지난 ‘7·7 디도스 대란’에서 국내에 유난히 악성피시에 감염된 좀비피시가 많은 배경으로 마이크로소프트(MS)의 ‘액티브엑스’ 창궐이 주요 원인으로 거론되고 있는 가운데, 액티브엑스의 보안 결함에 대한 지적이 잇따르고 있다.
세계적 보안업체인 시만텍은 지난 12일 엠에스의 오피스 프로그램과 액티브엑스의 보안 취약점을 경고하며, 엠에스의 8월 보안업데이트를 시급히 설치하라고 권고했다. 시만텍은 이달까지 엠에스가 발표한 19개의 보안 취약점 가운데, 15개가 매우 심각한 수준이라며 대부분이 액티브엑스의 취약점과 관련돼 있다고 밝혔다. 해커가 이를 활용할 경우 윈도엑스피, 비스타 사용자들은 해커에 의해 피시가 원격조종 당할 수 있다고 시만텍은 경고했다.
미국에서 발간되는 <컴퓨터월드>는 엠에스가 지난 2007년 3월 보안업체인 티핑포인트가 발견한 액티브엑스의 중대한 결함들에 대한 통지를 받았으나 방치하다가 29개월 만인 지난 7월에야 이를 바로잡는 업데이트파일(보안패치)을 내놓는 등 엠에스의 대응이 미흡하다는 내용을 13일 보도했다.
이용자 피시에 설치돼 사용상 불편이 따를 뿐 아니라, 악성코드 전파 등 주된 인터넷 보안위협 수단으로 쓰이는 액티브엑스에 대해서 국내 관련 부처에서도 사용 자제를 권고하고 있다.
국가정보원의 국가사이버안전센터(ncsc.go.kr)는 최근 홈페이지를 통해 액티브엑스 제거프로그램(CleanAX) 보급에 나서고 있다. 또한 방송통신위원회의 홍보블로그인 두루누리(blog.daum.net/kcc1335)도 지난 7일부터 ‘액티브엑스 타고 오는 악성코드·바이러스 주의해야’라는 내용의 글과 만화를 올려, 해킹과 악성코드 유포의 통로가 되는 액티브엑스 자동설치를 막기 위해 액티브엑스 ‘사용 안함’을 설정하라고 권고하고 있다. 구본권 기자