[지디넷코리아]MS는 이번 주 인터넷 익스플로러의 심각한 10개의 ‘긴급’ 취약성을 수정하는 메가패치를 공개했다. 하지만 10개의 취약성 중에는 이미 사이버 공격에 악용돼 피해를 주는 버그도 포함돼 있어, MS의 대응이 너무 늦은 게 아니냐는 빈축을 사고 있다.

MS는 매월 제 2 화요일에 실시하는 월례 패치 릴리스의 일환으로서 이번 IE용 업데이트를 공개했다. 여기에는 윈도우에서 발견된 ‘긴급’ 취약성 2건, 아웃룩 익스프레스의 ‘중요한’ 취약성 1건, 프론트페이지와 세어포인트의 컴퍼넌트에 있는 취약성 1건(심각도는 ‘경고’ 레벨)을 각각 수정하는 패치도 릴리스 했다.

한 보안 벤더의 프로덕트 매니저인 조나단 비틀은 이번 패치가 나온 취약성에 대해 “큰 여파를 가져올 것이다. IE와 윈도우에 있는 취약성은 특히 중요하다. 경험이 부족한 유저를 속이는데 악용될 가능성이 있다. 5건 중 3건은 웜이 퍼질 가능성이 적지만, 유저가 속아 악성 웹 페이지를 방문할 가능성이 크다”고 말했다.

IE 5, IE 6에 모두 영향, ‘긴급’ 레벨
이 IE 업데이트로 수정되는 10건의 취약성 가운데, 8건은 패치가 적용되지 않은 IE가 동작하는 윈도우 PC를 침입할 우려가 있다. MS는 'Security Bulletin MS06-013'에서 공격자가 악성 웹 사이트를 만들어, 액세스하는 유저의 PC에 침입하는데 사용될 가능성이 있다고 밝히고 있다.

MS는 이런 취약성이 IE 5, IE 6에 영향을 주기 때문에 심각도를 ‘긴급으로 분류하고 있다. 윈도우 OS의 모든 현행 버전인 윈도우 2000, 윈도우 XP, 윈도우 서버 2003 외, 윈도우 98이나 윈도우 밀레니엄 에디션으로 움직이는 IE에도 모두 해당 취약성이 존재한다고 한다.

취약성의 가장 심각한 부분을 악용하면, 공격자가 취약성의 영향을 받는 시스템을 완전하게 빼앗는 것이 가능하게 된다. 따라서 MS는 이번에 공개한 패치를 곧바로 적용하기를 권유하고 있다. 자동 업데이트를 유효로 해둔 윈도우 유저는 이번 패치가 자동 송신된다.

MS는 IE의 취약성 중 하나가 벌써 악용되고 있기 때문에, 수정 패치를 11일보다 전에 내라는 압력을 받아왔다. ‘CreateTextRange’ 취약성에 대해서는 서드파티의 잠정 패치까지 등장했다. 이 취약성은 악성 웹 사이트에서 스파이웨어 등을 취약한 PC에 잠입하게 하는데 악용된다고 전문가는 설명한다.

MS의 시큐리티 권고에 의하면, 이번 릴리스된 패치로 수정되는 10건의 취약성 가운데, 3건은 벌써 악용되고 있다고 한다. 다만 공격 목적으로 악용된 것은 CreateTextRange 결함뿐이라고 덧붙였다.

그러나 시만텍이 입수한 정보로는 MS가 패치를 릴리스 하기 전에 공격에 악용된 결함이 벌써 3건에 이른다고 한다. 시만텍 시큐리티 리스폰스(Symantec Security Response)의 올리버 프렌드리치는 성명에서 “공격은 향후도 계속될 것”이라며, “최신 시만텍 인터넷 시큐리티 위험 리포트(Symantec Internet Security Threat Report)에 의하면, 시큐리티 패치가 나오고 나서 엑스프로 실 코드가 개발될 때까지 평균 6일간의 시간이 있다”고 말했다.

갈수록 심각해지는 윈도우 취약성
MS는 이번 IE의 취약성을 수정하는 패치 외에, 윈도우에 있는 2건의 취약성에 대응하는 패치도 공개했다. 역시 ‘긴급’ 레벨로 분류되는 이 취약성은 IE 취약성의 영향을 받는 모든 버전의 윈도우에 영향을 주는 것으로, 윈도우 유저에게 있어서는 더블 펀치가 된다. 이 2건의 취약성, 즉 특정 액티브X 컨트롤에 관한 것(MS06-014)과 윈도우 익스플로러의 버그(MS06-015)는 모두 PC를 빼앗는데 악용될 가능성이 크다.

아웃룩 익스프레스 유저는 또다른 취약성에 기인하는 위험에 직면하고 있다. MS는 ‘Security Bulletin MS06-016’에서, 아웃룩 익스프레스에는 윈도우의 주소 파일의 처리 방법에 관한 취약성이 있어 특별히 작성된 WAB 파일을 열면 악성 코드가 실행돼 공격자에게 윈도우 PC를 노출당할 우려가 있다고 설명하고 있다.

MS에 의하면, 윈도우나 아웃룩 익스프레스의 취약성은 비공식 보고되고 있었지만, 이것을 악용한 공격의 보고는 아직 받지 않다고 한다.

MS가 낸 5건의 시큐리티 경고의 마지막은 ‘MS06-017’으로, 이것은 피해를 당할 유저수가 가장 적고, 심각도도 ‘경고’로 분류되고 있다. 웹 사이트 작성용 소프트웨어인 프론트페이지와 콜레버레이션 소프트웨어인 세어포인트에 있는 크로스 사이트 스크립팅의 취약성이다.

IE 특허 관련 변경도 포함
IE 업데이트에는 시큐리티 패치 외에, 액티브X의 처리 방법을 변경하는 것도 포함된다. 이 변경은 MS와 에올라스 테크놀로지(Eolas Technologies) 간에 장기간 계속 되고 있는 특허 관련의 소송에 해당하는 것으로, 이것에 의해 IE로 특정의 웹 사이트를 표시하는 방법이 바뀐다.

이 액티브X 관련의 변경에 대응하는 시간이 필요한 IE 유저는 그것을 2개월간 무효로 하는 특별한 패치를 다운로드할 수 있다. 이 호환성 확보를 위한 패치는 액티브X를 이용한 커스텀 애플리케이션을 이용하고 있는 기업용이다. @