전자금융 서비스와 관련해서 호환성 이슈 꼼꼼히 점검해야
[보안뉴스 김경애] MS사의 차기 운영체제인 ‘윈도우10’ 출시가 반가운 것도 잠시. 금융권은 전자금융 서비스와 관련해서 호환성 여부를 집중 점검해야 하는 상황에 처했다.   



 ▲MS에서는 윈도우8 및 IE10 이하 버전에 대한 기술 지원 및 보안 패치 제공을 2016년    1월 12일부터 중단할 것이라고 발표했다(출처: 금융보안원).

윈도우10에는 새로운 브라우저인 ‘엣지(Edge)’를 탑재하고 있다. 그러나 ActiveX 및 BHO를 지원하지 않아 금융사의 보안프로그램이 정상적으로 작동하지 않을 수 있기 때문에 전자금융 서비스 이용 시 불편을 초래할 수 있다.

BHO(Browser Helper Object)는 IE의 외부 플러그인을 이용해 확장할 수 있도록 설계된 기술로 브라우저 툴바에 추가되는 등의 방법으로 사용자에게 추가 기능을 제공한다. 이 기능을 지원하지 않을 경우 국내 금융회사 홈페이지 접속이 불가능하거나, 보안프로그램 설치가 되지 않을 수 있다.

또한, 윈도우10 설치 시 엣지 및 IE(Internet Explorer) 11 브라우저가 모두 설치되며, 각기 다른 실행 아이콘으로 제공되나 IE 11 아이콘은 작업 표시줄에 기본 제공되지 않는다. 

커널구조 변경, SW수정·개발 필요
이는 전자금융서비스 이용시 설치되는 보안 S/W 중 일부 호환성 문제가 발생할 수 있다는 의미다. 이에 따라 윈도우10에서 운영체제의 핵심으로 하드웨어 관련 입·출력과 명령어 처리를 담당하는 커널(Kernel) 구조가 변경됨에 따라 일부 보안 S/W는 수정· 개발이 필요하다.

게다가 MS에서는 윈도우8 및 IE10 이하 버전에 대한 기술 지원 및 보안 패치 제공을 오는 2016년 1월 12일부터 중단할 것이라고 발표해 기술 지원 중단시 이용자PC가 취약해질 수 있다.

브라운저 종류 및 버전 인식 문제
IE11으로 업그레이드되면서 브라우저 종류 및 버전을 인식하는 방식이 변경되어 웹 서버에서 브라우저 오인식의 가능성이 존재한다. 특히, UA(User-Agent) String에서 ‘MS IE’가 삭제되어 IE 브라우저 및 버전 인식이 불가능해 전자금융서비스 이용 시 문제가 발생할 수 있다.




User-Agent String란, 웹 서버에 정보를 요청하기 위해 HTTP 요청을 보낼 때 헤더(Header)에 들어가는 문자열을 의미하며, 요청한 애플리케이션을 나타내기 위해 사용하는 것을 말한다.

금융보안원이 지난 7월 20일 발간한 ‘윈도우10 출시에 따른 호환성 대응방안’에 따르면 웹 서비스 변경 방법 중 하나인 IE11은 하위 버전에 대한 호환성을 지원하기 때문에 필요한 경우, Meta 태그 혹은 HTTP 응답 헤더에 호환 버전을 삽입해야 이용이 가능하다.

User-Agent의 경우, 브라우저 종류 및 버전 인식 문제가 발생함에 따라 영향을 줄 수 있는 코드 변경이 필요하며, 엣지의 경우 IE11로의 페이지 이동(리다이렉션) 기능 추가가 필요하다.

특히, IE10 이하 버전에서 제공하던 API가 제거되어 코드 대체가 이루어져야 한다. 하위 버전에서 지원하던 일부 API가 IE11에서 제거되면서 아래의 대체기능을 이용하여 서비스하도록 소스 변경이 필요하다는 설명이다.  

금융권, 호환성 여부 검증해야
금융보안원 측은 “금융회사 대표 사이트 181개를 대상으로 엣지 브라우저 접속 시 IE 브라우저 전환 기능의 정상 동작 여부를 살펴보면 전체 중 35%(7월 20일 발간 기준)만이 정상 전환되고 있으며, 은행·카드권역은 대부분 정상 동작하나 증권·보험권역 등은 보완 조치가 필요하다”고 밝혔다.
따라서 금융기관은 전자금융 서비스에서 이용되는 주요 보안 S/W의 윈도우10 호환성 여부를 검증해 미 지원시 솔루션 공급사와 지원 일정 협의 후 적용해야 한다.


     ▲ IE11 설정 방법

IE11 설정 방법은 ①좌측 하단의 웹 및 Windows 검색에서 IE 검색(윈도우키+S) ②검색 결과 항목의 ‘Internet Explorer’를 우 클릭하고 ‘작업 표시줄에 고정’ 클릭 ③작업 표시줄에 고정된 ‘Internet Explorer’ 아이콘을 확인하면 된다.

이용자 홍보를 위해서는 전자금융 서비스 이용자를 대상으로 엣지 대신 IE11을 선택해 이용하도록 홈페이지 등을 통해 적극 알리고, 고객센터 직원을 대상으로 문제해결 방안을 교육할 필요가 있다.

만약 엣지 브라우저로 전자금융 서비스 제공 페이지 접근 시 IE11로 전환 가능하도록 코드 삽입 및 안내 메시지 삽입 등 호환성을 지원하도록 웹 서비스를 수정해야 한다.

이에 따라 금융권도  IE11로의 전환 홍보에 서둘러 나서는 분위기다. 기업은행은 7월 27일, 신한은행·우리은행·외환은행·하나은행·한국스탠다드차타드은행은 28일, KB국민은행과 키움증권은 29일, 시티은행은 30일, 산업은행은 8월 7일 ‘엣지(Edge)는 액티브X를 지원하지 않아 인터넷뱅킹 이용이 불가능하다’며 ‘윈도10에 함께 설치되어 있는 인터넷 익스플로러(IE) 11을 이용할 것’을 공지사항으로 올렸다. [김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>