[디지털데일리 이민형기자] 마이크로소프트(MS) 윈도XP 기술지원이 종료된지 3주만에 신규 취약점이 등장했다. 해당 취약점은 MS에 전달됐으나 이에 대한 업데이트는 이뤄지지 않을 것으로 보인다.

보안업계에 따르면 지난 27일 인터넷익스플로러(IE) 모든 버전에 영향을 주는 신규 취약점(CVE- 2014-1776)이 발견됐다. 이 취약점은 ‘Use after free(할당된 메모리 해제 후 사용)’ 에러를 이용해 사용자의 PC를 원격제어할 수 있는 원격코드 실행 취약점으로 밝혀졌다.

이 취약점은 어도비 플래시의 힙스프레이(플래시를 클릭하면 재생되는 콘텐츠) 공격으로 윈도비스타 이상에 적용된 메모리 보호기술(ASLR)과 데이터 실행 방지(DEP) 기능도 무력화할 수 있는 것으로 나타났다.

MS는 현재 해당 취약점에 대한 임시방편을 제공하고 향후 보안 업데이트에서 수정할 것이라고 밝혔으나 문제는 윈도XP다. 지난 8일 윈도XP의 기술지원이 종료되면서 IE6, 7, 8에 대한 업데이트도 모두 종료됐기 때문이다.

IE6, 7, 8에 대한 업데이트가 종료되면서 윈도XP에서 IE를 쓰는 사용자들은 취약점에 고스란히 노출되게 됐다. 더군다나 메모리 영역에서 실행되는 취약점이기 때문에 백신 업데이트로도 차단하기 힘들다.

이를 해결할 수 있는 방법은 크게 두 가지다. 먼저 윈도XP를 버리고 상위 버전인 윈도7, 윈도8.1로 업그레이드 하는 방법이다. 윈도7, 윈도8.1에서 쓰이는 IE9, 10, 11에 대한 보안 업데이트는 다음달 14일 진행될 예정이다.

두번째는 윈도XP에서 IE대신 모질라 파이어폭스, 구글 크롬, 애플 사파리 등 다른 웹브라우저를 사용하는 방법이다. 해당 취약점은 IE에만 영향을 끼치기 때문에 IE를 제외한 브라우저에서는 취약점이 동작하지 않는다.

만약 인터넷뱅킹 등 액티브엑스(Active-X)를 사용하는 웹사이트를 방문해야 할 경우에는 세단계를 설정작업이 필요하다.

먼저 IE 메뉴 중 도구-인터넷옵션-보안 탭에서 ‘인터넷’과 ‘로컬인트라넷’의 보안수준을 ‘높음’으로 수정해야 한다. 그 다음 ‘인터넷’과 ‘로컬인트라넷’의 ‘사용자 지정 수준’을 선택한 후 ‘액티브(Active) 스크립팅’을 사용안함으로 설정해야 한다. 끝으로 ‘신뢰할 수 있는 사이트’에 금융회사 주소를 입력해두면 된다.

보안업계 관계자는 “이번 취약점 등장은 시작에 불과하다”며 “앞으로도 수많은 제로데이 취약점이 윈도XP 사용자들을 괴롭히게 될 것”이라고 전했다.

<이민형 기자>kiku@ddaily.co.kr