한껏 기대 모으는 IE 7.0의「10가지 매력 포인트」

MS가 인터넷 익스플로러(Internet Explorer) 7.0에 많은 변경을 했다. 사용자 브라우징 경험과 보안 기능 등을 대폭 향상시킨 것이다. 차세대 IE는 윈도우 비스타(Vista)에 포함되겠지만, 그걸 쓰겠다고 운영체제를 일부러 업그레이드할 필요는 없다. IE 7.0의 일부 기능은 비스타에서만 이용할 수 있지만, 윈도우 XP 서비스팩2에서도 IE 7.0을 쓸 수 있다. 이번 기사에서는 IE 7.0을 더 멋지게, 그리고 더 안전하게 만드는 새로운 특징이 무엇인지 일부 살펴본다.탭 브라우징그동안 탭 브라우징(Tabbed browsing)은 사용자들이 요청해왔던 기능으로, 이젠 IE 7.0에서 이용할 수 있게 된다. 모질라 파이어폭스, 오페라, MyIE2를 비롯한 서드파티 브라우저에서는 대중적인 특징이라 할 수 있는 탭 브라우징은 동일한 브라우저 창에서 ‘탭(tabs)’을 이용해 여러 페이지를 볼 수 있도록 하는 기능이다. 따라서 브라우저 창을 여러 개 열어놓는 대신 탭을 이용해 신속하고 쉽게 페이지를 왔다갔다 할 수 있다. 다른 탭에 열어논 웹 페이지를 보기 위해선 탭을 클릭하기만 하면 된다.IE는 원래 단일 창 형식의 브라우저로 설계됐고 윈도우 탐색기와 코드를 공유하고 있기 때문에 IE에 탭을 추가한다는 게 어려웠다. 하지만 MS는 이런 문제점을 극복해 대부분의 서드파티 애드온들과 호환성도 유지하게 됐다. 탭 기능은 멀티쓰레드로 구현됐고 각각의 탭은 별도의 쓰레드를 사용하기 때문에 사용자들은 더 빨라진 것 같은 느낌을 받게 될 것이다.피싱 불허피싱은 보통 이메일에 포함된 링크를 이용해, 사기성 웹 사이트(예를 들어 사용자가 거래하는 은행에서 만든 사이트라고 자처하지만 실제로는 은행 로그온 인증서를 빼내기 위해 가짜 웹 사이트를 만드는 사기꾼들의 사이트)로 사용자들이 가도록 만드는 행위를 말한다. 피싱은 웹 사용자들에게 주요 위협이 돼 왔다.IE 7.0에는 사용자가 방문한 사이트와 알려진 피싱 사이트의 목록을 자동적으로 대조해 만약 보고된 피싱 사이트에 방문한 것이라면 이에 대해 사용자에게 경고하고 자동적으로 해당 사이트에서 빠져나오도록 해주는 피싱 필터가 들어있다. 또한 IE 7.0은 보고되지 않은 사이트일지라도 일반적인 피싱 기술을 사용하는 사이트인지 감지해서 이에 대해 경고를 표시해준다. 또한 사용자들이 직접 발견한 피싱 사이트를 쉽게 보고할 수 있도록 하는 매커니즘이 포함돼 있으며, MS는 이렇게 보고받은 내용을 체크해서 피싱 행위를 하는 곳으로 판명되면 목록에 추가시킨다.원할 경우 사이트를 자동적으로 체크하지 않도록 설정할 수 있다. 또한 피싱 사이트라고 의심되는 특정 사이트에 대해서 수동으로 체크하도록 할 수도 있다.기록 제거신원 도둑이 기승을 부리면서 프라이버시는 큰 고민거리이다. 많은 사용자들이 직장 혹은 가정에서 다른 사람들과 컴퓨터를 공유해서 쓰고 있으며, 도서관과 인터넷 카페에서도 여러 사람이 함께 이용하는 컴퓨터를 쓴다. 사람들은 브라우저 폼에 입력했던 개인 정보를 비롯해 방문했던 사이트 기록을 신속하게 제거할 수 있길 바라고 있다. 이전 버전에서는 방문 기록, 임시 파일, 쿠키 등을 제거하려면 여러 단계를 거쳐야 했다.IE 7.0에서는 기록 제거 과정을 단순화했으며, 최상위 메뉴에 구현해놓았다. 이 기능은 브라우징 기록을 담고 있는 index.dat 파일들을 지워버린다. 사용자는 브라우징 기록을 비롯한 여타 ‘증거’를 쉽게 제거하고자 서드파티의 프라이버시 보호 소프트웨어를 구입할 필요가 더 이상 없을 것이다.보호 모드(권한 제한 IE)IE 7.0은 보호 모드(protected mode)에서 동작한다. 초기 구현에서는 권한 제한 IE(low rights IE)라고 일컬어졌었다. 가장 중요하고 새로운 보안 특징 중 하나이지만 불행하게도 윈도우 비스타에 탑재된 IE 7.0에서만 이용할 수 있다. 보호 모드는 기술인 동시에 철학이라할 수 있는 비스타의 UAP(User Account Protection)와 연계돼 동작한다. 간단히 말해서 기본적으로 권한을 최소로 제한해 동작시키는 것이다.IE 보호 모드에서 브라우저는 반드시 필요한 권한만을 부여받으며, 가장 낮은 가능 권한으로 애드온과 플러그인이 구동된다. 프로세스들은 높음(high), 중간(medium), 낮음(low)의 세 가지 무결 수준 중 하나로 동작한다. 이 모드에서는 낮음 수준에서 동작하는 프로세스가 높은 수준의 프로세스에게 데이터를 보낼 수 없기 때문에 해커들이 즐겨 사용하는 트릭이라 할 수 있는 허가받지 않은 권한에 대한 접근을 할 수 없게 된다.애드온 프리 모드새롭게 추가된 이 모드를 이용하면, IE에서 발생한 문제를 해결하는 게 훨씬 더 쉬워진다. 원래 안전 모드(safe mode)라고 불렸으나 애드온 프리 모드(add-on free mode)로 이름이 바뀌었는데, 이 모드에서는 플러그인이나 확장 기능이 동작하지 않게 해서 IE를 실행할 있다. 이전 버전에서는 예를 들어, 스파이웨어나 여타 말웨어로 IE가 동작하지 않게 되는 문제가 있었다. 고치려면 안티 스파이웨어 프로그램을 다운로드해서 실행해야 했으나, IE를 열 수 없으면 아무 것도 다운로드할 수 없다는 진퇴양난에 빠지고 만다.애드온 프리 모드는 이를 수정하게 된다. 윈도우가 제대로 부팅되지 못하게 만드는 드라이버를 로딩하지 않고 부팅하기 위해 윈도우에서 안전 모드를 사용하는 것과 아주 동일한 방법으로, 문제를 일으키는 확장 기능을 로드하지 않고 넘어가서 애드온이 뜨지 않은 상태에서 IE가 구동되도록 한다.액티브X 선별적 추가 기능웹 개발자들은 웹 사이트 방문자들에게 상위 수준의 대화 기능을 제공할 수 있도록 액티브X 컨트롤이라는 미니어처 애플리케이션(자바 애플릿과 유사)을 구동함으로서 훨씬 더 정교한 웹 페이지를 제공한다. 하지만 액티브X는 사용자 머신에 바이러스나 트로이 목마 프로그램이 다운로드되어 해로운 동작이 수행되도록 악용될 수 있으며 이런 이유로 액티브X는 보안 위협이 될 수 있다.IE 7.0은 브라우저 내에서 동작하는 게 안전할 때에만 컨트롤이 동작할 수 있도록 한다. IE 7.0은 브라우저에서 구동되고자 하는 컨트롤들의 데이터베이스를 관리하고 있으며 액티브X 컨트롤이 구동되기 전에 이 목록을 체크한다. 목록에 컨트롤이 없다면 브라우저는 IE에서 해당 컨트롤을 동작 가능하도록 할지(혹은 동작하지 않도록 할지) 선택할 수 있도록 사용자에게 알려준다.크로스 도메인 보호 & 통합 URL 클래스브라우저 공격의 일반적인 형태 중 하나는 한 보안 도메인에서 열린 브라우저 프레임을 다른 보안 도메인으로 리다이렉션하기 위해 크로스 도메인(cross-domain) 스크립팅이라 부르는 것을 사용한다. IE 7.0에서는 어디로 리다이렉션되든 스크립트를 비롯한 여타 객체들이 보안 컨텐스트를 보존하도록 이를 막고 있다. 이 말은, 예를 들어 로컬 머신 영역에서 현재 로그온한 사용자의 권한을 갖기 위해 공격자가 인터넷을 통해 스크립트를 돌릴 수 없게 된다는 뜻이다. 다른 공격 방법으로는 브라우저가 URL에서 특정 문자를 조작하는 것을 악용하는 것이다.영역 감금인터넷 익스플로러에서는 액세스하는 사이트가 로컬 컴퓨터인지, LAN의 인트라넷인지, 인터넷인지에 따라 서로 다른 보안 설정을 구현할 수 있도록 해주는 보안 영역이라는 개념이 오랫동안 사용돼 왔다. 또한 이런 영역이라는 개념을 쓰면 신뢰 사이트와 제한 사이트를 목록화하는 것이 쉽다.IE 7.0에서는 이전 버전 IE에서 이용돼온 보안 템플릿(낮음(Low), 약간 낮음(Medium-Low), 중간(Medium), 높음(High))도 사용할 수 있고 각 영역에 대한 개개 보안 설정을 조정해서 이용할 수도 있다. IE 7.0에는 약간 높음(Medium High)이라는 새로운 템플릿이 추가되어 별도로 조정하지 않고도 좀더 세밀한 조정이 가능해졌다. 이 탬플릿은 비스타에서 보호 모드가 켜진 상태에서 IE 7.0을 이용할 때 쓸 수 있다. 이외에 달라진 내용은 다음과 같다.:• 인트라넷 영역은 대부분의 가정/소규모 사무실용 컴퓨터(윈도우 도메인의 멤버가 아닌 상황)에서는 기본적으로 꺼져있다.• 신뢰 사이트 영역은 기본값으로 높은 보안 기능을 제공한다.• 슬라이드 막대를 이용해서 '낮음'과 '약간 낮음'으로 보안 설정을 선택할 수 없게 된다. 슬라이드 막대로는 보안 설정은 '중간'까지 밖에는 내려가지 않는다. 영역에 대한 보안 설정을 더 낮추기 위해 별도 설정을 이용할 수 있다.SSL과 TLSSSL(Secure Sockets Layer)은 웹 브라우저와 웹 서버 간에 교환되는 데이터 암호화에 관한 표준이다. SSL은 트랜잭션에 참여하는 머신(서버 단독이든 클라이언트와 서버 양쪽 모두든)의 신원을 증명하기 위해 공개키 암호화와 디지털 인증에 기반하고 있다.IE 6.0에서는 보안 사이트에 문제가 있다면 무엇을 해야할지 사용자가 결정해야 했다. IE 7.0은 기본값으로 가장 안전한 선택을 한다. 인증서에 문제가 있다면 해당 문제에 대해 설명하는 페이지가 나타난다. 인증서 만료 혹은 취소되었다거나, 신뢰되지 않은 루트 인증 기관이 발급한 인증서이거나, 사이트의 URL에 나타난 것과 다른 호스트 이름으로 발급된 인증서라면 사이트 이용은 제한된다. 경고 메시지를 보고 사용자들이 클릭하게 되면 인증서가 취소된 것이 아닌 이상 어쨌든 해당 사이트에 방문할 수는 있다. 하지만 경고 메시지가 계속 나타날 것이다.IE 7.0에서는 더 이상 볼 수 없는 경고 메시지 중 하나는 "이 페이지는 보안된 항목과 보안되지 않은 항목을 모두 갖고 있습니다"이다. 이런 메시지가 나타나는 대신 IE 7.0에서는 보안된 내용만 보여지며, 보안되지 않은 내용을 보고 싶다면 정보 막대(Information Bar)를 사용하여 해제할 수 있다.TLS(Transport Layer Security)는 SSL을 계승하고 있으며 SSL보다 더 안전하다. IE 6.0에서는 SSL 버전 2.0과 3.0이 지원되고 있으며 기본적으로 켜져있다. TLS도 지원하고 있으나 사용자가 직접 켜야만 한다. IE 7.0에서는 SSL 2.0(최소 보안 버전)은 기본적으로 꺼져있고 TLS가 켜져있다.보안 인증IE는 기본(basic), 다이제스트(digest), 통합 윈도우 인증, 클라이언트 인증 매핑 등 웹 서버에서 사용되는 다양한 인증 방법을 사용한다. 이들 중엔 다른 것에 비해 더 안전한 것도 있고 그렇지 못한 것도 있다. 예를 들어 기본 인증은 암호를 평문으로 보내는데 SSL/TLS을 조합해서 이용하지 않는 이상 안전하지 못하다.이전까지만 해도 브라우저는 서버가 제공하는 인증 방식 중 가장 먼저 제시하는 것을 사용했다. IE 7.0에서는 이 문제를 바로 잡아서 기본적으로 웹 서버가 지원하는 인증 방식 중 가장 강력한 것을 사용하도록 했다. 또한 HTTP에서 기본 인증을 이용하게 되면 사용자 암호가 평문으로 보내질 것이라고 경고 메시지를 내보낸다.@