국내 점유율 98% 이상을 차지하는 인터넷 브라우저인 인터넷 익스플로러(IE)의 최신 버전인 버전 7 베타2 버전이 지난 1일자로 인터넷에 정식으로 공개됐다. 비록 '개발자를 위한'이란 꼬리표를 달았지만 일반인들도 이 베타 버전을 설치할 수 있다. 단, 설치 과정 중간에 윈도우 정품 인증 과정이 포함돼 있어 눈길을 끈다.
▶마이크로소프트 윈도우 인터넷 익스프롤러 7 베타 2 다운로드(http://www.microsoft.com/windows/IE/ie7/default.mspx)
다양한 추가 기능과 탭 브라우징, 향상된 인쇄 기능을 갖춘 IE 7 베타는 당초 3월에 일반에 공개될 예정이었으나 이례적으로 한 달을 앞당겨 출시했다. 이는 최근 해외에서 불고 있는 파이어폭스 등의 인기를 사전에 차단하고 윈도우 비스타에 기본 탑재될 소프트웨어를 선보이면서 올 연말 출시를 앞두고 있는 윈도우 비스타 마케팅의 일환으로 풀이된다.
그런데 보안 기능에 대해 자신만만해 하며 내놓은 이 베타 버전에 서비스 거부 공격에 대한 취약점이 한 개인에 의해 공개되면서 우려를 낳고 있다.
최근 한 보안 전문가가 인터넷 익스플로러 7 베타 버전을 설치 후 몇 분만에 서비스 거부(DoS) 공격이 발생할 수 있는 잠재적인 취약점을 발견해 인터넷에 공개했다.
독자적으로 보안 연구를 진행하는 톰 페리스는 이 문제는 최근 공개된 인터넷 익스플로러 베타 2 프리뷰 버전에서 발견됐다고 지적했다. 그가 발견한 내용에 따르면 그가 직접 만든 잠재적인 보안 문제를 진단하는 프로그램을 돌리고 나서 15분도 지나지 않아 브라우저에 문제가 생기기 시작했다는 것.
▶페리스가 발견한 인터넷 익스플로러 7 베타 DoS 취약점(http://www.security-protocols.com/advisory/sp-x23-advisory.txt)
▶DoS 취약점으로 인한 문제 발견 당시 화면(http://security-protocols.com/upcoming/sp-x23.jpg)
페리스는 'badpack3t'라는 이름으로 활동하는 독립 보안 전문가로 시큐리티프로토콜(www.security-protocols.com) 사이트를 운영중이며 지난해 여름에는 윈도우 XP 서비스팩(SP)2에서 원격 커널 서비스 거부(DoS) 결함을 발견해 공개하기도 했다. 당시 마이크로소프트는 그의 취약점 공개 때문에 부랴부랴 패치를 개발해 배포한 바 있다.
정보통신 전문지인 이위크(eWEEK)와의 인터뷰에서 그는 특정한 기능을 가진 HTML 문서가 IE 7의 시스템 파일중 하나인 'urlmon.dll'의 기능을 이상 작동시켜 프로그램에 문제를 일으킨다고 설명하고 이를 악용하면 사용자의 메모리를 제어할 수 있는 악성코드를 만들 수 있다고 지적했다.
한편 이 취약점이 공개되자 마이크로소프트의 개발자 네트워크(MSDN) 블로그에 MS 프로그램 책임자인 토니 코어도 이 취약점이 있다는 것을 인정하는 글을 올렸다. 다만 이 문제는 매우 특수한 상황에서만 작동되는 문제이며 이미 이 취약점을 해결하기 위한 프로그램 개발 작업이 들어가 있어 정식판이 나오게 되면 깨끗해질 것이라고 장담했다.
▶MSDN 블로그에 올린 토니 코어의 글(http://blogs.msdn.com/ie/archive/2006/02/01/522682.aspx)
코어는 "이 버그는 이미 코드 검토 및 분석 과정에서 발견된 문제이며 필수 개발 과정에 포함돼 있다"고 설명하고 "일반에 공개될 정식판이 나오기 전에 이 취약점은 해결돼 있을 것이다. 우리는 이 버그가 그리 쉽게 악용되지는 않을 것으로 생각한다"고 블로그에서 주장했다.
하지만 지난해 연말 작은 취약점이 공개되고 나서 패치가 미처 개발되지 않은 상태에서 공격을 감행하는 제로데이(Zero-Day) 공격이 이미 현실화 된 시점에서 단순히 '개발중'이라는 말은 무책임하다는 것이 마이크로소프트 블로그의 댓글을 단 네티즌의 우려다.