[아이티투데이 성상훈 기자] 마이크로소프트(MS)가 인터넷 익스플로러(IE)에서 자바 액티브엑스(Active X) 콘트롤을 차단한다. 이르면 내일 업데이트 되는 보안 패치를 통해 적용될 전망이다.
11일 MS에 따르면 8월 정기 보안 업데이트 공개 시기에 맞춰 윈도7, 윈도8에서 사용하는 IE에 해당 기능을 구현할 것으로 알려졌다. 버전은 IE8부터 11까지다.
액티브엑스 콘트롤은 웹사이트에서 동영상, 게임 등 콘텐츠를 표시하는데 사용되지만 자동으로 업데이트 되지않은 수많은 액티브엑스 콘트롤이 해킹 공격의 온상이 되고 있다.
이중 자바 액티브엑스 콘트롤이 가장 위험성이 높다. MS 최신 보안 동향 보고서에 따르면 지난해 발견된 공격 관련 키트중에서 자바의 취약점을 악용하는 사례는 98.5%를 차지했다.
특히 취약점이 해결된 경우에도 사용자가 해당 사실을 인지하지 못하는 경우가 대부분이다. MS는 이때문에 IE에 새롭게 '아웃오브데이트 액티브엑스 콘트롤 블로킹' 이라고 불리는 오래된 액티브엑스 콘트롤을 차단하는 기능을 도입했다.
자바 액티브엑스는 우선적으로 먼저 차단 대상이 되며, 최신 버전이 아니라면 아예 실행조차 되지 않게 된다.
기본적으로 활성화되는 이 기능을 통해 사용자가 오래된 자바를 사용하고 있다면 '당신이 사용하는 자바는 업데이트가 필요하므로 차단된다' 라는 경고 문구가 표시된다. 당연히 웹사이트 상에서 자바를 필요로 하는 콘텐츠를 열람할 수도 없다.
MS는 업데이트 클릭을 통해 최신 버전 다운로드 사이트로 사용자를 유도하고 자바외에 오래된 액티브엑스 콘트롤도 점진적으로 차단 목록에 추가할 방침이다.
자바, 보안취약점 지속적으로 발견
자바가 취약점 공격의 도구로 활용되면서 차단되는 것은 이번이 처음이 아니다.
지난해 1월 애플과 모질라는 당시 자바7 취약점이 제로데이 공격에 노출되면서 맥 OS와 파이어폭스 브라우저에서 자바 실행을 차단시켰다.
이때 발견된 취약점은 외부에서 이를 활용해 공격할 경우 시스템의 모든 코드를 마음대로 실행할 수 있을 정도로 치명적이었고, 이미 취약점 활용 사례는 지속적으로 보고됐다.
이후 1년간 자바 취약점은 계속 발견됐다.
지난 5월에도 IBM이 자바 기능을 마음대로 켜고 끄는 스위치 기능인 '트러스티어 에이펙스'기능을 자사 보안 플랫폼에 추가시켰다.
전세계적으로 자바 취약점을 활용한 공격이 계속 보고되자 이를 방어하기 위한 일련의 조치다.
시스코 보안 보고서에도 다국적 기업 16개사의 악성 코드를 호스팅하는 트래픽이 전체 고객 네트워크 중 94%를 차지한 것으로 분석한 바 있으며, 이중 대부분이 자바를 필두로 한 악용 사례다. 그나마 지난해부터 비율은 더욱 증가 추세다.
보안이슈에도 줄지않는 인기
그럼에도 불구하고 자바는 1995년 탄생이후 사용인구는 줄지 않고 있다.
미국의 IT인력 채용 기업 다이스닷컴 보고서에 따르면 자바는 내년 프로그래밍 종사 인력 사용 5대 개발언어에 당당히 포함되어 있다. 무려 20년간 프로그래밍 언어의 선두를 지키고 있다.
GO, 스칼라 등 클라우드 컴퓨팅 확산과 함께 유행한 언어와 PHP, 파이썬도 최근 상당히 활성화되었지만 자바는 그 어떤 설문조사에서도 선두를 차지한다.
지속적인 보안 취약점 지적에도 불구하고 이처럼 많은 개발자들이 사용하는 이유는 이전부터 사용해왔던 익숙한 C언어 스타일 구문과 어떤 OS에서도 구동되며, 멀티쓰레드, 멀티 코어에도 대응하고 있는 호환성 때문이다.
타 언어에는 없는 폭넓은 장점때문에 널리 쓰이고 있지만, 널리 쓰이고 있는만큼 악용하려는 사례도 많기 마련이다.
오라클 역시 지난해부터 자바에 대한 보안 문제를 해결하고 커뮤니티 지원을 약속하는 등 전방위적인 노력을 기울이고 있지만 체감으로 느껴지지 않는 것도 이같은 이유에서다.
결국 사용자 입장에서 스스로 노력을 기울이는 것이 최선이다.
국내 한 보안업체 관계자는 "자바는 드라이브 바이 다운로드가 매우 많은 비중을 차지하며, 많은 사용자들이 설치가 되어 있어도 귀찮다는 이유로 보안 업데이트를 잘 하지 않는다"며 "자바 업데이트는 반드시 최신 버전인지 수시로 확인하는 습관을 갖지 않으면 파밍 악성코드 피해로 이어질 확률이 높다"고 당부했다.