외국에서는 보안상의 이유로 사용율이 낮은 액티브X. 반면 우리나라는 액티브X를 사용하지 않으면 웹사이트 이용에 제약을 받게 된다. 하지만 엑티브X는 보안에 매우 취약하다는 것이 전문가들의 중론이다.
액티브X는 인터넷 익스플로러의 기능을 확장하기 위해 MS가 제공하는 기능으로 자바 애플릿과는 달리 사용자 PC의 파일, 레지스트리 등의 자원에 접근 가능하다.
국내 웹 사이트서 많이 사용되고 있는 액티브X 컨트롤의 경우 1,000만 명 이상이 사용하는 다수의 컨트롤에서 취약점이 발견되고 있다. 이는 액티브X가 일반적인 윈도우 프로그램과는 달리 공격자가 웹 인터페이스를 통해 언제든지 호출이 가능하므로 보안에 취약하기 때문.
보안 전문가들은 "액티브X 컨트롤에 대한 보안성 검증절차가 없고 보안 프로그램에서 조차도 취약점이 발견되고 있다"며 "이는 개별 회사의 문제가 아니라 액티브X 취약점에 대한 인식과 공감대 형성이 부족해서 발생한 문제때문"이라고 전했다.
이렇듯 액티브X가 보안에 취약함에도 불구 우리나라는 워낙 초고속 인터넷 보급률이 높은 환경 덕분에 화려한 기술을 많이 써서 홈페이지를 개발하는 곳이 많고 이를 위해 액티브X를 많이 사용하다보니 맥이나 리눅스 사용자들은 인터넷을 사용하는데 심각한 제약을 느낄 정도.
IE7, 비스타서「액티브X 위험 여전히 존재」 최근 출시된 IE7과 곧 발표예정인 비스타에서는 보안 기능이 한층 강화됐다. 특히 IE7은 팝업창 URL 주소 표시줄을 꼭 나타나게 하고 이미 설치된 액티브X 프로그램도 실행시 다시 확인 작업을 거치게 하는 등 예전 IE 버전들보다 해킹 방지책을 대거 강화했다.
비스타서도 강화된 보안 기능을 통해 프로그램 접근 계정에 대한 권한을 설정할 수 있도록 돼있고 유해 컨트롤이 발생할 경우 사용자들이 한번 더 확인을 하도록 조치했다.
때문에 IE7과 비스타에서 액티브X 컨트롤 문제가 어느 정도 해결되긴 했지만 액티브X 공격에 대한 잠재적 위협이 여전히 발생할 수 있다고 보안 전문가들은 경고하고 있다.
일반적으로 로우/미들 레벨에서는 일반 애플리케이션이 실행되고, 하이레벨에서는 운영 체제가 실행되지만 액티브X의 경우 사용자가 설정하는 것에 따라 여러 레벨에서 모두 사용 가능하다.
하지만 각 레벨끼리 서로 관여할 수 없는 한계로 같은 레벨상의 액티브X 공격은 어느 정도 방어할 수 있지만 다른 레벨에서 발생하는 액티브X 공격은 방어하기 어렵다는 것.
브이엠크래프트 이상규 대표는 "IE7나 비스타서 보안 기능이 어느정도 강화된 것은 사실이지만 정상적 액티브X 허용 후 악성코드 침입시 PC가 취약하게 되는 것은 마찬가지"라며 “최근 중국발 웜과 트로이목마 공격이 대부분 MS의 IE를 중심으로 이뤄지고 있지만 중국 해커들이 한국 액티브X의 취약점을 간파하고 공격을 하기 시작한다면 속수무책”이라고 경고했다.@
IE7 보안 강화,「액티브X 보안 위험」여전히 문제
액티브X는 인터넷 익스플로러의 기능을 확장하기 위해 MS가 제공하는 기능으로 자바 애플릿과는 달리 사용자 PC의 파일, 레지스트리 등의 자원에 접근 가능하다.
국내 웹 사이트서 많이 사용되고 있는 액티브X 컨트롤의 경우 1,000만 명 이상이 사용하는 다수의 컨트롤에서 취약점이 발견되고 있다. 이는 액티브X가 일반적인 윈도우 프로그램과는 달리 공격자가 웹 인터페이스를 통해 언제든지 호출이 가능하므로 보안에 취약하기 때문.
보안 전문가들은 "액티브X 컨트롤에 대한 보안성 검증절차가 없고 보안 프로그램에서 조차도 취약점이 발견되고 있다"며 "이는 개별 회사의 문제가 아니라 액티브X 취약점에 대한 인식과 공감대 형성이 부족해서 발생한 문제때문"이라고 전했다.
이렇듯 액티브X가 보안에 취약함에도 불구 우리나라는 워낙 초고속 인터넷 보급률이 높은 환경 덕분에 화려한 기술을 많이 써서 홈페이지를 개발하는 곳이 많고 이를 위해 액티브X를 많이 사용하다보니 맥이나 리눅스 사용자들은 인터넷을 사용하는데 심각한 제약을 느낄 정도.
IE7, 비스타서「액티브X 위험 여전히 존재」
최근 출시된 IE7과 곧 발표예정인 비스타에서는 보안 기능이 한층 강화됐다. 특히 IE7은 팝업창 URL 주소 표시줄을 꼭 나타나게 하고 이미 설치된 액티브X 프로그램도 실행시 다시 확인 작업을 거치게 하는 등 예전 IE 버전들보다 해킹 방지책을 대거 강화했다.
비스타서도 강화된 보안 기능을 통해 프로그램 접근 계정에 대한 권한을 설정할 수 있도록 돼있고 유해 컨트롤이 발생할 경우 사용자들이 한번 더 확인을 하도록 조치했다.
때문에 IE7과 비스타에서 액티브X 컨트롤 문제가 어느 정도 해결되긴 했지만 액티브X 공격에 대한 잠재적 위협이 여전히 발생할 수 있다고 보안 전문가들은 경고하고 있다.
일반적으로 로우/미들 레벨에서는 일반 애플리케이션이 실행되고, 하이레벨에서는 운영 체제가 실행되지만 액티브X의 경우 사용자가 설정하는 것에 따라 여러 레벨에서 모두 사용 가능하다.
하지만 각 레벨끼리 서로 관여할 수 없는 한계로 같은 레벨상의 액티브X 공격은 어느 정도 방어할 수 있지만 다른 레벨에서 발생하는 액티브X 공격은 방어하기 어렵다는 것.
브이엠크래프트 이상규 대표는 "IE7나 비스타서 보안 기능이 어느정도 강화된 것은 사실이지만 정상적 액티브X 허용 후 악성코드 침입시 PC가 취약하게 되는 것은 마찬가지"라며 “최근 중국발 웜과 트로이목마 공격이 대부분 MS의 IE를 중심으로 이뤄지고 있지만 중국 해커들이 한국 액티브X의 취약점을 간파하고 공격을 하기 시작한다면 속수무책”이라고 경고했다.@