IE 11으로 업그레이드하는 것이 가장 정확한 해결책
가상화, 네트워크 보안, 오프라인 습관화 등 대체 방법이라도 사용해야
[보안뉴스 문가용] 이제 MS는 더 이상 IE를 지원하지 않는다. 아니, 좀 더 정확하게 말하면 가장 최신 버전 딱 하나만 지원한다. 클라이언트 버전이나 서버 버전 모두 마찬가지다. 이제 굉장히 많은 시스템이 취약점 하나를 더 안고 가야 한다는 뜻이다.
▲ 가자, 미지의 땅 IE 11로!
예를 들어 윈도우 7 SP1이나 그 이후 버전을 갖춘 시스템에 있는 IE 11은 안전하다. 그러나 이러한 조건을 갖춘 건 전체의 80%도 되지 않는다. 넷 마켓쉐어(Net MarketShare)가 실시한 통계에 의하면 IE 6~10을 사용하는 사람들의 비율은 아직도 20.65%에 달한다. 이는 곧 데스크톱 브라우저 시장의 상태를 말하기도 한다.
“수명이 다 된 소프트웨어가 된 거죠. 이런 비유는 좀 그렇긴 하지만 시체는 그 어떤 위협에도 저항을 하지 않습니다. 수명이 다 된 소프트웨어도 마찬가지로 매우 취약합니다.” 퀄리스(Qualys)의 CTO인 울프강 칸덱(Wolfgang Kandek)의 설명이다. “공격자들은 당연히 취약한 구멍을 찾아서 들어오죠. 그런데 저항을 할 수가 없는 겁니다.”
그러면 업그레이드 하면 되잖아? 뭐가 문제지? - 이런 생각이 들 수밖에 없다. 그러나 그리 간단한 문제가 아니다.
“아마 대부분 사용자들은 업그레이드에 별다른 거부감을 느끼지 않을 겁니다. 특별한 문제가 발생하지도 않을 것이고요. 그런데 모두가 그런 건 아니죠. 기업들에 따라 회사 내에서만 사용하는 앱을 개발하기도 하는데, 이때 특정 버전에 맞는 앱을 개발하는 게 보통입니다. IE 6에서 잘 돌아가던 게 IE 7에선 안 돌아가는 경우가 많죠. 그런 때 업그레이드는 장애요소가 됩니다.”
그러면 뭘 어떻게 더 하라는 소리인가? 몇 가지 보다 현실적인 방안을 적어보면 다음과 같다.
1. 설치 가능한 패치 중 가장 최신 것을 설치한다
MS는 이번 주 화요일 지원이 끝나는 IE에 대한 마지막 패치를 발표했다. 치명적인 원격 코드 실행 취약점을 처리했다고 한다. 물론 이상적으로는 IE 11로 패치하는 게 가장 좋겠지만, 여의치 않으면 이거라도 받아서 취약점을 하나라도 해결하도록 하자.
2. 권한을 줄인다
보안 업체인 아벡도(Avecto)에 의하면 IE에서 발견되는 취약점의 99.5%는 사실 관리자 계정을 없애기만 해도 약화시킬 수 있다고 한다. 또 다른 보안 회사인 트립와이어(Tripwire)는 업체들에게 “직원들 그 누구에게도 관리자 권한을 부여하지 말 것”이라고 권장한다. 권한만 잘 관리해도 취약점 상당 수를 무력화시킬 수 있다는 뜻이다.
3. 가능할 때마다 오프라인 상태를 유지하라
모든 시스템을 24시간 온라인으로 해놓아야만 업무가 진행되는 건 아니다. 조금 귀찮긴 해도 정말 필요할 때 빼놓고는 IE 구버전이 깔린 시스템은 오프라인으로 유지해도 훨씬 안전해진다. 예를 들어 점심시간 같은 때는, 컴퓨터 꺼두어도 되지 않는가?
4. 가상화하고 분리시키고
당분간 IE 업그레이드를 꿈도 꾸지 못할 상황이라면 해당 시스템만을 추려내 전체 네트워크에서 철저히 분리시키는 것도 좋은 방법이다. 가상화나 샌드박싱을 하라는 말이다. 물론 가상화 솔루션을 도입하려면 돈이 든다. 보안 기업인 버퍼존(Bufferzone)은 이를 두고 ‘투자’라고 한다. 업그레이드 준비가 완료될 때까지 시간을 버는 느낌으로 투자할 것을 권고하고 있다.
5. 촘촘한 방어, 층층의 방어
트립와이어는 “IE 구버전이 존재하는 네트워크 자체로 시선을 돌리는 것도 한 방법”이라고 한다. 특정 사용패턴 혹은 사용자/단체를 처음부터 걸러 내는 등 원초적인 방어를 하라는 뜻이다. 그리고 이런 장치를 두껍게, 층층이(layered security) 마련할 것을 권고하고 있기도 하다. 이는 XP가 아직도 사용되고 있는 임베디드 시스템에도 적용된다.
트립와이어의 IT 보안 책임자인 팀 얼린(Tim Erlin)은 “MS는 할 만큼 했다고 본다”며 “이미 오래전부터 패치를 주기적으로 발표했고, 지원 종료도 진즉부터 예고했으므로 아직도 업그레이드 준비가 되지 않았다면 그건 사용자 책임이 더 크다”고 말한다. 그러면서 마지막으로 이런 저런 안전장치를 다 마련할 여력이 되지 않는다면 최소한 IE 11의 호환모드를 실험이라도 해보라고 권한다. “어차피 IE 11의 업그레이드는 누구나 가야할 길이 되었습니다. 언제까지 시체를 안고 있을 순 없잖습니까?”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
가상화, 네트워크 보안, 오프라인 습관화 등 대체 방법이라도 사용해야
[보안뉴스 문가용] 이제 MS는 더 이상 IE를 지원하지 않는다. 아니, 좀 더 정확하게 말하면 가장 최신 버전 딱 하나만 지원한다. 클라이언트 버전이나 서버 버전 모두 마찬가지다. 이제 굉장히 많은 시스템이 취약점 하나를 더 안고 가야 한다는 뜻이다.
▲ 가자, 미지의 땅 IE 11로!
예를 들어 윈도우 7 SP1이나 그 이후 버전을 갖춘 시스템에 있는 IE 11은 안전하다. 그러나 이러한 조건을 갖춘 건 전체의 80%도 되지 않는다. 넷 마켓쉐어(Net MarketShare)가 실시한 통계에 의하면 IE 6~10을 사용하는 사람들의 비율은 아직도 20.65%에 달한다. 이는 곧 데스크톱 브라우저 시장의 상태를 말하기도 한다.
“수명이 다 된 소프트웨어가 된 거죠. 이런 비유는 좀 그렇긴 하지만 시체는 그 어떤 위협에도 저항을 하지 않습니다. 수명이 다 된 소프트웨어도 마찬가지로 매우 취약합니다.” 퀄리스(Qualys)의 CTO인 울프강 칸덱(Wolfgang Kandek)의 설명이다. “공격자들은 당연히 취약한 구멍을 찾아서 들어오죠. 그런데 저항을 할 수가 없는 겁니다.”
그러면 업그레이드 하면 되잖아? 뭐가 문제지? - 이런 생각이 들 수밖에 없다. 그러나 그리 간단한 문제가 아니다.
“아마 대부분 사용자들은 업그레이드에 별다른 거부감을 느끼지 않을 겁니다. 특별한 문제가 발생하지도 않을 것이고요. 그런데 모두가 그런 건 아니죠. 기업들에 따라 회사 내에서만 사용하는 앱을 개발하기도 하는데, 이때 특정 버전에 맞는 앱을 개발하는 게 보통입니다. IE 6에서 잘 돌아가던 게 IE 7에선 안 돌아가는 경우가 많죠. 그런 때 업그레이드는 장애요소가 됩니다.”
그러면 뭘 어떻게 더 하라는 소리인가? 몇 가지 보다 현실적인 방안을 적어보면 다음과 같다.
1. 설치 가능한 패치 중 가장 최신 것을 설치한다
MS는 이번 주 화요일 지원이 끝나는 IE에 대한 마지막 패치를 발표했다. 치명적인 원격 코드 실행 취약점을 처리했다고 한다. 물론 이상적으로는 IE 11로 패치하는 게 가장 좋겠지만, 여의치 않으면 이거라도 받아서 취약점을 하나라도 해결하도록 하자.
2. 권한을 줄인다
보안 업체인 아벡도(Avecto)에 의하면 IE에서 발견되는 취약점의 99.5%는 사실 관리자 계정을 없애기만 해도 약화시킬 수 있다고 한다. 또 다른 보안 회사인 트립와이어(Tripwire)는 업체들에게 “직원들 그 누구에게도 관리자 권한을 부여하지 말 것”이라고 권장한다. 권한만 잘 관리해도 취약점 상당 수를 무력화시킬 수 있다는 뜻이다.
3. 가능할 때마다 오프라인 상태를 유지하라
모든 시스템을 24시간 온라인으로 해놓아야만 업무가 진행되는 건 아니다. 조금 귀찮긴 해도 정말 필요할 때 빼놓고는 IE 구버전이 깔린 시스템은 오프라인으로 유지해도 훨씬 안전해진다. 예를 들어 점심시간 같은 때는, 컴퓨터 꺼두어도 되지 않는가?
4. 가상화하고 분리시키고
당분간 IE 업그레이드를 꿈도 꾸지 못할 상황이라면 해당 시스템만을 추려내 전체 네트워크에서 철저히 분리시키는 것도 좋은 방법이다. 가상화나 샌드박싱을 하라는 말이다. 물론 가상화 솔루션을 도입하려면 돈이 든다. 보안 기업인 버퍼존(Bufferzone)은 이를 두고 ‘투자’라고 한다. 업그레이드 준비가 완료될 때까지 시간을 버는 느낌으로 투자할 것을 권고하고 있다.
5. 촘촘한 방어, 층층의 방어
트립와이어는 “IE 구버전이 존재하는 네트워크 자체로 시선을 돌리는 것도 한 방법”이라고 한다. 특정 사용패턴 혹은 사용자/단체를 처음부터 걸러 내는 등 원초적인 방어를 하라는 뜻이다. 그리고 이런 장치를 두껍게, 층층이(layered security) 마련할 것을 권고하고 있기도 하다. 이는 XP가 아직도 사용되고 있는 임베디드 시스템에도 적용된다.
트립와이어의 IT 보안 책임자인 팀 얼린(Tim Erlin)은 “MS는 할 만큼 했다고 본다”며 “이미 오래전부터 패치를 주기적으로 발표했고, 지원 종료도 진즉부터 예고했으므로 아직도 업그레이드 준비가 되지 않았다면 그건 사용자 책임이 더 크다”고 말한다. 그러면서 마지막으로 이런 저런 안전장치를 다 마련할 여력이 되지 않는다면 최소한 IE 11의 호환모드를 실험이라도 해보라고 권한다. “어차피 IE 11의 업그레이드는 누구나 가야할 길이 되었습니다. 언제까지 시체를 안고 있을 순 없잖습니까?”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
