마이크로소프트(MS) ‘인터넷익스플로러(IE)8’의 올 연말 출시를 앞두고 보안업계와 금융 관련기관에 비상이 걸렸다.
새로운 IE8 버전에서 호환성 문제가 발생해 인터넷뱅킹 등 인터넷서비스에서 장애가 발생할 수 있다는 우려감이 커진 탓이다.
아직까지 IE8은 베타1만이 공개된 상태이고 한글버전도 나오지 않았지만, 우리나라는 지난해 초 윈도 비스타가 출시된 후에 호환성 문제를 쉽게 해결하지 못해 전자정부민원, 인터넷뱅킹 서비스 등에서 장애가 발생했던 경험을 상기하면서 미리부터 발 빠르게 대처하자는 공감대가 형성돼 있다.
이에 따라 한국MS와 금융보안연구원, 금융감독원은 지난 7월 31일 IE8상에서 가장 문제를 유발할 것으로 예상되는 보안 솔루션 업체를 대상으로 설명회를 갖고 향후 협력을 논의하는 등 대책 강구에 나섰다.
또한 MS는 8월 중 웹표준 지원센터를 개설해 업체별로 사전테스트를 수행하겠다는 계획이다. 보안 솔루션 업체만을 위한 별도의 협조 통로(ie8korea@microsoft.com)도 만들었다.
한국MS 장홍국 윈도 클라이언트 BG 이사는 “서비스에 차질이 없도록 정부기관과 은행, 포털, 개발사 파트너들과 긴밀한 협력체계를 운영하기 위해 최대한 노력할 것”이라며, “IE8 관련 업데이트 내용이나 일정 변경, 웹표준화 랩 개방 일정 등이 나오는대로 공지할 예정이며, 필요한 내용을 적극 지원하겠다”고 말했다.
◆‘비스타’에 놀란 가슴, ‘IE8’에도 이어질까 염려=지난 3월 5일 IE8 베타1이 공개되면서 국내 포털, 금융기관 등 인터넷서비스 업계와 보안업계, 관련 기관은 향후 서비스에 미칠 영향에 촉각을 곤두세우고 있다.
이미 IE8가 출시되는 연말부터 국내 인터넷사이트가 정상 작동되지 않아 ‘인터넷 대란’이 발생할 수 있다는 과장된 우려까지 나오고 있는 상황이다.
사실 웹표준을 따른 IE8이 사용자와 개발자에게 안정성과 편리성면에서 다양한 혜택을 제공할 것으로 예상되고는 있지만, ‘액티브X’ 남용 등 표준을 따르지 않고 개발된 웹사이트는 일부 기능이 작동하지 않거나 깨져 보일 수 있는 문제가 발생할 수 있다.
특히, 인터넷뱅킹 등 다양한 인터넷서비스에서 널리 사용되고 있는 키보드보안 프로그램 등 보안 솔루션이 동작하지 않을 수도 있어 조치가 필요하다.
한국MS는 최근 IE8 베타1 버전을 기반으로 국내 은행과 정부의 주요 사이트를 대상으로 호환성 테스트를 진행했는데, 키보드 보안프로그램이 동작하지 않은 것으로 나타났다.
대표적으로 인터넷뱅킹 서비스 등을 이용하려면 자동으로 인증서 및 암호화 관련 모듈, 키보드 보안프로그램, 개인방화벽 등을 이용자 PC에 설치한 후에야 가능하지만, 일단 키보드 보안 프로그램이 동작하지 않아 서비스를 이용하기 힘들었다.
이동석 한국MS 책임연구원은 “제1금융권의 인터넷뱅킹 사이트를 대상으로 테스트를 수행한 결과, 이들 사이트에서 제공되는 모든 키보드보안 프로그램이 문제가 있는 것으로 나타났다”면서, “키보드보안 프로그램에서 문제가 발생해 그 다음단계로 넘어간 테스트는 수행하지 못해 다른 보안 제품은 정확히 파악하지는 못했지만 공인인증서와 개인방화벽은 문제가 되지는 않는 것으로 예상된다”고 설명했다.
현재 보안프로그램 중에서는 공인인증서와 개인방화벽은 키보드보안 프로그램처럼 탭브라우저 구조 변화로 인한 문제가 발견되지 않은 것으로 알려져 있지만 ‘액티브X’ 보안성 강화 조치로 인해 발생할 수 있는 문제가 없는지 점검이 필요하다.
하지만 아직까지는 베타1만이 출시된 상태여서, 베타2 한글버전이 나온 후에야 완벽한 연동테스트를 할 수 있을 것으로 보인다. 베타2 출시는 당초 8월 중순으로 예정됐던 것에서 8월 말로, 한글판은 9월 중순으로 일정이 미뤄졌다.
관련업계에서는 이밖에도 웹 소스코드·편집 보안 솔루션과 문서보안(DRM) 솔루션도 문제가 발생할 수 있는 것으로 보고 있다.
이날 설명회 대상 업체는 모두 전자거래 사이트 이용자가 반드시 설치해야 보안 솔루션 키보드보안, 개인방화벽, 인증서관리, 암호화모듈을 개발 공급하는 보안업체였다.
◆탭브라우저, 액티브X 컨트롤 기능 강화 영향=IE8에서 보안프로그램의 호환성 문제는 크게 두가지 기능 때문에 발생한다.
키보드보안 프로그램에 문제를 유발하는 가장 큰 이유는 MS가 IE7에서부터 제공한 탭브라우저의 기능을 개선하기 위해 구조를 바꿨기 때문이다.
하나의 탭브라우저 페이지에서 문제가 발생하면 같은 프로세스로 동작하고 있는 전체 브라우저에 영향을 미쳐 창이 닫혀버리는 등 나타났던 사용자 불편을 해소하기 위해 탭마다 독립된 구조로 바꿨다. 이를 위해 아이프레임(IFrme)과 탭을 별도의 프로세스로 분리하고, 각 프로세스의 보안등급은 보호모드상에서 차등을 뒀다.
기존 IE7을 실행해보면 브로커프로세스로 불리는 ieuser.exe와 탭프로세스인 iexplore.exe의 두 개 프로세스가 실행되면서, 새로운 탭이 생성될 때마다 iexplore.exe가 추가됐다.
IE8에서는 iexplore.exe가 두 개 생성되는데, 프레임은 기존의 브로커 객체와 같은 프로세스에 존재하고 탭은 별도의 프로세스로 이뤄진다. 또 프레임과 탭은 각각 미디엄과 로우레벨로 보안등급이 다르다.
따라서 IE8상에서 동작하는 보안 프로그램도 각 프로세스 간, 보안등급이 차등화된 구조 안에서 윈도 미디어 커뮤니케이션을 원활히 수행할 수 있도록 구조를 바꿔야 한다.
그 이유로 현재 전체 웹브라우저에 관여하고 각 탭을 독립적으로 인식하지 못하는 키보드 보안프로그램이 아예 동작하지 않거나 제구실을 하지 못하는 문제가 나타나는 것이다.
문제를 유발할 수 있는 다른 주요 이유는 사용자 보안을 강화하기 위해 액티브X 컨트롤의 보안 기능을 강화한 ‘퍼사이트 액티브X(Per Site ActiveX)’ 때문이다.
특정 도메인에서만 사용돼야 하는 액티브X 컨트롤이 피싱사이트 등 위험 사이트에서 도용되거나 일반 사이트에서 오·남용되는 것을 방지하기 위해 사용자가 그 실행 여부와 범위를 선택할 수 있도록 제공한다.
즉, 액티브X 컨트롤을 이용해 다운로드·설치한 곳과 동일한 도메인은 노란색의 ‘정보표시줄’ 없이 액티브X를 실행하지만 다른 도메인인 경우에는 같은 프로그램이더라도 반드시 정보표시줄을 표시해 사용자가 선택해 설치하도록 했다.
다만 액티브X 옵트인에 미리 정의된 리스트에 정의된 경우는 ‘정보표시줄’이 없이도 동작한다.
때문에 특정 인터넷뱅킹에서 다운로드, 설치한 공인인증서 관련 소프트웨어를 해당 사이트 내에서만 실행하도록 사용자가 선택할 경우에는 다른 인터넷뱅킹 사이트에서는 실행할 수 없어 서비스에 문제가 발생했다고 인식할 수 있다.
이로 인한 사용자 불편이나 혼란을 해결하려면 보안업체는 레지스트리 위치에 허용할 도메인 리스트 지정 폭을 넓히는 등의 조치가 필요하다.
IE8 베타1을 파악한 금융보안연구원과 보안업체 등은 현재까지 IE8 관련 조치를 수행하는데 큰 어려움은 없을 것으로 보고 있다.
보안업체 관계자는 “현재 상태에서는 정확한 테스트를 수행하기 힘들고, 베타2가 나와야 보다 완벽한 조치를 취할 수 있을 것으로 예상되지만 리서치 결과 큰 어려움은 없을 것으로 보고 있다”면서 “MS 출시 일정과 상황, 바뀐 내용을 계속 주시해볼 것”이라고 말했다.
한편, 금융보안연구원 성재모 팀장은 “‘윈도 비스타’ 호환성 문제가 발생했던 것과 같은 서비스 장애가 일어나지 않도록 한국MS와 공조해 금융기관과 보안업체들이 조치를 취하고 테스트를 수행할 수 있도록 적극 지원할 것”이라고 강조했다.
새로운 IE8 버전에서 호환성 문제가 발생해 인터넷뱅킹 등 인터넷서비스에서 장애가 발생할 수 있다는 우려감이 커진 탓이다.
아직까지 IE8은 베타1만이 공개된 상태이고 한글버전도 나오지 않았지만, 우리나라는 지난해 초 윈도 비스타가 출시된 후에 호환성 문제를 쉽게 해결하지 못해 전자정부민원, 인터넷뱅킹 서비스 등에서 장애가 발생했던 경험을 상기하면서 미리부터 발 빠르게 대처하자는 공감대가 형성돼 있다.
이에 따라 한국MS와 금융보안연구원, 금융감독원은 지난 7월 31일 IE8상에서 가장 문제를 유발할 것으로 예상되는 보안 솔루션 업체를 대상으로 설명회를 갖고 향후 협력을 논의하는 등 대책 강구에 나섰다.
또한 MS는 8월 중 웹표준 지원센터를 개설해 업체별로 사전테스트를 수행하겠다는 계획이다. 보안 솔루션 업체만을 위한 별도의 협조 통로(ie8korea@microsoft.com)도 만들었다.
한국MS 장홍국 윈도 클라이언트 BG 이사는 “서비스에 차질이 없도록 정부기관과 은행, 포털, 개발사 파트너들과 긴밀한 협력체계를 운영하기 위해 최대한 노력할 것”이라며, “IE8 관련 업데이트 내용이나 일정 변경, 웹표준화 랩 개방 일정 등이 나오는대로 공지할 예정이며, 필요한 내용을 적극 지원하겠다”고 말했다.
◆‘비스타’에 놀란 가슴, ‘IE8’에도 이어질까 염려=지난 3월 5일 IE8 베타1이 공개되면서 국내 포털, 금융기관 등 인터넷서비스 업계와 보안업계, 관련 기관은 향후 서비스에 미칠 영향에 촉각을 곤두세우고 있다.
이미 IE8가 출시되는 연말부터 국내 인터넷사이트가 정상 작동되지 않아 ‘인터넷 대란’이 발생할 수 있다는 과장된 우려까지 나오고 있는 상황이다.
사실 웹표준을 따른 IE8이 사용자와 개발자에게 안정성과 편리성면에서 다양한 혜택을 제공할 것으로 예상되고는 있지만, ‘액티브X’ 남용 등 표준을 따르지 않고 개발된 웹사이트는 일부 기능이 작동하지 않거나 깨져 보일 수 있는 문제가 발생할 수 있다.
특히, 인터넷뱅킹 등 다양한 인터넷서비스에서 널리 사용되고 있는 키보드보안 프로그램 등 보안 솔루션이 동작하지 않을 수도 있어 조치가 필요하다.
한국MS는 최근 IE8 베타1 버전을 기반으로 국내 은행과 정부의 주요 사이트를 대상으로 호환성 테스트를 진행했는데, 키보드 보안프로그램이 동작하지 않은 것으로 나타났다.
대표적으로 인터넷뱅킹 서비스 등을 이용하려면 자동으로 인증서 및 암호화 관련 모듈, 키보드 보안프로그램, 개인방화벽 등을 이용자 PC에 설치한 후에야 가능하지만, 일단 키보드 보안 프로그램이 동작하지 않아 서비스를 이용하기 힘들었다.
이동석 한국MS 책임연구원은 “제1금융권의 인터넷뱅킹 사이트를 대상으로 테스트를 수행한 결과, 이들 사이트에서 제공되는 모든 키보드보안 프로그램이 문제가 있는 것으로 나타났다”면서, “키보드보안 프로그램에서 문제가 발생해 그 다음단계로 넘어간 테스트는 수행하지 못해 다른 보안 제품은 정확히 파악하지는 못했지만 공인인증서와 개인방화벽은 문제가 되지는 않는 것으로 예상된다”고 설명했다.
현재 보안프로그램 중에서는 공인인증서와 개인방화벽은 키보드보안 프로그램처럼 탭브라우저 구조 변화로 인한 문제가 발견되지 않은 것으로 알려져 있지만 ‘액티브X’ 보안성 강화 조치로 인해 발생할 수 있는 문제가 없는지 점검이 필요하다.
하지만 아직까지는 베타1만이 출시된 상태여서, 베타2 한글버전이 나온 후에야 완벽한 연동테스트를 할 수 있을 것으로 보인다. 베타2 출시는 당초 8월 중순으로 예정됐던 것에서 8월 말로, 한글판은 9월 중순으로 일정이 미뤄졌다.
관련업계에서는 이밖에도 웹 소스코드·편집 보안 솔루션과 문서보안(DRM) 솔루션도 문제가 발생할 수 있는 것으로 보고 있다.
이날 설명회 대상 업체는 모두 전자거래 사이트 이용자가 반드시 설치해야 보안 솔루션 키보드보안, 개인방화벽, 인증서관리, 암호화모듈을 개발 공급하는 보안업체였다.
◆탭브라우저, 액티브X 컨트롤 기능 강화 영향=IE8에서 보안프로그램의 호환성 문제는 크게 두가지 기능 때문에 발생한다.
키보드보안 프로그램에 문제를 유발하는 가장 큰 이유는 MS가 IE7에서부터 제공한 탭브라우저의 기능을 개선하기 위해 구조를 바꿨기 때문이다.
하나의 탭브라우저 페이지에서 문제가 발생하면 같은 프로세스로 동작하고 있는 전체 브라우저에 영향을 미쳐 창이 닫혀버리는 등 나타났던 사용자 불편을 해소하기 위해 탭마다 독립된 구조로 바꿨다. 이를 위해 아이프레임(IFrme)과 탭을 별도의 프로세스로 분리하고, 각 프로세스의 보안등급은 보호모드상에서 차등을 뒀다.
기존 IE7을 실행해보면 브로커프로세스로 불리는 ieuser.exe와 탭프로세스인 iexplore.exe의 두 개 프로세스가 실행되면서, 새로운 탭이 생성될 때마다 iexplore.exe가 추가됐다.
IE8에서는 iexplore.exe가 두 개 생성되는데, 프레임은 기존의 브로커 객체와 같은 프로세스에 존재하고 탭은 별도의 프로세스로 이뤄진다. 또 프레임과 탭은 각각 미디엄과 로우레벨로 보안등급이 다르다.
따라서 IE8상에서 동작하는 보안 프로그램도 각 프로세스 간, 보안등급이 차등화된 구조 안에서 윈도 미디어 커뮤니케이션을 원활히 수행할 수 있도록 구조를 바꿔야 한다.
그 이유로 현재 전체 웹브라우저에 관여하고 각 탭을 독립적으로 인식하지 못하는 키보드 보안프로그램이 아예 동작하지 않거나 제구실을 하지 못하는 문제가 나타나는 것이다.
문제를 유발할 수 있는 다른 주요 이유는 사용자 보안을 강화하기 위해 액티브X 컨트롤의 보안 기능을 강화한 ‘퍼사이트 액티브X(Per Site ActiveX)’ 때문이다.
특정 도메인에서만 사용돼야 하는 액티브X 컨트롤이 피싱사이트 등 위험 사이트에서 도용되거나 일반 사이트에서 오·남용되는 것을 방지하기 위해 사용자가 그 실행 여부와 범위를 선택할 수 있도록 제공한다.
즉, 액티브X 컨트롤을 이용해 다운로드·설치한 곳과 동일한 도메인은 노란색의 ‘정보표시줄’ 없이 액티브X를 실행하지만 다른 도메인인 경우에는 같은 프로그램이더라도 반드시 정보표시줄을 표시해 사용자가 선택해 설치하도록 했다.
다만 액티브X 옵트인에 미리 정의된 리스트에 정의된 경우는 ‘정보표시줄’이 없이도 동작한다.
때문에 특정 인터넷뱅킹에서 다운로드, 설치한 공인인증서 관련 소프트웨어를 해당 사이트 내에서만 실행하도록 사용자가 선택할 경우에는 다른 인터넷뱅킹 사이트에서는 실행할 수 없어 서비스에 문제가 발생했다고 인식할 수 있다.
이로 인한 사용자 불편이나 혼란을 해결하려면 보안업체는 레지스트리 위치에 허용할 도메인 리스트 지정 폭을 넓히는 등의 조치가 필요하다.
IE8 베타1을 파악한 금융보안연구원과 보안업체 등은 현재까지 IE8 관련 조치를 수행하는데 큰 어려움은 없을 것으로 보고 있다.
보안업체 관계자는 “현재 상태에서는 정확한 테스트를 수행하기 힘들고, 베타2가 나와야 보다 완벽한 조치를 취할 수 있을 것으로 예상되지만 리서치 결과 큰 어려움은 없을 것으로 보고 있다”면서 “MS 출시 일정과 상황, 바뀐 내용을 계속 주시해볼 것”이라고 말했다.
한편, 금융보안연구원 성재모 팀장은 “‘윈도 비스타’ 호환성 문제가 발생했던 것과 같은 서비스 장애가 일어나지 않도록 한국MS와 공조해 금융기관과 보안업체들이 조치를 취하고 테스트를 수행할 수 있도록 적극 지원할 것”이라고 강조했다.
Rss Feed