Home > 전체기사

인터넷 익스플로러 취약점 공격 급증했다는데... IE 그만 써야 되나요?

  |  입력 : 2021-01-26 18:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난해 하반기 국내에서 사이버 공격에 이용된 SW 취약점, IE 취약점이 100%
웹 표준기술 수용도 낮고 보안 취약하지만, 업무 시스템 때문에 어쩔 수 없이 유지하는 경우도 있어
서비스 및 솔루션 제공 기업은 새 웹 환경에 맞춰 서비스 개선해야


[보안뉴스 이상우 기자] 소프트웨어 취약점은 사이버 공격자에게 중요한 도구다. 사용자가 많은 소프트웨어나 오픈소스의 취약점을 발견하면 공격자는 들키지 않고 악성 행위를 지속할 수 있다. 이로 인해 유용한 취약점의 경우 다크웹 등을 통해 비싼 가격에 거래되기도 한다. 알려지지 않은 취약점 혹은 알려졌지만 대응방법이 마련되지 않은 취약점을 이용하는 공격을 제로데이 공격이라고 부른다. 이러한 취약점은 공격자에 의해 발견되는 경우도 있지만, 제로데이 대응팀 등 보안 전문가가 발견해 기업에 권고하고, 대응책을 마련한 뒤 공개되는 경우도 있다.

[이미지=utoimage]


그런데 이미 알려져 대응책이 마련된 취약점이라도 사이버 공격자가 이를 이용하지 못하는 것은 아니다. 일반적으로 사용자가 알려진 취약점에 대응하기 위해서는 소프트웨어 업데이트 및 보안 패치를 진행해야 한다. 이러한 업데이트에는 새로 발견된 취약점을 제거하는 내용이 포함돼 있기 때문이다. 하지만 모든 사용자가 이러한 업데이트를 철저히 지키는 것은 아니며, 이미 기술지원이 종료된 구형 소프트웨어를 사용하는 경우도 있다. 이로 인해 알려진 취약점이라 할지라도 이에 대비를 하지 않은 사용자라면 공격대상이 될 수 있다.

한국인터넷진흥원이 발간한 ‘2020년 하반기 악성코드 은닉사이트 탐지 동향 보고서’에 따르면, 지난해 하반기 국내에서 사이버 공격에 쓰인 소프트웨어 취약점은 인터넷 익스플로러 취약점이 100%를 차지했다. 공격에 주로 쓰인 취약점은 CVE 2018-7174(44%), CVE 2018-8373(44%) 등이며, 이 밖에 CEV 2019-0752(11%), CVE 2019-1367(1%) 등이 악용됐다. 특히, 지난 2020년 상반기에는 IE 취약점을 이용한 공격이 24건에 불과했으나, 2020년 하반기에는 101건으로 4배 이상 증가했다.

인터넷 익스플로러(이하 IE)는 한때 국내에서 가장 많이 사용하는 웹 브라우저였으나 현재는 그 자리를 웹 표준을 지원하는 각종 최신 브라우저에 내주고 있다. IE는 다른 브라우저와 비교해 웹 표준 수용도가 상대적으로 낮기 때문에 HTML5 등으로 개발된 콘텐츠를 제대로 실행할 수 없다. 또한, 각종 기능 실행을 위해서 액티브X 등의 플러그인이 필요하기 때문에 이를 악용한 사이버 공격 역시 가능하다.

▲2020년 하반기 이용된 취약점 종류[자료=한국인터넷진흥원]


마이크로소프트(이하 MS)는 현재 IE 최신 버전인 IE 11를 윈도우10 운영체제 기본 요소로 분류하고, 윈도우10을 지원하는 동안 IE에 대한 보안 업데이트도 함께 제공한다고 발표한 바 있다. IE 기반 웹 환경은 오래 전부터 MS 윈도우 생태계를 중심으로 구축돼 왔다. 하지만 오늘날 웹 환경은 웹 표준 기술로 대체되고 있으며, IE는 더 이상 이러한 환경에서 유용한 도구가 아니다. 이 때문에 MS 역시 일부 남아있는 사용자를 위해 IE에 대한 기술지원을 제공하고 있으나, 장기적으로는 웹 표준기술 수용도가 높은 엣지 브라우저로의 전환을 유도하고 있다.

그럼에도 불구하고 여전히 일부 사용자는 인터넷 익스플로러를 사용할 수밖에 없는 상황이다. 여기에는 여러 이유가 있겠지만, 전자세금계산서 발행 등 기존 기업용 웹 서비스가 IE와 플러그인 없이는 작동하지 않아 어쩔 수 없이 쓰고 있는 경우가 많다. 특히, IE를 최신 버전으로 업그레이드할 경우 서비스 제공 기업이 해당 버전에 맞춘 새 웹 서비스로 제공해야 하지만 이러한 작업이 언제나 실시간으로 이뤄지는 것은 아니다. 이에 서비스 이용자는 보안 위협에 놓인 기존 버전을 쓰는 경우가 많다. 이는 서비스 제공 기업이 사용자 편의가 아닌 자신들의 편의에 맞춰 개발해온 관행 때문이다.

앞서 언급한 것처럼 IE는 웹 표준기술 수용도가 낮고, 추가 기능을 사용하기 위해 설치하는 각종 플러그인은 보안에 취약하다. 실제로도 지난해 하반기 국내에서 쓰인 소프트웨어 취약점은 IE 취약점이 전부를 차지할 정도다. 국내외 웹 환경 역시 IE를 벗어나고 있다. 유튜브, 페이스북, 트위터, 네이버 등 주요 웹사이트는 IE를 호환하지 않는 브라우저로 지정하고 있으며, 윈도우 운영체제에서는 해당 사이트에서 IE로 접속 시 자동으로 엣지를 실행해 해당 페이지를 열고 있다.

▲왼쪽부터 엣지, IE 11, 엣지 레거시 등이며 엣지 레거시는 지원 종료 예정임[자료=보안뉴스]


지난해 1월을 기준으로 IE 점유율은 14.77%였으나, 마이크로소프트가 자사의 크로미움 기반 ‘엣지’ 브라우저로 사용자 전환을 유도하면서 조금씩 감소하는 추세다. 특히, 엣지는 크롬 브라우저와 마찬가지로 크로미움 엔진으로 제작된 만큼 기능이나 호환성이 유사하기 때문에 IE 사용자뿐만 아니라 기존 크롬 사용자까지 흡수하며 점유율을 높이고 있다. 이처럼 크롬, 엣지, 웨일 등 새로운 브라우저가 서서히 자리를 잡아가고 있으며 IE 입지는 반대로 급격히 줄어들고 있다. 이에 따라 서비스 제공 기업 역시 사용자 편의를 높이고 보안 역시 강화할 수 있는 웹 표준기술 도입을 서둘러야 할 것으로 보인다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비