| 윈도우10 출시가 그리 반갑지 않은 금융권 | 2015.08.10 | |||||
전자금융 서비스와 관련해서 호환성 이슈 꼼꼼히 점검해야
[보안뉴스 김경애] MS사의 차기 운영체제인 ‘윈도우10’ 출시가 반가운 것도 잠시. 금융권은 전자금융 서비스와 관련해서 호환성 여부를 집중 점검해야 하는 상황에 처했다.
▲MS에서는 윈도우8 및 IE10 이하 버전에 대한 기술 지원 및 보안 패치 제공을 2016년 윈도우10에는 새로운 브라우저인 ‘엣지(Edge)’를 탑재하고 있다. 그러나 ActiveX 및 BHO를 지원하지 않아 금융사의 보안프로그램이 정상적으로 작동하지 않을 수 있기 때문에 전자금융 서비스 이용 시 불편을 초래할 수 있다. 커널구조 변경, SW수정·개발 필요 이는 전자금융서비스 이용시 설치되는 보안 S/W 중 일부 호환성 문제가 발생할 수 있다는 의미다. 이에 따라 윈도우10에서 운영체제의 핵심으로 하드웨어 관련 입·출력과 명령어 처리를 담당하는 커널(Kernel) 구조가 변경됨에 따라 일부 보안 S/W는 수정· 개발이 필요하다. 게다가 MS에서는 윈도우8 및 IE10 이하 버전에 대한 기술 지원 및 보안 패치 제공을 오는 2016년 1월 12일부터 중단할 것이라고 발표해 기술 지원 중단시 이용자PC가 취약해질 수 있다. 브라운저 종류 및 버전 인식 문제 IE11으로 업그레이드되면서 브라우저 종류 및 버전을 인식하는 방식이 변경되어 웹 서버에서 브라우저 오인식의 가능성이 존재한다. 특히, UA(User-Agent) String에서 ‘MS IE’가 삭제되어 IE 브라우저 및 버전 인식이 불가능해 전자금융서비스 이용 시 문제가 발생할 수 있다.
User-Agent String란, 웹 서버에 정보를 요청하기 위해 HTTP 요청을 보낼 때 헤더(Header)에 들어가는 문자열을 의미하며, 요청한 애플리케이션을 나타내기 위해 사용하는 것을 말한다. 금융보안원이 지난 7월 20일 발간한 ‘윈도우10 출시에 따른 호환성 대응방안’에 따르면 웹 서비스 변경 방법 중 하나인 IE11은 하위 버전에 대한 호환성을 지원하기 때문에 필요한 경우, Meta 태그 혹은 HTTP 응답 헤더에 호환 버전을 삽입해야 이용이 가능하다. User-Agent의 경우, 브라우저 종류 및 버전 인식 문제가 발생함에 따라 영향을 줄 수 있는 코드 변경이 필요하며, 엣지의 경우 IE11로의 페이지 이동(리다이렉션) 기능 추가가 필요하다. 특히, IE10 이하 버전에서 제공하던 API가 제거되어 코드 대체가 이루어져야 한다. 하위 버전에서 지원하던 일부 API가 IE11에서 제거되면서 아래의 대체기능을 이용하여 서비스하도록 소스 변경이 필요하다는 설명이다. 금융권, 호환성 여부 검증해야 금융보안원 측은 “금융회사 대표 사이트 181개를 대상으로 엣지 브라우저 접속 시 IE 브라우저 전환 기능의 정상 동작 여부를 살펴보면 전체 중 35%(7월 20일 발간 기준)만이 정상 전환되고 있으며, 은행·카드권역은 대부분 정상 동작하나 증권·보험권역 등은 보완 조치가 필요하다”고 밝혔다. 따라서 금융기관은 전자금융 서비스에서 이용되는 주요 보안 S/W의 윈도우10 호환성 여부를 검증해 미 지원시 솔루션 공급사와 지원 일정 협의 후 적용해야 한다.
▲ IE11 설정 방법 IE11 설정 방법은 ①좌측 하단의 웹 및 Windows 검색에서 IE 검색(윈도우키+S) ②검색 결과 항목의 ‘Internet Explorer’를 우 클릭하고 ‘작업 표시줄에 고정’ 클릭 ③작업 표시줄에 고정된 ‘Internet Explorer’ 아이콘을 확인하면 된다.
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||||||
 |
