728x90
보안 문제는 수년동안 MS 인터넷 익스플로러를 괴롭혀왔고, 이 웹 브라우저는 치명적인 취약성으로 계속 고통받고 있다. 사실 MS는 2005년 5월경 최근 IE 보안 위협 중 한 가지에 대해 이미 알고 있던 상황이었다. IE 대부분 버전에 영향을 미치는 치명적인 취약성을 고려해볼 때 그간 이 위협으로 IE는 시달려왔고, 크래커들은 웹을 파괴하기 위해 이 취약성을 이용해왔다. 적어도 이번 주까지는 말이다.
보통 매달 두 번째 주 화요일에 나오는 월간 보안 공지(security bulletins)의 일환으로 MS는 보안 공지 MS05-054, 이른바 '인터넷 익스플로러용 누적 보안 업데이트'를 내놓았다. MS05-054는 인터넷 익스플로러의 4가지 취약성에 초점을 맞추고 있으며, 이 중 두 가지는 대부분의 윈도우에서 심각(critical)한 수준으로 등급이 매겨져 있다. 이 보안 공지는 다음과 같은 결점을 해결한다.
* 파일 다운로드 대화 상자 조작 취약성
* HTTPS 프록시 취약성
* COM 객체 인스턴스화 메모리 오염 취약성
* 일치하지 않는 문서 객체 모델 객체 메모리 오염 취약성
인가받지 않은 정보를 노출시키거나, 시스템을 불안정하게 만들거나, 혹은 유해한 웹 애플리케이션을 사용하여 시스템을 가로채거나 할 때 공격자들이 이 취약성을 어떻게 이용할 수 있는지 알아보기 위해 좀더 자세히 보안 공지 내용을 보자.
문제를 좀더 복잡하게 만드는 건 서드파티에서 만든 수백 개의 COM 객체 애드 인에 있다는 사실 때문이다. 그렇다면 또다른 벤더에서 다운로드한 COM 객체를 마지막으로 업데이트한게 언제였는가?
서드파티 소프트웨어를 업데이트하지 않는 건 좋은 생각이 아닌데다가 자체적으로 바람직하지 않은 일이 일어날 수 있지만, 가까이에 더 큰 문제가 도사리고 있다. 바로 컴퓨터에 있는 다른 기능과 IE가 통합돼 있다는 점이다. 이런 기능적 통합은 액티브 스크립팅(Active Scripting)과 액티브X 컨트롤(ActiveX controls)를 통해 가능해진다.
액티브 스크립팅과 액티브X 컨트롤을 컴퓨터에서 꺼버리게 되면 약간은 포기해야 할 기능이 있을 수도 있겠지만, 훨씬 더 많은 보안 이득이 있을 것이다. 어떻게 이 두 기능을 꺼버릴 수 있는지 살펴보자.
액티브 스크립팅 끄기
액티브 스크립팅을 동작하기 전에 사용자에게 알려주도록 IE 설정을 해서 일부 취약성으로부터 시스템을 좀더 제대로 보호할 수 있다. 혹은 인터넷 보안 영역에서 완전히 액티브 스크립팅을 꺼버릴 수 있다.
다음 단계를 따른다
1. 인터넷 익스플로러가 실행된 상태에서 도구(Tools) -> 인터넷 옵션(Internet Options)로 간다.
2. 보안(Security) 탭에서 인터넷(Internet) 아이콘을 클릭하고, 사용자 지정 수준(Custom Level) 버튼을 클릭한다.
3. 설정(Settings) 목록 상자에서 스크롤해 스크립팅(Scripting)을 찾는다.
4. 'Active 스크립팅'에서 프롬프트(Prompt)나 사용 안함(Disable)을 선택하고 확인(OK)을 클릭한다.
5. IE가 변경됐다고 확인을 하도록 묻는다면 예(Yes)를 클릭한다.
6. 설정을 저장하기 위해 확인(OK)을 클릭하고 모든 대화 상자를 닫는다.
이제 액티브 스크립팅을 처리했으니 이보다 더 위험한 컴포넌트인 액티브X를 끌 시간이다.
액티브X 컨트롤 끄기
액티브X 컨트롤이 동작하기 전에 알려주도록 IE를 설정함으로서 일부 취약성으로부터 시스템을 보호할 수도 있다. 이도 역시 인터넷 보안 영역에서 완전히 액티브X 컨트롤을 꺼버릴 수 있다.
다음 단계를 따른다.
1. 인터넷 익스플로러가 실행된 상태에서 도구(Tools) -> 인터넷 옵션(Internet Options)로 간다.
2. 보안(Security) 탭에서 인터넷(Internet) 아이콘을 클릭하고, 사용자 지정 수준(Custom Level) 버튼을 클릭한다.
3. 설정(Settings) 목록 상자에서 스크롤해 액티브 X 컨트롤 및 플러그 인(ActiveX Controls And Plug-ins)을 찾는다.
4. 액티브 X 컨트롤 및 플러그 인 실행(Run Active X Controls And Plug-ins)에 대해 확인(Prompt) 혹은 사용 안함(Disable)을 선택하고 확인(OK)을 클릭한다.
5. IE가 변경됐다고 확인을 하도록 묻는다면 예(Yes)를 클릭한다.
6. 설정을 저장하기 위해 확인(OK)을 클릭하고 모든 대화 상자를 닫는다.
신뢰 사이트 목록 관리하기
IE의 인터넷 보안 영역에서 액티브 스크립팅과 액티브X 컨트롤을 끄면 일부 웹 사이트가 제대로 동작하지 않을 수도 있다는 점을 명심하기 바란다. 필자의 시스템에서는 확인 혹은 프롬프트(Prompt)로 설정했으며, 따라서 액티브 스크립팅이나 액티브X 컨트롤이 포함된 사이트에 새롭게 방문할 때면 사이트를 신뢰할지 여부를 결정해야 한다.
자주 사용할 사이트라면 신뢰 사이트 목록에 사이트 주소를 넣어두며, 그때그때 팝업창으로 알려준다. 신뢰 사이트 목록에 사이트를 추가하려면 다음 단계를 따른다.
1. 브라우저 상에서 URL 위에서 오른쪽 버튼을 클릭하고 복사(Copy)를 선택한다.
2. 도구(Tools) -> 인터넷 옵션(Internet Options)으로 간다.
3. 보안(Security) 탭에서 신뢰할 수 있는 사이트(Trusted Sites) 아이콘을 클릭하고 나서 사이트(Sites) 버튼을 클릭한다.
4. 영역에 웹 사이트 추가(Add This Web Site To The Zone) 텍스트 상자에서 마우스 오른쪽 버튼을 클릭하고 붙여넣기(Paste)를 선택한다.
5. 이 영역에 있는 모든 사이트에 대해 서버 확인(https:) 필요(Require Server Verification (HTTPS:) For All Sites In This Zone) 체크 박스를 해제한다.
6. 추가(Add)를 클릭해 닫기(OK)을 클릭한다.
7. 설정을 저장하기 위해 확인(OK)을 클릭하고 모든 대화 상자를 닫는다.
액티브 스크립팅과 액티브X 컨트롤을 꺼버리면 웹 브라우징을 할 때 IE가 더 안전해진다. 인터넷 익스플로러가 정도를 넘어서는 보안 문제를 갖고 있긴 하지만 오늘날 사용되고 있는 가장 대중적인 웹 브라우저인 건 사실이다. 파이어폭스(Firefox)나 오페라(Opera)같은 다른 브라우저로 바꾸고 싶지 않다면 인터넷을 안전하게 브라우징하기 위해 보안 설정을 높여줄 필요가 있다.
보통 매달 두 번째 주 화요일에 나오는 월간 보안 공지(security bulletins)의 일환으로 MS는 보안 공지 MS05-054, 이른바 '인터넷 익스플로러용 누적 보안 업데이트'를 내놓았다. MS05-054는 인터넷 익스플로러의 4가지 취약성에 초점을 맞추고 있으며, 이 중 두 가지는 대부분의 윈도우에서 심각(critical)한 수준으로 등급이 매겨져 있다. 이 보안 공지는 다음과 같은 결점을 해결한다.
* 파일 다운로드 대화 상자 조작 취약성
* HTTPS 프록시 취약성
* COM 객체 인스턴스화 메모리 오염 취약성
* 일치하지 않는 문서 객체 모델 객체 메모리 오염 취약성
인가받지 않은 정보를 노출시키거나, 시스템을 불안정하게 만들거나, 혹은 유해한 웹 애플리케이션을 사용하여 시스템을 가로채거나 할 때 공격자들이 이 취약성을 어떻게 이용할 수 있는지 알아보기 위해 좀더 자세히 보안 공지 내용을 보자.
문제를 좀더 복잡하게 만드는 건 서드파티에서 만든 수백 개의 COM 객체 애드 인에 있다는 사실 때문이다. 그렇다면 또다른 벤더에서 다운로드한 COM 객체를 마지막으로 업데이트한게 언제였는가?
서드파티 소프트웨어를 업데이트하지 않는 건 좋은 생각이 아닌데다가 자체적으로 바람직하지 않은 일이 일어날 수 있지만, 가까이에 더 큰 문제가 도사리고 있다. 바로 컴퓨터에 있는 다른 기능과 IE가 통합돼 있다는 점이다. 이런 기능적 통합은 액티브 스크립팅(Active Scripting)과 액티브X 컨트롤(ActiveX controls)를 통해 가능해진다.
액티브 스크립팅과 액티브X 컨트롤을 컴퓨터에서 꺼버리게 되면 약간은 포기해야 할 기능이 있을 수도 있겠지만, 훨씬 더 많은 보안 이득이 있을 것이다. 어떻게 이 두 기능을 꺼버릴 수 있는지 살펴보자.
액티브 스크립팅 끄기
액티브 스크립팅을 동작하기 전에 사용자에게 알려주도록 IE 설정을 해서 일부 취약성으로부터 시스템을 좀더 제대로 보호할 수 있다. 혹은 인터넷 보안 영역에서 완전히 액티브 스크립팅을 꺼버릴 수 있다.
다음 단계를 따른다
1. 인터넷 익스플로러가 실행된 상태에서 도구(Tools) -> 인터넷 옵션(Internet Options)로 간다.
2. 보안(Security) 탭에서 인터넷(Internet) 아이콘을 클릭하고, 사용자 지정 수준(Custom Level) 버튼을 클릭한다.
3. 설정(Settings) 목록 상자에서 스크롤해 스크립팅(Scripting)을 찾는다.
4. 'Active 스크립팅'에서 프롬프트(Prompt)나 사용 안함(Disable)을 선택하고 확인(OK)을 클릭한다.
5. IE가 변경됐다고 확인을 하도록 묻는다면 예(Yes)를 클릭한다.
6. 설정을 저장하기 위해 확인(OK)을 클릭하고 모든 대화 상자를 닫는다.
이제 액티브 스크립팅을 처리했으니 이보다 더 위험한 컴포넌트인 액티브X를 끌 시간이다.
액티브X 컨트롤 끄기
액티브X 컨트롤이 동작하기 전에 알려주도록 IE를 설정함으로서 일부 취약성으로부터 시스템을 보호할 수도 있다. 이도 역시 인터넷 보안 영역에서 완전히 액티브X 컨트롤을 꺼버릴 수 있다.
다음 단계를 따른다.
1. 인터넷 익스플로러가 실행된 상태에서 도구(Tools) -> 인터넷 옵션(Internet Options)로 간다.
2. 보안(Security) 탭에서 인터넷(Internet) 아이콘을 클릭하고, 사용자 지정 수준(Custom Level) 버튼을 클릭한다.
3. 설정(Settings) 목록 상자에서 스크롤해 액티브 X 컨트롤 및 플러그 인(ActiveX Controls And Plug-ins)을 찾는다.
4. 액티브 X 컨트롤 및 플러그 인 실행(Run Active X Controls And Plug-ins)에 대해 확인(Prompt) 혹은 사용 안함(Disable)을 선택하고 확인(OK)을 클릭한다.
5. IE가 변경됐다고 확인을 하도록 묻는다면 예(Yes)를 클릭한다.
6. 설정을 저장하기 위해 확인(OK)을 클릭하고 모든 대화 상자를 닫는다.
신뢰 사이트 목록 관리하기
IE의 인터넷 보안 영역에서 액티브 스크립팅과 액티브X 컨트롤을 끄면 일부 웹 사이트가 제대로 동작하지 않을 수도 있다는 점을 명심하기 바란다. 필자의 시스템에서는 확인 혹은 프롬프트(Prompt)로 설정했으며, 따라서 액티브 스크립팅이나 액티브X 컨트롤이 포함된 사이트에 새롭게 방문할 때면 사이트를 신뢰할지 여부를 결정해야 한다.
자주 사용할 사이트라면 신뢰 사이트 목록에 사이트 주소를 넣어두며, 그때그때 팝업창으로 알려준다. 신뢰 사이트 목록에 사이트를 추가하려면 다음 단계를 따른다.
1. 브라우저 상에서 URL 위에서 오른쪽 버튼을 클릭하고 복사(Copy)를 선택한다.
2. 도구(Tools) -> 인터넷 옵션(Internet Options)으로 간다.
3. 보안(Security) 탭에서 신뢰할 수 있는 사이트(Trusted Sites) 아이콘을 클릭하고 나서 사이트(Sites) 버튼을 클릭한다.
4. 영역에 웹 사이트 추가(Add This Web Site To The Zone) 텍스트 상자에서 마우스 오른쪽 버튼을 클릭하고 붙여넣기(Paste)를 선택한다.
5. 이 영역에 있는 모든 사이트에 대해 서버 확인(https:) 필요(Require Server Verification (HTTPS:) For All Sites In This Zone) 체크 박스를 해제한다.
6. 추가(Add)를 클릭해 닫기(OK)을 클릭한다.
7. 설정을 저장하기 위해 확인(OK)을 클릭하고 모든 대화 상자를 닫는다.
액티브 스크립팅과 액티브X 컨트롤을 꺼버리면 웹 브라우징을 할 때 IE가 더 안전해진다. 인터넷 익스플로러가 정도를 넘어서는 보안 문제를 갖고 있긴 하지만 오늘날 사용되고 있는 가장 대중적인 웹 브라우저인 건 사실이다. 파이어폭스(Firefox)나 오페라(Opera)같은 다른 브라우저로 바꾸고 싶지 않다면 인터넷을 안전하게 브라우징하기 위해 보안 설정을 높여줄 필요가 있다.
728x90
'Information' 카테고리의 다른 글
| 온라인게임 지역별 선호도 (0) | 2007.02.01 |
|---|---|
| IE 액티브 X 컨트롤 실행 문제「이렇게 대처하라!」 (0) | 2007.01.21 |
| Websites as Graphs (0) | 2007.01.17 |