어떤 브라우저가 가장 안전한가? 라는 질문에 대한 해답을 얻기 위하여, 美 Information Security는 Internet Explorer 7.0 베타 버전과 Netscape 8.0, 그리고 Firefox 1.0.7의 보안 기능을 평가해보았다. 어떤 브라우저가 기업에게 최고 보안을 제공하는지, 어떤 제품이 최고의 자리를 차지했는지 알아보자.

_제임스 포스터(BY JAMES C. FOSTER)

기업의 관리

관리자들이 보안 기능을 전면적으로 구성하거나 관리할 수 없는 기업 환경에서는 보안 기능이라는 것이 큰 소용이 없을 것이다. 탁월한 보안 기능 이외에도, IE 7.0은 전사적으로 구성을 관리할 수 있는 능력에 있어서도 우수함을 보였다.

Firefox나 Netscape와 비교해서 IE 7.0은 전사적으로 저장 및 활용될 수 있는 브라우저 정책 및 구성을 구현할 수 있도록 지원하는 능력이 뛰어나다. 지금 Active Directory를 사용하고 있다면, 관리자의 관점에서 볼 때는 IE 7.0이 유일한 선택일 수 밖에 없다. 여전히 브라우저에 특정 사용자나 컴퓨터를 기반으로 중앙에서 브라우저 구성을 수행할 수 있는 기능은 내장되어 있지 않지만, AD 구현이나 기업 디스크 이미징 프로그램을 통해 다양한 브라우저 구성을 생성할 수 있기 때문이다.

사실, 매번 새로운 구성 설정을 소개하거나 특정 그룹에 특수화된 디스크 이미지를 생성해야 하는 전체 디스크 이미지보다는 대부분이 레지스트리 설정인 거의 모든 구성 컨트롤을 .INI 파일로 캡처하여 SMS나 상용 제품을 통해 배포할 수 있는 AD가 더 현명한 선택이다. 더구나, IE 7.0는 AD와 호환되기 때문에 이 메커니즘을 통해 보다 견고한 모든 구성 옵션을 관리할 수 있다. 반면에, 다른 브라우저의 제한된 모든 기능 세트를 관리할 수 있는 유일한 방법은 디스크 이미지를 사용하는 것이다.

취약성 경고

마이크로소프트의 취약성에 대한 기록은 자신감을 잃게 만든다. 미국 전국 취약성 데이터베이스(NIST National Vulnerability Database)에 따르면, 지난 3년간 IE의 취약성에 대한 보고가 모두 152건이었다고 한다. 패치와 구성 컨트롤을 지속적으로 업데이트하고 있더라도, 보안 관리자들에게 있어 끔찍한 악몽임엔 틀림없다.

Firefox의 취약성에 대한 보고가 더 적기 때문에 Firefox가 본질적으로 더 안전하다는 주장도 여전히 논의 대상이다. NIST에 따르면 처음 출시 후에 102건의 취약성이 보고되었다고 한다. Netscape의 취약성에 대한 보고는 지난 3년간 단 39건이었다. 하지만 숫자는 믿을 수 없다. 다만 IE는 이미 충분히 발달된 제품인데도 이렇게 계속적으로 취약점이 발견된다는 것이 문제인 것이다. 반면에, Firefox에서 발견되는 많은 취약성은 새로운 애플리케이션에서 흔하게 볼 수 있는 초기 현상일 뿐이라는 주장도 나오고 있다. 그리고, Firefox는 현재 오픈 소스에 대한 정밀 테스트를 받고 있기 때문에, 일찍 많은 문제점을 발견하여 이에 대한 솔루션을 내놓을 수 있을 것이라고 지지자들은 주장하고 있다. 한편, 마이크로소프트의 지지자들은 Redmond는 상용 소프트웨어 제공자로서 이런 취약성에 신속하게 대처해야 할 의무가 있다고 주장할 것이다. 이것은 흔한 공개 소스/폐쇄 소스 논쟁으로서, 여기서 해결할 수 있는 성격의 것이 아니다. IE는 특히 기업용으로 많이 설치되어 사용되기 때문에 공격자들이 이런 취약성을 노리는 경향이 높은데, 결과적으로 대체 브라우저로의 전환을 고려하는 업체들이 점점 더 많아지고 있는 실정이다. 물론, Firefox가 인기를 얻게 되면 마찬가지로 공격도 그 만큼 많아질 것이다.

근본적으로 앞으로 어떤 일이 일어날지 알 수 있는 방법은 없다. 마이크로소프트는 최근에 품질 관리와 보안 테스트에 많은 투자를 했으므로, IE 7.0이 이전 브라우저들보다 안전할 것이라고 주장하고 있기는 하다. Netscape와 Firefox는 공통 기본 코드를 공유하므로 Netscape가 가진 대부분의 취약성은 Firefox에도 영향이 있지만, 반대로 새로운 Firefox 코드는 Netscape에는 영향이 없다고 한다. Firefox 1.5는 여전히 Netscape와 동일한 기반을 공유하고 있으며, 특히 구성 옵션, 파싱 및 암호 코드에서 이런 특성을 보인다. 그 이유 중 하나는 두 제품 모두가 오픈 소스에 기반하고 있기 때문이다. 하지만 양 브라우저 모두 스택 오버플로우나 heap 손상과 같은 공격에 쉽게 노출되어있는 애플리케이션에 대한 강력한 보호는 제공하지 못한다.

여기서 다음의 확고한 진실들을 상기해 보자. 모든 브라우저는 중대한 취약성을 가지고 있으며, 앞으로도 지속적으로 새로운 취약점들이 발견될 것이다. 결국은 모든 브라우저들이 네트워크 대역폭에 갇히게 될 것이며, 다운로드 기능도 서로 유사하게 될 것이다. 그리고, 아직 발견되지 않고 출현하지 않은 다음 악성 코드 위협에 대한 그 어떤 보호도 제공하지 못하게 될 것이다. 이런 상황에서 여러분이 할 수 있는 최선의 방법은 알려진 모든 위협을 차단하고 정말로 ‘신뢰하는’ 몇몇 사이트들만 신뢰하며, 모든 다른 사이트는 제한하는 것이다.

IE 7.0이 적어도 단기적으로는 데스크탑의 브라우징 환경의 보안에 있어서 경쟁 제품들보다 효과적인 솔루션이 될 수 있을 것이다. 그 다음 가장 중요한 질문은 누가 보안 테스트에 시간을 들일 것이며, 2006년에는 또 얼마나 많은 중대한 취약성이 발견될 것인가가 될 것이다.

※본 기사는 TechTarget이 발행하는 Information Security와의 기사 협약에 의해 전재한 것이며, 기사의 저작권은 TechTarget에 있음을 알려드립니다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지.>