지난달 어도비는 플래시 플레이어에 대한 핵심 보안 업데이트를 배포했으나 이는 윈도8 운영체제(OS)용 인터넷익스플로러10(IE10)에서는 적용되지 않는다. 이 때문에 만약 윈도8 기반에서 IE10를 사용한다면 심각한 보안위협에 노출될 가능성이 높다.
9일(현지시간) 외신은 윈도8의 개발자 버전이나 평가판을 사용하는 이들이 IE10를 사용하면서 심각한 플래시 보안 취약점에 노출될 수 있다며 추가적인 조치가 필요하다고 보도했다.
지난달 21일(현지시간) 어도비는 새로운 플래시 업데이트를 공개하면서 이 업데이트는 공격자들이 (악성코드에) 감염된 시스템을 통제할 수 있게 하는 취약점을 보안한 것이라며 최우선 업데이트 사항으로 분류했다.
윈도7이나 이전 버전의 OS를 사용하는 이들은 자동 업데이트를 통해 문제를 해결할 수 있으나 윈도8 기반 IE10에서는 제대로 패치가 이뤄지지 않았다. 사용자가 임의로 업데이트 하는 것 역시 불가능한 상황이다.
마이크로소프트(MS)는 윈도8에서 플래시 기능을 서드파티 플러그인으로 적용하는 대신 IE10 브라우저에 내장하는 방식으로 적용할 계획인 것으로 알려지고 있다. 구글이 이미 모든 크롬 브라우저에 적용해 온 방식이기도 하다.
미국 지디넷은 이 방식이 윈도8용 브라우저를 플러그인으로부터 해방시키는 대신 플래시 콘텐츠의 플레이백을 사용할 수 있게하는 것이 장점이나 어도비의 업데이트와 브라우저 사용자들 간에 병목구간을 만든다는 단점이 있다고 말했다. 어도비의 보안 업데이트를 윈도8의 IE10에 적용되기까지 빈틈이 생긴다는 설명이다.
구글은 자동 브라우저 업데이트를 통해 이 문제를 해결했다. 그러나 IE10은 이와 같은 업데이트가 적용되지 않는다.
MS 대변인은 보안은 물론 중요한 문제이며 윈도8에 플래시 업데이트를 적용할 계획이나 윈도8 RTM빌드에서 현재 버전의 플래시는 최신 업데이트가 적용되지 않으며 GA타임프레임 때 윈도업데이트를 통해 보안 업데이트를 추가할 계획이라고 밝혔다. GA타임프레임은 윈도8이 공식 발표되는 내달 26일을 말한다.
문제는 어도비의 보안업데이트가 지난 두 달전에 발견됐다는 점이다. 해커들에게 그만큼 잘 알려진 취약점이라 공격시도 가능성 또한 높이지는 셈이다.
올해 초 이와 비슷한 문제를 겪은 애플은 자바의 보안취약점을 이용한 플래시백 악성코드가 60만대의 맥PC을 감염시키는 사건을 일으키기도 했다. 이는 애플 OS X 기반 사용자의 1%에 달한다. 애플은 지난 4월 이를 보안한 업데이트를 배포했고, 49일이 지나서야 오라클은 모든 플랫폼을 대상으로 자바 SE6 업데이트 31을 공개했다. 그 사이 약 7주간 모든 맥 사용자들은 잠재적인 악성코드 감염위험에 처하게 됐던 것이다.
관련기사
- 국내 자바 플래시 이용 공격 늘어2012.09.10
- 어도비 플래시 취약점 이용 APT공격 '주의'2012.09.10
- MS, IE10에 '메모리 해킹 방지' 기능 강화2012.09.10
- [단독]윈도8 태블릿 IE10, '액티브X' 빠지다2012.09.10
미국 지디넷은 윈도8을 사용하기 위해 플래시플레이어를 사용하지 않는 방법을 추천했다. 이를 위해서는 IE10 설정에 들어가 추가 기능관리를 선택 쇼크웨이브 플래시 오브젝트를 선택한 뒤 '사용안함'으로 설정하면 된다.
그 뒤 액티브X 필터링 기능을 적용한다. 이는 IE 상에 모든 액티브X 컨트롤의 자동실행을 막는 역할을 한다. 새로 공개될 윈도8에는 플래시가 내장되기 때문에 이 기능은 사용자가 각각 액티브X 기능을 취사선택할 수 있도록 했다. 이 기능을 설정하려면 도구 아이콘을 클릭해 안전(safety) 항목을 클릭, 액티브X 필터링 사용에 체크하면 된다.
