인터넷익스플로러(IE) 11 버전에서 아직 보안패치가 이뤄지지 않은 제로데이 웹취약점이 발견됐다.
최근 영국 보안회사 듀젠(Deusen) 소속 데이비드 레오 보안연구원은 국제웹보안표준기구(OWASP)가 분류한 주요 웹취약점 분류 중 하나인 '유니버셜 크로스 사이트 스크립팅(Universal XSS)'에 해당하는 취약점이 윈도7, 윈도8.1 기반 IE11 웹브라우저에서 확인됐다고 밝혔다.
그는 실제 개념증명(POC)을 하기 위해 영국 일간지 데일리메일 온라인 웹사이트를 방문해 이 취약점이 적용되는지 확인했다. 그 결과 레오 연구원이 의도한 대로 해당 웹사이트에서 '듀젠이 해킹했다(Hacked by Deusen)'이라는 문구를 띄울 수 있다는 점을 확인했다. 이 취약점은 'Same-Origin Policy(SOP)'라고 불리는 웹애플리케이션의 기본구성 요소를 우회한다. SOP는 웹사이트에 악성코드나 악성스크립트를 삽입하지 못하도록 막는 기능을 가졌다.
이 취약점은 공격 대상 웹사이트에서 외부로 표출되는 콘텐트를 바꿔버리고, 사용자 인증과 관련 쿠키정보나 로그인에 사용한 ID, 비밀번호 등을 훔쳐낼 수도 있다.
레오 연구원은 해당 내용을 지난해 10월 13일에 MS에 공지했다고 밝혔으나 아직까지 보안패치는 이뤄지지 않고 있다고 지적했다.
이와 관련 미국 지디넷에 따르면 MS측은 (이러한 취약점을 악용한) 공격에 성공하기 위해 공격자는 피싱 수법을 통해 자신들이 만든 악성 웹사이트에 사용자가 접속하도록 유도해야 한다며 최신 IE에 기본 설치된 스마트스크린이 이런 악성 웹사이트 접근을 막는다라고 설명했다.
관련기사
- 윈도-맥-리눅스 노린 플래시 취약점 주의2015.02.06
- 고스트 취약점 "하트블리드-셀쇼크보단 덜 위험"2015.02.06
- 블랙폰에서도 보안 취약점 발견2015.02.06
- 리눅스서 '고스트' 취약점…패치 필수2015.02.06
이어 해당 취약점이 활발하게 공격에 악용되고 있는지는 파악하지 못했으며, 이를 해결하기 위한 보안 업데이트 작업을 추진 중이라고 밝혔다.
MS에 따르면 사용자들이 신뢰할 수 없는 출처의 링크를 여는 것과 신뢰할 수 없는 웹사이트에 방문을 피해야 한다. 또한 신뢰할 수 없는 웹사이트를 방문했다고 하더라도 해당 사이트에서 나갈 때 반드시 로그아웃을 하는 것도 이 같은 취약점으로부터 정보를 보호할 수 있는 방법 중 하나다.
