미 국토안보부 정보 보안 부문인 US-CERT가 웹브라우저 인터넷 익스플로러(Internet Explorer)에 원격 코드 실행 취약점이 있다고 보고하고 이미 이 취약점을 이용한 공격이 발생하고 있다고 경고했다.
마이크로소프트는 수정 패치를 제공한다고 밝혔지만 얼마 전 지원을 중단한 윈도7에 탑재한 인터넷 익스플로러에 패치가 제공될지는 알 수 없다. 이 취약점은 인터넷 익스플로러 9∼11 스크립트 엔진이 이용하는 메모리를 파괴하고 임의 코드를 실행해 시스템을 효과적으로 장악할 수 있다.
US-CERT는 인터넷 익스플로러가 이용하는 ‘jscript.dll’에 대한 접근을 일시적으로 제한하는 등 해결 방법을 취할 걸 권장하고 있다. 한편 마이크로소프트는 패치 개발에 들어갔지만 긴급 대응이 아니라 2월 11일 예정한 다음 월 보안 업데이트까지 수정 사항을 반영할 가능성은 낮다고 한다. 또 마이크로소프트는 US-CERT가 이 취약점을 이용한 공격자가 누구를 표적으로 하고 있는지 등 자세한 내용에 대해선 언급하지 않았다.
따라서 지금은 인터넷 익스플로러를 이용하는 사용자는 US-CERT가 밝힌 대로 스크립트 엔진을 사용하지 않도록 주의를 기울이고 모호한 웹사이트를 방문하지 않도록 자기 방어를 해야 한다. 무엇보다 마이크로소프트는 이미 크롬 기반 엣지 브라우저를 얼마 전 발표했고 구식인 인터넷 익스플로러를 중시하지 않는 건 분명하다. 인터넷 익스플로러 점유율은 이미 크롬과 파이어폭스, 엣지를 밑돌아 몇 퍼센트에 불과하다. 취약점 여부와 관계없이 부득이한 이유가 없다면 크롬이나 파이어폭스, 엣지 등 최신 브라우저를 쓰는 게 좋다. 관련 내용은 이곳에서 확인할 수 있다.