마이크로소프트(MS)가 엣지(Edge) 브라우저에서 툴바 형태로 사용자 보안을 위협했던 코드 실행 경로를 차단했다. 최신 운영체제(OS) 업데이트에 담긴 새 렌더링 엔진의 변화다.
MS는 지난 16일 처음으로 윈도10용 대규모 업데이트(빌드 10586)를 배포 후 17일 공식 블로그를 통해 자사 기본 브라우저에서 강화된 보안 기능을 설명했다.
[☞관련기사: MS, 첫 대규모 윈도10 업데이트 배포]
[☞참조링크: Protecting Microsoft Edge against binary injection]
윈도10 최신 업데이트는 엣지 렌더링 엔진을 EdgeHTML 13 버전으로 업그레이드한다. 이 엔진은 브라우저 실행시 일정 요건을 못 갖춘 '동적 연결 라이브러리(DLL)' 사용을 막는다.
DLL은 기존 윈도용 인터넷익스플로러(IE)에서 '구글 툴바'같은 부가 프로그램을 만들 때 브라우저 메뉴에 삽입되는 버튼의 기능이나 설정을 포함하는 파일이다.
[☞참조링크: Creating Add-ons for Internet Explorer: Toolbar Buttons]
툴바 기능을 제공하는 DLL 파일은 브라우저 프로세스에 포함되는 형태로 작동한다. 이게 허용되다보니 악의적 코드를 포함한 DLL이 웹서핑시 사용자 보안을 위협하기도 했다.
MS 개발팀은 윈도 공식 블로그에서 이를 지적하며 "개발자들은 사용자 설정을 건드릴 때 브라우저 자체의 설정 인터페이스를 쓰는 대신 엣지 프로세스에 DLL을 끼워 넣는 방식으로 우회할 수 있다"면서 "이는 사용자들이 뜻하지 않게 웹 페이지에서 설치되는 툴바나 서드파티 콘텐츠를 접하게 되는 흔한 원인"이라고 설명했다.
MS는 그래서 새 렌더링 엔진을 적용한 엣지 브라우저 프로세스에서 구동 가능한 DLL 종류를 MS가 직접 만든 컴포넌트, WHQL 테스트를 받은 장치 드라이버, 2가지로 제한했다.
MS가 만든 컴포넌트는 MS서명을, WHQL 테스트를 받은 드라이버는 WHQL서명을 포함한 DLL 파일로 저장된다. 이 서명이 안 된 파일의 코드는 엣지에서 안 돌아간다는 얘기다.
결과적으로 엣지 브라우저에선 아무 DLL 파일이나 허용하지 않기 때문에, DLL 파일로 주요 기능을 구현해야 하는 툴바 프로그램을 설치, 실행할 방법도 마땅치 않게 됐다.
그런데 사실 사용자들이 그간 '툴바'라 인식했던 브라우저용 부가기능을 쓸 수 없었던 건 MS가 엣지 프로세스 안에서 기존처럼 서명이 안 된 DLL 코드 실행을 막기 훨씬 전부터다.
엣지 개발팀은 지난 5월 브라우저에서 더 빠른 속도와 높은 안정성과 보안성을 지원하기 위해 액티브X와 브라우저헬퍼오브젝트(BHO)라는 기술을 제공하지 않기로 했다고 밝혔다.
IE에서 쓸 수 있는 BHO 기술이 기존 브라우저용 툴바를 만드는 데 쓰였다. BHO를 지원하지 않는 엣지는 처음부터 기존 형태의 툴바를 제공할 수 없는 상태였다.
국내 출시된 네이버 툴바, 이스트소프트의 알툴바도 엣지용으로는 만들어지지 않았다. 한국MS 측에서도 "엣지는 IE에서 툴바를 만들던 BHO를 처음부터 지원하지 않았다"고 설명했다.
이 때문에 IE용 툴바를 개발하던 여러 소프트웨어 업체들은 난감해하고 있다. 일례로 IE용 '노턴 툴바'를 제공하던 보안업체 시만텍은 윈도10 출시 직후 사용자들에게 이렇게 공지했다.
"MS 측에 따르면 현재 저희가 제공하는 브라우저 기반 제품과 기능이 엣지와 호환되지 않을 것이라고 합니다. …(중략)… 이 기술을 엣지용으로 제공할 대체 수단을 강구 중입니다. 그 동안 고객분들께서 IE, 파이어폭스, 구글 크롬에서 이 기능을 활용하시기 바랍니다. …(중략)… 노턴 툴바와 MS 엣지 호환성에 관한 추가 정보가 나오면 새로 게시하겠습니다."
[☞참조링크: Norton Toolbar and Microsoft Edge Browser Compatibility]
엣지에서 툴바를 못 쓰는 게 새로운 사실은 아니란 얘기다. 그럼 이번에 바뀐 건 뭘까?
좀 더 구체적으로 표현하자면, IE에선 툴바 실행과 관련돼 허용되지만 툴바를 지원하지 않는 엣지에선 사용자 보안을 위협할 수 있는 경로로 남아 있던 서드파티 DLL의 브라우저 프로세스 내 실행 경로가 차단된 것이다.
공식적으로 MS는 엣지 브라우저에 '확장기능(extensions)'을 쓸 수 있도록 하겠다고 예고했지만, 기존처럼 운영체제에 설치되는 툴바 기능을 다시 허용할 것인지는 확실치 않다.
관련기사
- MS, 첫 대규모 윈도10 업데이트 배포2015.11.20
- "윈도10 보안성, 생각보다 높다"2015.11.20
- 윈도10 엣지, 한국 파고들기 쉽지 않네...2015.11.20
- MS, 엣지 브라우저에 ORTC 표준 구현2015.11.20
인도 방송 NDTV의 사내벤처 IT미디어 가젯360이 자체 소식통을 인용한 보도에 따르면 MS는 현재 엣지에 툴바 설치를 허용하는 방안을 연구 중이다. MS는 관련 질의에 답변을 거부했다.
[☞참조링크: Microsoft Edge Browser Gets EdgeHTML 13; Blocks Support for Toolbars]