재단의 엔지니어링 디렉터 크리스 호프만은 "인터넷 분야에서 IE의 사용이 너무나 비대하기 때문에 아주 눈에 띄는 목표가 되고 있다. 악성 코드 작성자들은 이러한 목표물을 노리는데 공격의 효과가 크기 때문"이라고 말했다. 호프만은 소프트웨어 단일성에 대한 전쟁이 자신이 속한 단체의 제 1의 존재이유라고 전했다. 그는 "브라우저의 단일성이 현재 보다 덜한 세계에 살고 있다면 시장의 대부분에 영향을 주는 악성 코드의 작성이 어려울 것이다. 이것이 모질라 재단을 추진하는 한 가지 이유이다. 즉 거의 모든 인구에 영향을 주는 악성코드를 개발할 수 없도록 선택권을 주는 것이다"라고 말했다. IE는 어리숙한 표적인가? 그러나 모질라는 본질적으로 보안이 우수한 일면이 있다고 주장한다. IE는 공격자들이 공격할 수 있는 지점이 많은데 액티브X 처럼 보안이 약하기로 악명 높은 강력한 MS의 고유기술을 지원하기 때문이다. 보안 전문가들은 또한 리눅스나 애플 컴퓨터의 맥 OS와 같이 비 MS 운영체제를 사용하는 웹서퍼들은 지난주 있었던 공격에 영향을 받지 않았다고 지적했다. 브라우저 교체를 권고하는 보안 그룹에는 온라인 위협에 대한 방위를 책임지는 공식 기관인 미국 컴퓨터비상대응팀(US-CERT)이 있다. 지난 6월 28일 이 단체는 보안 관리자들이 취할 수 있는 6가지 대책중의 하나로 비 MS 브라우저로의 교체를 거론했다. 이 권고안에 따르면 "IE 관련기술에는 심각한 결함이 여러 가지 있다. 다른 웹브라우저를 사용함으로써 이러한 결함으로의 노출을 감소시킬 수 있으며 특히 신뢰성이 없는 사이트를 방문할 때 더욱 그렇다." 이 권고안은 인터넷 익스플로러가 액티브 X 스크립트, 보안의 영역모델, 자바스크립트와 같은 핵심 기술 몇 가지에 있어서 상당한 보안 문제를 겪어왔다고 전했다. 그러나 이 그룹은 IE의 일부 기능을 끈다면 보안이 증진된다고 지적했다. 인터넷 보안 애널리스트인 CERT 코디네이션 센터의 아트 매니온은 "다른 브라우저의 사용은 단지 한 가지 방안일 뿐이다. 특정 제품을 다른 제품에 비해 권장하지는 않는다. 반면 당신이 가진 보안 모델에서 이러한 고려를 하지 않는다는 것도 순진한 얘기"라고 말했다. 그의 단체는 US-CERT의 행정을 맡는다. CERT는 또한 비 IE 브라우저를 선택했지만 윈도우 운영체제를 계속 사용하기로 결정한 사람들은 윈도우 OS 자체가 IE 기능에 의존하는 정도에 따라 위험에 처해있을 수 있다고 지적했다. 모질라의 호프만은 IE 브라우저를 포기하려는 윈도우 사용자들이 윈도우의 인터넷 옵션 내부의 보안 수준을 증가시킴으로써 이러한 공격을 차단할 수 있다고 권고했다. 윈도우는 이러한 옵션이 "중간" 단계로 자동 설정되어 있지만 "높음"으로 설정한다면 지난주와 같은 공격은 충분히 방어할 수 있었을 것이라고 말했다. 그는 또한 웹 개발자들이 액티브X에 의존하는 웹사이트의 개발을 중지할 것을 권고했다. 그는 게임사이트와 사진 업로드 사이트들의 남용이 제일 심하다고 전했다. 호프만은 "보안 결함과 관련된 고유기술을 사용하지 않도록 권장한다. 액티브X는 이러한 악성코드가 악용하는 가장 흔한 기술이며 최근의 악성코드들을 보면 알겠지만 사용자들을 노출시키고 이 기술을 사용할 수 있도록 하는 것은 정말 위험하다. 웹 사이트들은 사용자 보호를 위한 조치를 재고해야 한다"라고 말했다. @ |
1. 흠... 하지만 여러 브라우저를 동시에 쓴다면 오히려 각 브라우저의 모든 보안 취약점에 동시에 노출되는 문제도 있을 것 같다.
2. 생각해보니 MS처럼 자신들의 application을 OS에 밀접하게 내장할 수록 보안 취약점이 늘것 같다.
application program들은 아무래도 보안에 허술할 텐데, OS 코드에 넣어버리면 protection이 잘 안되서 위험할 듯..
그리고 software 공학적으로 코드 크기가 커질수록 버그도 늘 수 밖에 없으니까.