이번 에세이에서는 웹 브라우저에 대한 이야기를 드릴까 합니다. 현재 대표적인 웹 브라우저라고 하면 대부분 크롬(Chrome)을 떠올릴텐데, 아마 저와 비슷한 나이의 또래이시거나 00년대 이전이신 분들은 인터넷 익스플로러(IE)를 떠올리시는 분들도 있으실 겁니다. 물론 지금이야 다들 크롬을 사용하겠지만, 여전히 공공기관이나 은행 웹 사이트를 이용하실 때는 액티브엑스(ActiveX) 때문에 인터넷 익스플로러를 사용하실 텐데요. 이 액티브엑스가 굉장히 많은 보안 문제를 일으키고 있는데, 드디어 MS가 2022년 6월 15일 부로 인터넷 익스플로러에 대한 지원을 완전히 종료했다고 합니다. 그래서 이번에는 이 인터넷 익스플로러에 대한 역사를 조금 말씀드리고 이에 대한 대응 방안에 대해 설명드리겠습니다.
인터넷 익스플로러(앞으로 IE라고 하죠)는 저희가 생각하는 것보다 역사가 꽤 깊은 브라우저 인데요. 예전부터 MS의 윈도우 운영체제를 설치하면, 항상 필수적으로 설치되는 프로그램이기 때문에 과거에 독과점 논란에 휘말리기도 했습니다. IE는 한 때 웹 브라우저의 점유율을 독보적으로 장악했을 만큼 유명했지만, 지금은 그냥 구시대의 유물로 취급되고 있죠. 심지어 최근 사이버 공격에 사용된 취약점 중 대부분이 이 IE로 인해 발생했다고 하니.. 사용자 입장에서는 IE를 사용하고 싶지 않을 겁니다.
그런데 아직까지도 국세청에서 전자세금계산서나 종합소득세 신고를 위해서는 IE에서 여전히 액티브엑스를 설치해야하는데요. 이 액티브엑스에 대해서 잠깐 설명드리면.. 사용자 관점에서 봤을 때 웹 브라우저에서 일반적인 애플리케이션을 설치한 것처럼 동작하게 한 겁니다. 원래 웹 브라우저에서 실행되는 자바스크립트는 브라우저 내부에서만 실행되도록 제한되어 있는데, 액티브엑스를 설치하면 PC의 파일에 접근하거나 네트워크 통신을 하는 등의 일반 앱이 하는 일을 모두 할 수 있죠.
개발자 입장에서는 액티브엑스가 게임 실행, 동영상 재생 등 과거 웹 개발 환경에서 구현할 수 없는 기술들을 사용할 수 있게끔 하는 단비와 같은 존재였습니다. 심지어 웹 브라우저에서 각종 보안 모듈을 구현하는데 많이 사용되었기 때문에, 사용자에게 액티브엑스 설치를 위해 IE의 보안 설정을 낮추라고 안내하는 일이 많았죠. 그런데 말이죠.. 여기서 보안 설정을 낮추고 웹 서핑을 하다가, 해커가 악의적인 액티브엑스를 설치하도록 만든 웹 사이트에 접속하면 무슨 일이 벌어질까요? 아마 대충 예상이 가실 겁니다.
보통 IE의 보안 설정에 따라서는 사용자의 개입 없이도 액티브엑스가 자동으로 설치될 수 있는데, 위에서 액티브엑스가 일반 앱처럼 동작한다고 말씀드렸죠. 그 말은 해커가 만든 액티브엑스를 설치하면 PC에 설치된 일반적인 프로그램과 같은 권한을 가지고 수행되는데, 공인인증서를 탈취하거나 사용자의 행위를 모니터링하는.. 이런 것들이 가능하다는 의미인 겁니다. 이처럼 IE가 보안에 취약한 것은 물론, 오늘날의 웹 표준과는 동떨어져 있기 때문에 과거부터 IE가 웹 브라우저에서 퇴출되어야 한다는 말이 많았습니다.
그래서 MS에서 보안성과 호환성의 이유로 IE에 대한 지원을 종료하기로 했는데, 그럼 이에 대해 어떻게 대응을 해야하는지 말씀드려보죠. 사용자 입장에서는 사실 대응 방안이랄게 없는게, IE를 사용하지 않고 크롬이나 MS가 새롭게 개발하고 있는 엣지 브라우저를 사용하는 것으로 끝입니다. 다만 공공기관이나 금융권 기업에서 여전히 엑티브엑스가 동작하는 IE 환경에 맞춰서 웹 앱을 개발하는 경우가 존재하는데, 이때는 엣지 브라우저의 IE 모드를 통해서 사용할 수 있으니 그렇게 큰 문제가 되진 않을 것으로 생각됩니다. 기업 입장에서는 개발하고 있는 웹 앱이 엣지의 IE 모드에서 동작하는지 확인하거나 다른 환경에서 동작할 수 있도록 개발해야겠죠.
1년여 남은 인터넷 익스플로러 11 지원종료, 어떤 준비해야 하나
마이크로소프트(이하 MS)가 자사의 웹 브라우저 인터넷 익스플로러 11(이하 IE 11)에 대한 지원 종료 일정을 공식적으로 발표했다. MS는 우선 오는 2021년 8월 17일부터 MS 365 및 여러 MS의 웹 애플리케
www.boannews.com
아마 많은 분들이 IE를 사용하지 않을 것이기 때문에 이번 에세이는 그렇게 흥미롭지 않으실 거라고 예상하는데요. 하지만 저 같이 메일로 급여명세서를 받아 보거나 연말정산을 하시는 직장인이라면 귀찮지만 여전히 IE를 사용할 거기 때문에, 이전부터 왜 그렇게 IE가 문제였는지 이해하셨으리라 생각됩니다. 해커가 악성코드를 배포하는데 꽤 자주 IE의 취약점을 이용한다는 점을 알아두시고, 웬만하면 필요한 업무 외에는 IE를 이용하지 않는 것을 추천드립니다. 그러면 오늘의 에세이는 여기서 마치도록 하죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 매크로를 사용한 부고 안내문 사칭 메일 사례 (0) | 2021.06.28 |
|---|---|
| 업무용 이메일 계정 탈취 피싱 메일 사례 (0) | 2021.06.27 |
| 웹 스크래핑을 활용한 공격 사례 (0) | 2021.06.25 |
| URL 주소를 속이는 타이포스쿼팅 공격 (0) | 2021.06.24 |
| 비트코인 지갑 주소를 바꾸는 악성코드 사례 (0) | 2021.06.23 |
댓글