공공기관 이용 및 금융거래 등으로 인해 국내 사용자가 여전히 많은 마이크로소프트(MS)의 웹 브라우저 '인터넷 익스플로러(Internet Explorer)'에서 최근 새로운 보안 취약점이 발견된 것으로 나타났다.

마이크로소프트의 5월 8일자 ‘인터넷 익스플로러’ 보안 취약점 업데이트 안내페이지. / MS 보안 업데이트 사이트 갈무리
마이크로소프트의 5월 8일자 ‘인터넷 익스플로러’ 보안 취약점 업데이트 안내페이지. / MS 보안 업데이트 사이트 갈무리
보안 전문기업 카스퍼스키랩은 4월 말 인터넷 익스플로러에서 지금까지 발견되지 않은 보안 취약점(CVE-2018-8174)이 발견됐다고 15일 밝혔다.

이 취약점은 UAF(Use-After-Free) 버그를 이용한 것으로, 특이하게 MS 오피스의 워드(Word) 문서를 통해 악성코드가 전파되는 것으로 나타났다. 이러한 취약점 공격 방식은 업계 최초라는 게 회사 측의 설명이다.

피해자가 악성 RTF MS 오피스 문서를 다운받아 열면 자동으로 악성코드가 포함된 HTML 페이지가 다운로드되면서 시스템을 감염시키며, 해당 코드가 메모리 손상 UAF 버그를 실행해 추가적인 악성 데이터를 다운로드하는 코드를 실행하는 것으로 나타났다.

또한, 인터넷 익스플로러는 최신의 윈도 10 운영체제에도 기본으로 탑재되어 있기 때문에 주로 사용 중인 웹 브라우저의 종류와 상관없이 한 번 노출되면 지속해서 공격을 받을 수 있는 것으로 나타났다.

증상은 대부분 단순한 브라우저 오류로 끝나지만, 공격자가 이 버그를 악용하는 경우 심하면 시스템의 제어 기능까지 장악할 수 있다.

카스퍼스키 측은 이 취약점을 발견 후 마이크로소프트 측에 전달했으며, 마이크로소프트는 5월 8일 자로 이 취약점을 해결한 업데이트 패치를 공개했다.

해당 취약점을 해결하는 패치는 윈도의 최신 자동 업데이트 또는 MS의 보안 업데이트 사이트(https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2018-8174)에서 자신의 윈도 버전에 맞는 패치를 다운받을 수 있다.