3일 씨넷에 따르면 익스플로러는 HTML 형태의 전자우편 첨부물을 자동으로 열게 돼 있어서 전자우편을 가장한 바이러스나 해킹 등에 노출될 수 있는 것으로 밝혀졌다.
마이크로소프트(MS)는 이에따라 최근 수백만 이용자들에게 즉시 패치를 설치하도록 당부하고 있다. 이 결함은 IE 5.01과 5.5 버전이 해당되며 서비스팩 2 버전을 설치한 IE 5.0은 문제가 없다.
이번 문제는 스페인의 보안 전문가 후안 카를로스 쿠아탱고(Juan Carlos Cuartango)가 발견했으며, MS는 30일 이 사실을 확인했다. 패치를 설치해 문제를 해결하지 않으면 이용자가 첨부물을 다운받거나 열지 않아도 해커가 HTML 첨부물을 이용해 피해자의 컴퓨터를 원격조종할 수 있게 된다.
MS는 익스플로러 이용자들에게 알리는 글에서 “이 보안 결함으로 인해 해커가 피해자의 컴퓨터에서 자기 마음대로 프로그램을 실행시킬 수 있다”며 “이러한 악성 프로그램은 데이터를 추가, 변경, 삭제하거나 피해자의 컴퓨터를 임의의 웹사이트에 연결시킬 수 있고 하드 드라이브를 포맷하는 등 컴퓨터의 원 주인이 할 수 있는 어떤 일도 할 수 있다”고 밝혔다.
MS는 또 웹사이트를 이용한 공격의 경우 이용자를 속여 해킹용 사이트를 열게 하거나 HTML 이메일을 열어보게 해야 하지만, 문제의 익스플로러를 쓰는 이용자들은 첨부물을 클릭하지 않아도 이러한 공격에 노출될 수 있다고 설명했다.
MS는 “HTML 메일에 실행파일이 첨부돼 있고 MIME이 비정상적인 형태로 돼 있을 경우 결함이 있는 익스플로러는 경고 메시지를 띄우지 않고 바로 파일을 실행시킨다”고 말했다.
MS는 또 “실행파일 같은 몇가지 형태의 첨부물은 위험하다고 봐야 한다”며 “이럴 경우 익스플로러는 이용자에게 첨부파일을 열 것인지 확인하고 이용자가 승인한 경우에만 연다”고 밝혔다.
그러나 “이번에 발견된 결함으로 인해 메일의 MIME 형태가 비정상적인 경우에는 이러한 안전장치가 무력화된다”고 MS는 인정했다.
이번 문제가 공개되기 전날에도 해커가 다른 사람의 이메일과 파일을 읽을 수 있는 보안 결함이 발견됐었다.
보안 전문가들은 MS의 제품들은 다른 많은 소프트웨어들과 상호 연동되기 때문에 시스템이 해킹이나 바이러스 등의 공격에 취약해진다고 지적하고 있다.
이국명 <동아닷컴 기자>lkmhan@donga.com
구독
구독
구독