울지않는벌새 : Security, Movie & Society

Internet Explorer 웹 브라우저의 Oracle Java 차단 정책 소개 (2014.9.11)

벌새::Security

2014년 9월 MS 정기 보안 업데이트를 통해 Internet Explorer 웹 브라우저의 보안 정책으로 새롭게 추가된 Oracle Java 플러그인 차단 정책(Out-of-date ActiveX control blocking)은 취약점(Exploit)을 악용한 악성코드 자동 감염을 사전에 차단할 수 있도록 도움을 주게 되었습니다.

이에 보안에 취약한 Oracle Java 구버전 사용자들이 겪을 수 있는 차단 정책의 개념과 해결 방법에 대해 살펴보도록 하겠습니다.

Oracle Java 최신 버전이 설치된 PC 환경에서 Internet Explorer 웹 브라우저를 이용하여 Java 콘텐츠가 포함된 웹 사이트를 방문할 경우 "이 웹 페이지에서 'Oracle America, Inc.'에서 배포한 'Java SE Runtime Environment 7 Update 67' 추가 기능을 실행하려고 합니다."라는 알림 표시줄이 생성되는 경우를 볼 수 있습니다.

 

해당 알림 메시지는 정상적인 Java 콘텐츠 구현을 위해 생성될 수도 있으며, 반대로 악성 웹 사이트 접속을 통해 악성코드 감염을 유발하는 Java 콘텐츠 실행을 위해서도 생성될 수 있다는 점을 명심하셔야 합니다.

 

하지만 중요한 점은 만약 Oracle Java 최신 버전이 설치된 환경에서 설사 악성 웹 사이트에서 Java 취약점을 이용한 악성코드 감염 행위에 대해 근본적으로 코드 실행이 이루어지지 않기 때문에 문제가 없습니다.

 

그런데 Oracle Java 플러그인 설치를 한 일부 사용자들은 프로그램 설치 후 업데이트를 통해 항상 최신 버전을 사용하지 않는 문제로 인하여 사이버 공격자들은 보안에 취약한 Oracle Java 사용자를 대상으로 웹 사이트 접속만으로 악성코드를 자동으로 설치하는 Drive-by Download 공격을 진행하고 있습니다.

최근에 확인된 대표적인 유포 방식 중 하나인 "ORUM 언인스톨" 광고 프로그램이 설치된 환경에서 광고 배너 노출로 인하여 해킹된 웹 서버를 통해 Java 취약점을 이용한 악성코드 감염을 시도하는 사례가 있듯이 활발하게 취약점을 이용한 공격이 진행되고 있습니다.

 

이런 문제를 해결하기 위해서 마이크로소프트(Microsoft) 업체에서 제공하는 Internet Explorer 웹 브라우저에서는 Oracle Java 플러그인에 한하여 구버전을 사용할 경우 기본값으로 차단을 통해 자동 실행이 이루어지지 않도록 보안 정책을 변경하게 되었습니다.

예를 들어 보안에 취약한 Oracle Java 구버전이 설치된 PC 환경에서 Java 콘텐츠 실행이 필요한 웹 사이트 접속시 "최신 상태가 아니므로 Java(TM)이(가) 차단되었습니다. 업데이트가 필요합니다."라는 알림 표시줄을 생성하여 Java 코드가 자동 실행되지 않도록 하고 있습니다.

 

여기에서 주목할 점은 실제 해당 웹 사이트에서 실행하려는 Java 콘텐츠가 악성인지 여부를 알기 매우 어렵다는 점이므로 사용자는 "지금 실행" 버튼을 함부로 클릭하여 코드 실행이 이루어지도록 하지 말라는 점입니다.

Java 차단 알림 표시줄이 생성되었다는 것은 현재 설치된 Oracle Java 프로그램이 보안에 취약한 버전이라는 의미이므로 "업데이트" 버튼을 클릭하여 자동 연결되는 "Free Java Download" 웹 사이트에서 제공하는 최신 버전을 다운로드하여 업데이트를 진행하시기 바랍니다.

또는 "Java Update Needed" 메시지 창이 생성될 경우에도 현재 설치된 Java 버전이 보안상 취약하다는 메시지를 표시하고 있으므로, "Update (recommended)" 버튼을 클릭하여 Java 최신 버전을 다운로드하여 업데이트를 진행하시기 바랍니다.

이미 Google Chrome, Mozilla Firefox 웹 브라우저에서는 보안에 취약한 Java 플러그인 버전을 사용할 경우 위와 비슷한 정책을 통해 기본적으로 차단을 하고 있었으며, 이번에 Internet Explorer 웹 브라우저에서도 동일한 차단 정책을 통해 Java 취약점을 악용한 악성코드 유포에 적극적으로 대응하기 시작하였습니다.

 

현재 Internet Explorer 웹 브라우저의 구버전에 대한 ActiveX 컨트롤 차단 정책은 Windows 7 SP1 운영 체제 이상의 환경에서 Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, Internet Explorer 11 버전에 적용되고 있으며, Oracle Java 플러그인에 한하여 차단이 이루어지고 있습니다.

 

차후 더 많은 플러그인으로 확장될지는 정보가 공개되지 않은 관계로 알 수 없지만, 취약점(Exploit)을 악용한 악성코드 유포는 Internet Explorer, Adobe Reader, Adobe Flash Player, Oracle Java, Microsoft Silverlight 제품을 대상으로 가장 활발하게 이루어지고 있으므로 항상 최신 버전을 사용하는 습관을 가지시기 바랍니다.