보안 권고 979352 - 인터넷 익스플로러 제로데이 취약점

마이크로소프트 보안 대응 센터(MSRC)는 오늘 인터넷 익스플로러(IE)의 다양한 버전에 존재하는 제로데이 취약점에 대해 발표했습니다. 보안 권고 979352가 이를 설명하고 있는데, IE 6,7,8 버전이 이번 취약점에 노출되어 있습니다.

이번 취약점은 IE에서 취약점이 존재하는 페이지를 열기만 하면 공격자가 의도한 코드가 실행될 수 있는 것으로 가장 심각한 단계인 ‘긴급’ 등급에 ‘원격 코드 실행’으로 분류될 만한 취약점입니다. 웹 사용자가 별다른 추가 동작 없이 페이지만 열었는데 시스템 권한까지 뺏길 수 있다는 점에서 Browse-and-Get-Owned라고도 합니다. 현재로서는 패치가 언제 발표될 지 정해지지 않았습니다. 2월 정기 보안 공지일인 2월 10일이 될 수도 있고 그 전에 긴급하게 따로 나올 수도 있습니다.

패치가 없는 상태에서 IE 사용자가 취하실 수 있는 방법은, 보안 옵션에서 인터넷 영역에 대해 액티브 스크립팅을 끄거나 보안 수준을 “높음”으로 높이는 것입니다. 그런데 액티브 스크립팅을 끄면 거의 모든 사이트에서 페이지 레이아웃이 깨지기도 하고 중요한 기능 대부분이 실행되지 않는 문제가 생겨 그다지 효율적이지 못한 방법입니다. 문제가 있을 법한 웹 페이지는 열지 않는 것도 대안이기는 하나 안전한 것처럼 보이는 믿을 만한 사이트들도 공격자가 취약점을 악용할 수 있게 변조해 두었을 수 있습니다. 안티바이러스 제품에서 악용 스크립트를 걸러낼 수 있기 때문에 반드시 안티바이러스 제품을 사용하는 것도 중요합니다.

마이크로소프트에서는 이번 문제를 매우 중요하게 보고 있어 조만간 보안 권고에 내용이 추가될 것으로 보입니다. 당분간 이 건에 주목해 주시는 것이 좋겠습니다.