익스플로러8, 보안 위험 노출

　PC방에서 인터넷을 사용하며 로그인을 했다면 모든 브라우저를 반드시 종료해야 한다. 그렇지 않고 브라우저가 하나라도 남아있으면 로그인이 그대로 유지돼 다음 사용자가 e메일을 그대로 열람하는 등 정보유출 문제가 발생할 수 있다. 또 개발자 도구 기능을 이용하면 PC에 보여지는 정보를 임의로 변경할 수 있어 해킹과 같은 피해가 일어날 수 있다.

　6일 행정안전부는 마이크로소프트의 새로운 인터넷 브라우저 인터넷익스플로러(IE)8에서 이 같은 보안 문제가 발견됨에 따라 전문가토론회를 긴급 개최하고 범국가차원에서 대응키로 했다.

　보안문제는 세션정보 공유와 개발자 도구로 이들 모두 MS가 사용자와 개발자 편의를 위해 IE8부터 제공한 기능이다.

　편의를 위해 제공한 기능이지만 이를 악용할 경우 심각한 보안 사고가 발생할 수 있어 이에 대한 대책이 필요한 상황이다.

　세션정보 공유 문제의 경우 IE 뿐 아니라 파이어폭스나 크롬 등 대다수의 브라우저에서도 같은 기능을 제공하고 있지만 보안 우려에 대한 홍보는 이뤄지고 있지 않다. 이에 따라 사용자들의 각별한 주의가 요구된다.

　IE8에 추가된 개발자 도구를 사용하면 화면에 표시된 값을 수정해 서버에 반영할 수 있다. 가격정보 등을 수정해 결제하는 일이 충분히 가능해 진다. 이를 막기 위해서는 서버에서 변경여부를 검증하는 절차를 밟도록 조치를 취해야 한다.

　행정안전부는 세션정보 공유 문제에 대해서는 세션 관리를 강화하도록 웹사이트 프로그램 보완을 제시했다. 개발자 도구 문제에 대해서도 서버에서 PC의 값을 다시 확인하게 웹사이트 프로그램을 보완하는 등의 대응 방안을 강조했다.

　이 후에는 전 행정기관에 이 문제에 대한 해결방안을 안내하고 방송통신위원회에 민간 웹사이트에도 적용하도록 협조를 요청할 계획이다. 하반기 ‘웹사이트 취약점 점검’과 ‘전자정부 웹 표준 준수지침’에도 반영하는 방안을 검토 중이다.

　이에 대해 한국MS는 이들 문제는 IE8 문제가 아닌 악용의 문제라고 설명했다.

　한국MS 백수하 이사는 “세션 정보 공유의 경우 사용자 편의를 위해 제공한 기능이며 최근 발표된 브라우저에 대다수 탑재된 기능”이라며 “개발자 도구를 악용하는 문제는 개발자들이 일반해킹툴을 악용하며 제시돼 온 문제인만큼 동일선상에서 조치가 필요하다”고 말했다.

　 문보경기자 okmun@etnews.co.kr