마이크로소프트(MS)가 최신 인터넷익스플로러(IE)에서 철지난 액티브X 프로그램 실행을 차단한다.
MS는 지난주 공식 IE블로그를 통해 오는 12일(현지시각)부터 IE가 오래된 액티브X 컨트롤을 막을 것이라고 밝혔다. 이날 새로 배포하는 IE 브라우저에 '낡은 액티브X 컨트롤 차단' 기능을 넣겠다는 계획이다.
액티브X 컨트롤은 IE브라우저의 '액티브X' 기술로 사용자 윈도 PC에 내려받아진 뒤 자동으로 실행되는 작은 프로그램을 가리킨다.
이제 MS는 액티브X가 돌아가는 유일한 환경, IE에서도 액티브X를 순순히 허용치 않겠다는 입장이다. 그 이유는 보안 관점에서 더 안전한 브라우저를 제공하겠다는 약속을 지키기 위해서다.
IE에 추가될 낡은 액티브X 컨트롤 차단 기능은 브라우저 사용자가 방문한 웹페이지의 오래된 일반 액티브X 컨트롤을 불러오지 못하게 한다. 해당 웹페이지의 텍스트나 이미지 등 다른 구성요소엔 영향을 주지 않는다.
이 기능은 또 사용자 PC에 깔린 액티브X 컨트롤을 최신 버전으로 유지해 준다. 오래된 컨트롤의 새 버전이 나와 있으면 그걸 깔도록 유도한다는 얘기다. 사용자가 쓰는 컨트롤의 보관, 관리도 맡아 준다.
컴퓨터 프로그램이 보안상 안전하려면 최신 버전이어야 한다. 오래된 소프트웨어(SW)일수록 많은 취약점을 노출하고 있어 악의적 해킹에 당할 우려가 크다. 액티브X 컨트롤도 당연히 결함을 보완한 새 버전이 낫다.
MS도 악성 웹페이지가 무단 정보 수집, 유해 SW배포, 사용자 컴퓨터 원격조종을 위해 액티브X 컨트롤의 결함을 노리기 때문에, 액티브X 컨트롤을 최신 일자로 유지하는 게 중요하다고 경고했다.
기존 IE에 액티브X 컨트롤 관련 문제가 2가지 있었다. 하나는 그 새 버전이 배포돼도 이미 PC에 깔린 게 자동으로 갱신되지 않는다는 점, 다른 하나는 구버전도 여전히 실행된다는 점이다. IE 신기능은 이를 보완한다.
액티브X 차단 기능은 윈도7 서비스팩1 환경의 IE 8부터 11버전까지 적용된다. 윈도8 환경에서는 데스크톱용 IE에 적용된다. 네트워크상의 '로컬 인트라넷'과 '신뢰하는 사이트' 영역을 제외한 웹사이트에서만 작동한다.
사용자가 방문한 사이트에서 액티브X 차단 기능이 작동할 경우 기존 보안경고 알림처럼 IE의 웹페이지 표시영역 위나 아래에 차단 알림이 뜬다. 여기서 해당 최신판을 받을지, 이번엔 그냥 실행할지 고를 수 있다.
이에 한국 사용자들의 불편이 예상된다. 국내서 액티브X 기술은 정부, 금융, 쇼핑, 파일공유 웹사이트 등의 민원 신청 및 발급, 금융거래, 구매결제, 대용량 파일전송 등에 쓰이고 있어서다. 이들의 액티브X 기술 사용 빈도는 높지만 도입 후 사용성 개선이나 안정성 확보는 소홀하다. IE 새버전 호환성 확보도 소극적이다.
그간 액티브X가 윈도 IE에서만 돌아가는 독점 기술로 보편성이 취약하다는 비판이 컸지만 민관 서비스 제공자 다수는 이를 방치해 왔다. 몇년간 MS, 정부와 포털사가 액티브X 퇴출 목소리를 내 왔지만 현재 공공기관, 금융업체, 온라인쇼핑몰 웹사이트 다수는 핵심 서비스를 액티브X 이외 기술로 제공하지 않는 상황이다.
이게 과거 IE 새버전이 나올 때처럼 국내 사용자들에게 직접적인 불편을 초래할 사안은 아니다. MS가 액티브X 컨트롤 차단이라는 신기능을 적용할 대상은 제한적이기 때문이다.
액티브X 컨트롤 차단 기능이 적용되는 '오래된 액티브X 컨트롤'의 목록은 MS가 관리하는 'versionlist.xml' 파일에 담기게 된다. IE 브라우저가 이 파일을 사용해 어떤 프로그램을 막을 것인지 판단한다.
MS가 낡았다고 판단한 액티브X 컨트롤이 해당 파일 목록에 추가되고, 이 정보를 참조한 IE는 자동으로 이 목록을 내려받아 웹사이트 방문시 활용한다.
관련기사
- 액티브X 보안 취약점 신고하면 포상2014.08.11
- 3.20 악성코드 변종, 액티브X 통해 유포2014.08.11
- 액티브X 대신 닷넷 악용 금융악성코드 발견2014.08.11
- 특허청, 전자출원 시스템 개편…액티브X 없다2014.08.11
일단 MS는 자바 플러그인 프로그램만 차단한다. J2SE 1.4 업데이트43 , J2SE 5.0 업데이트71, 자바SE6 업데이트81, 자바SE7 업데이트65, 자바SE8 업데이트11 미만 버전이 대상이다. 발효 시점도 다음달부터다.
이 목록에 당장 포함되지 않는 한국 정부, 금융, 쇼핑, 파일공유 및 미디어 콘텐츠 사이트의 서비스는 최신 브라우저 설치로 달라질게 없다. 다만 MS는 차단할 액티브X 컨트롤을 향후 더 추가할 수 있다고 밝혔다.
