MS가 인터넷익스플로러(IE8)에서 보안취약성을 발견하고도 반년 이상 수정하지 않고 있다.
씨넷은 21일(현지시간) 제로데이구상(Zero-Day Initiative,ZDI)의 최신 보고서를 인용, 이같이 보도했다.
보고서에 따르면 MS는 지난 해 10월 이래 심각한 보안결함을 보여온 익스플로러8(IE8)의 제로데이결함을 수정하지 않은 채 7개월 째 방치하고 있다.보고서는 180일 이상 수정되고 있지 않은 제로데이 보안문제를 공개한다는 정책에 따라 이러한 문제를 발표했다.
이 제로데이 보안취약성은 컴퓨터를 감염시키도록 설계된 사이트를 방문할 때 IE8에서 악성코드가 돌아가게 만든다.
보도에 따르면 MS는 이전에는 알려지지 않았고 패치도 없던 제로데이 보안결함에 대해 지난해 10월부터 인식하고 있었지만 고칠 수 없었다.
MS는 이같은 문제의 원인과 관련, IE8이 윈도XP를 지원하는 마지막 브라우저이기 때문이어선지, 또는 보안취약점 자체가 고치기 힘들기 때문이어선지에 대해서는 말하려 하지 않았다.
MS측은 제로데이 결함이 활성화돼 악용되는 것을 발견할 수 없었다고 말했다. 이는 이 결함이 광범위하게 알려져 있지만 아무도 이를 이용해 사용자들을 공격하지 않았다는 것을 의미한다.
MS대변인은 “우리는 모든 보안 취약점을 수정해 가능한 한 빨리, 완벽하게 테스트한다. 일부는 다른 것에 비해 복잡하다. 그리고 우리는 엄청난 수의 프로그램,애플리케이션,다른 설정에 대해 모든 것을 테스트해야 한다”고 말했다.
관련기사
- 中, 정부PC에 윈도8 사용금지...왜?2014.05.23
- MS 최신 보안패치에 윈도XP 제외…피해 우려2014.05.23
- 미래부, 윈도XP 이용자 보안 주의 당부2014.05.23
- 카스퍼스키랩, 윈도XP용 백신 무료 제공2014.05.23
이번 IE관련 제로데이 보안결함 발견은 MS가 지난 4월 윈도XP를 중단하고 난 후 처음 등장한 것은 아니다. MS는 XP서비스가 끝난 지 얼마안돼 주요한 제로데이결함이 발생하자 5일만에 비상패치를 제공했다.
MS는 IE사용자들에게 액티브X컨트롤과 액티브X스크립팅을 막기위해 (바뀌는 OS와 별개로) 인터넷보안구역 설정을 ‘높음’으로 설정하고, 액티브스크립팅을 가동하기 전에 IE를 설정하는 방법, 액티브X컨트롤과 액티브 스크립팅을 인터넷과 로컬 인트라넷 보안존에서 무력화시키는 방법, 취약성툴인 EMET4.1(Enhanced Mitigation Experience Toolkit4.1)를 설치하는 방법 등을 밝혔다.
