IoT

인터넷익스플로러(IE) 사용하지 말아야 하는 이유

ㅋㅌㅌ 2014. 4. 30. 21:17

마이크로소프트(MS)의 브라우저 인터넷익스플로러(IE)에서 보안 취약성이 발견되었다.

 

1. 파이어아이는 IE의 취약점을 이용한 새로운 제로데이(zero-day) 공격을 발견했다고 밝혔다. 제로데이 공격이란 보안 취약점이 발견됐을 때 대응책이 마련되기 전에 벌이는 보안 공격이다. 제로데이 취약점의 경우 패치가 없기 때문에 일반 사용자들이 대응할 수 있는 방법은 제한적이다. 무료로 제공되는  바이로봇 APT Shield와 같은취약점 공격 사전 차단 솔루션을설치하면 패치가 없는 제로데이 취약점 공격도 사전차단할 수 있다.

 

2. 인터넷 익스플로러 6~11의 보안 결함을 노린 공격을 확인됐다. 해커들이 사용자 PC에 접근해 악성코드를 설치하고 이후엔 해커가 애플리케이션을 설치하거나 제 것처럼 PC를 조작할 수 있다.  IE의 플래시 플러그인을 작동하지 않게 해놔야 한다. 

 

이번 취약성은 공격자에 의해 인터넷 익스플로러 상에서 임의의 코드가 실행되거나 공격 코드를 넣은 웹사이트를 호스트할 위험성도 높다. 현재 이 취약성을 해결한 수정 프로그램은 제공되지 않았다. 현재 윈도우 XP 이후 거의 모든 윈도우 버전(32bit/64bit) 및 인터넷 익스플로러 6 이후의 모든 버전이 해당된다.

 

이번 취약점에 대해 해결책을 당연히 제공하고 있기는 하다.

 

첫째, 마이크로소프트의 취약성 해결 툴 EMET(Enhanced Mitigation Experience Toolkit) 4.1을 설치한다(EMET 3.0으로는 해결되지 않는다).

둘째, 인터넷 및 로컬 인트라넷 보안 영역 설정을 ‘있음’으로 설정한다. 이에 따라 ActiveX 컨트롤과 액티브 스크립트를 막을 수 있다.

셋째, 액티브 스크립트를 실행하기 전 대화 상자를 표시하도록 인터넷 익스플로러를 구성하거나 인터넷/인트라넷 보안 구역에서 액티브 스크립트를 무효화한다. 설정은 인터넷 옵션의 보안 탭에서 실시한다.

넷째, Vgx.dll의 등록 해제 및 접근 제어 목록을 변경한다. 자세한 내용은 마이크로소프트의 보안 어드바이저리 2963983을 참조하면 된다.

 

어찌됐든 마이크로소프트가 패치를 업데이트해도 윈도XP 사용자는 혜택을 받을 수 없어 치명적이다. 8일부터 기술지원이 중단된 윈도XP 사용자는 익스프롤러 말고 다른 브라우저를 사용하는 것이 바람직하다.

 

 

 

 

 

구글의 크롬

 

크롬은 차세대 글로벌 웹 표준 언어로 불리는 'HTML5'로 만들어졌다. 실행속도가 빠르다. 익스플로러와 달리 실행 프로그램인 '액티브X'를 사용하지 않는다. 이 때문에 액티브X를 기반으로 만들어진 인터넷 뱅킹이나 전자결제 시스템을 이용하기 어렵다는 단점이 있었다. 3월말 기준 우리은행, 국민은행 등 시중은행 16곳이 크롬 브라우저로도 사용 가능한 '오픈뱅킹' 시스템을 도입하면서 불편이 줄었다.

 

구글 크롬(Chrome) 웹 브라우저의 최신 버전(34)이 업데이트 됐다. 30일 구글은 크롬 최신 버전인 '34.0.1847.132' 버전을 윈도, 맥, 리눅스 용으로 공개했다. 플래시 플레이어도 최신 버전으로 함께 업데이트 됐다. 이번 최신 버전에서는 9건의 보안 문제를 해결했다. 플래시 플레이어도 취약점을 악용하는 공격이 확인 된 이후 어도비에서 보안 업데이트를 공개했다. 이에 따라 크롬에 포함된 플래시도 버전 13.0.0.206으로 업데이트 됐다.

 

크롬 브라우저 자체 취약점은 샌드박스 내에서 임의의 코드를 실행할 수 있는 부분이 수정됐다. 또한 음성 인식의 해제 후 사용 과 샌드박스 기능인 Seccomp-bpf의 컴파일러 버그가 수정됐으며 충돌을 일으킬 다수의 버그도 함께 수정됐다.

 

 

 

 

 

국산 브라우저인 스윙

 

엔진을 2개 가동해 액티브X와 HTML5기반 웹페이지를 모두 구동할 수 있다. 개발사인 줌 인터넷은 "익스플로러에서 문제가 된 'vgx.dll' 파일을 원천적으로 동작하지 않도록 차단해 보안에 강점이 있다

 

스윙 브라우저는 국내 웹환경에 최적화된 브라우저로, 국내 대다수의 사이트에서 IE와 동일하게 동작하면서 이번 IE 취약점과 같은 보안 이슈에 대해서 한발 빠르게 대응하고 있다. 이번 IE 취약점은 IE 전용 벡터 마크업 언어인 VML 을 처리하기 위해서 사용되는 ‘vgx.dll’ 파일의 문제점으로, 스윙브라우저 1.1.1 버전에서는 이 ‘vgx.dll’ 파일이 원천적으로 동작하지 않도록 차단하여 사용자들이 별도의 작업 없이 안전하게 사용할 수 있도록 했다.

 

스윙 브라우저는 현재 피싱 사이트나 악성코드를 배포하는 사이트를 차단하여 빠르고 안전한 웹서핑을 할 수 있도록 하는 ‘안티피싱’ 기능을 제공하며, 홈페이지(http://swing-browser.com)를 통해 다운 받을 수 있다.

 

 

 

 

 

모질라 '파이어폭스(Firefox)

 

파이어 폭스 29 정식 버전이 출시됐다. 새로운 디자인 탭, 메뉴, 책갈피 기능등이 대폭 개선됐다.

 

브라우저의 새 탭은 파이어폭스 메뉴에서 브라우저의 설정 옵션 확장 관리자에 액세스 할 수 있다. 확대, 축소 및 복사, 붙여넣기, 잘라내기, 브라우저 종료 등의 작업도 가능하다. 메뉴 화면은 큰 아이콘으로 되어 있으며 단추 모양 디자인이다. 동기화 기능 통해 파이어폭스 계정을 만들고 로그인 하는 것만으로도 확장 기능, 북마크, 암호 설정, 기록, 탭 등의 동기화를 시작할 수 있다. 

 

메모리를 많이 잡아먹는 단점이 있다

 

 

브라우저는 익스플로러, 크롬, 스윙, 파이어폭스, 사파리, 오페라등이 있다.