지난달 말 발표된 인터넷 익스플로러(Internet Explorer)의 미수정 취약성에 대해서 보안 연구자들은 미국 마이크로소프트가 가까운 시일 내에 긴급 패치를 진행할 것으로 예측했다.

 

MS는 12월 29일 IE 6~8에 미수정 취약성이 존재한다고 발표했다. 시만텍(Symantec) 등 다수의 보안 제조사는 이미 이 취약성이 사이버 공격에 악용되기 시작된 것으로 보고 있다. 덧붙여 이 취약성은 IE 9/10에는 존재하지 않는다.

 

MS에서는 매월 2번째 화요일에 월례 보안 업데이트를 실시하지만, 1월 9일 보안 업데이트에서는 이 취약성에 대응한 수정 패치가 공개되지 않았다. MS가 2월 월례 패치를 기다리지 않고 긴급 패치를 발표할 것이라고 보안 연구자들은 예측한다. 이유는 이 취약성을 이용한 공격이 증가하고 있어, 현재 MS가 공개한 일시적인 해결법(Fix it)도 회피 가능한 것으로 보이기 때문이다.

 

보안 제조사인 엔서클 시큐러티(nCircle Security)의 보안 운용 디렉터인 앤드류 스톰스(Andrew Storms)는 “MS가 긴급 업데이트를 발표해도 이상하지 않은 상황이다.”라면서, “2월 월례 패치까지 앞으로 5주가 남았는데 이는 고려할 수 없는 상황이다. 긴급 릴리스를 해야 한다는 압력을 받고 있다.”고 강조했다.

 

MS에 압력이 가해지는 이유는 구 버전의 IE를 노려 드라이브바이 다운로드 공격을 거는 공격 사이트가 증가하고 있다는 보고가 잇따라, 또 MS가 추천하고 있는 일시적인 방어책이 회피 가능하다고 지적되고 있기 때문이다.

 

MS가 이 취약성을 발표한 12월 29일 시점 다수의 보안 제조사가 미국 비정부 씽크탱크 CFR(외교 문제 평의회)의 웹사이트에 IE 8을 노린 공격 코드가 있는 것을 지적하고 있다. 이후 같은 드라이브바이 다운로드 공격이 다른 도메인에서도 발견되었다.

 

또, MS에서는 공격 영향을 경감하는 Fix it 툴을 공개해 한층 더 보호 유틸리티의 EMET(Enhanced Mitigation Experience Toolkit)도 적용하도록 유저에게 추천하고 있다. 하지만 보안 제조사의 엑소더스 인텔리전스(Exodus Intelligence)에서는 어느 대책도 본질적인 해결책이 아니라고 주장한다.

 

미국 브이엠웨어(VMware)의 R&D 매니저인 제이슨 밀러(Jason Miller)도 마이크로소프트는 다음 달 2월 19일 월례 패치가 아닌 긴급 릴리즈를 실시할 것이라고 보고 있다. “빠르면 다음 주, 늦어도 다다음 주에는 패치가 공개될 것”이라고 밝혔다.

 

밀러는 이 취약성은 IE 9/10로 업그레이드해 해결 가능하지만, 윈도우 XP에서는 IE 8까지 밖에 지원하지 않으므로 MS가 긴급 패치를 적용하지 않을 수 없을 것이라고 말했다. MS가 긴급 업데이트를 진행하는 것은 보기 드문 일이다. 2010년 9월 이후 긴급 릴리즈는 2회 밖에 진행되지 않았다.

베타뉴스 우예진 기자 (w9502@betanews.net)
Copyrights ⓒ BetaNews.net

• • 목록
  • 위로