지난 4일 '인터넷 익스플로러6'(이하 IE6)의 장례식이 있었다. 인터넷 익스플로러6의 제조사 마이크로소프트(이하 MS사)사 또한 장례식에 조화와 함께 카드를 보냈다. 카드에 담긴 내용은 다음과 같다. ‘IE6, 그동안 고마웠어.’ 국내 브라우저 점유율 50%를 기록하는 IE6가 돌연 시체가 돼버렸다. 도대체 IE6에게는 무슨 일이 일어난 것인가.
IE6의 죽음과 장례식
IE6의 장례식은 IE6지원을 중단하겠다는 구글의 발표를 계기로 웹디자인회사 ‘앤턴디자인’사가 기획한 행사다. 중국 해커들의 사이버공격으로 피해를 입은 구글 차이나는 중국 해커들이 IE6의 취약한 보안을 이용했음을 확인하고 IE6에 대한 지원을 중단한 것이다.
IE6는 보안 문제와 타 프로그램과의 호환성 불량의 문제로 지속적으로 지적돼왔다. 실제로 우리나라를 제외한 다른 나라의 경우 ‘IE6 반대 운동’이 활발히 이뤄졌다. 독일의 경우는 정부가 나서서 IE6를 사용하지 않을 것을 권고하기도 했다. MS사 또한 이 캠페인에 참여해 IE6 사용자가 홈페이지에 접속해 브라우저 업그레이드를 할 경우 불우이웃돕기에 모금적립이 되도록 했다. 개인들도 트위터 프로필 사진에 IE6 로고에 빨간 줄이 그어진 캠페인 아이콘을 붙이는 등 다양한 캠페인이 이뤄졌다.
타 브라우저와 달리 IE6는 웹 표준화를 따르지 않아 웹 개발 시 별도의 수정작업을 거쳐야 한다. 따라서 웹 개발자는 최신기술이 쉽게 적용되지 않는 IE6환경에서 원활한 웹 가동을 위해 많은 시간과 자원을 추가적으로 쏟아야한다. 이런 이유로 소프트웨어 개발자들을 중심으로 시작된 ‘IE6 이제 그만(이하 IE6NOMORE)’운동은 IE6의 보안 취약성 문제가 불거지자 세계적으로 확대된 것이다.
IE6는 2001년 버전이다. 올해까지 IE7, 8버전이 나온 상태고 곧 9버전이 나올 계획이다. 하지만 이런 세계적인 시류에도 불구하고 우리나라에서는 IE6의 지원은 지속될 수밖에 없다. 또 윈도우XP의 초기 브라우저로 IE6로 설정돼 있어 사용자가 직접 업데이트를 하지 않는 이상 기본사양인 IE6를 유지하게 된다. 국내 소프트웨어 개발 업체들 또한 EI(iexplore.exe)를 전제해 업데이트를 하지 않은 상태에서도 소비자들은 큰 불편함 없이 인터넷을 사용할 수 있다. 결국 2010년에도 2001년 버전을 그대로 사용하는 상황이 벌어지고 있다. MS사는 윈도우XP의 지원서비스를 중단하는 2014년 4월에 IE6 지원서비스도 중단 할 예정이라고 밝혔다.
국내 점유율 50% IE6, 해커들의 공격대상
IE6 장례식 사이트(ie6funeral.com)에 게재된 IE6묘비에는 ‘인터넷 익스플로러 6: 2001년 8월 27일 탄생. 2010년 3월 1일 사망’이라고 적혀있고, ‘IE6는 미국 캘리포니아에 있는 구글 본사에서 일하다 죽었다’고 밝히고 있다. 덧붙여 ‘구글의 외아들 크롬이 사다리를 걷어찼다는 소문도 있지만 확인할 길은 없다’라는 풍자적인 유머도 적혀 있다.
인터넷 브라우저의 쇠퇴를 재미나게 풀어낸 IE6의 장례식. 하지만 우리로써는 맘 편히 웃을 수만은 없는 일이다. 국내 인터넷 브라우저의 50.09%를 IE6가 점유하고 있기 때문이다. 개인 PC 뿐 아니라 관공서ㆍ기업체에서도 IE6를 이용하고 있어 문제는 심각하다.
이미 해커들 사이에서 IE6는 이미 ‘집중공격대상’으로 통용되고 있고, MS사가 직접 IE6의 보안 결함을 인정한 지금 ‘제로데이’에 방어할 수 있는 적극적인 해결책은 찾기 힘들다. 제로데이란 소프트웨어의 보안 결함이 드러나 악성코드와 해킹이 우려되지만 제조사가 보안패치를 배포하기 전의 무방비 상태를 일컫는다. MS사가 익스플로러의 보안 취약점을 공지한 지난 14일부터 보안패치 소프트웨어를 보급할 다음달 9일까지가 악성코드와 해커들의 공격에 속수무책이 될 제로데이가 된다.
소프트웨어의 취약점이 발견될 경우, 발견자는 개발자에게 취약부분을 알리고 공격코드를 알리는 것이 우선이다. 이 때 개발자가 보안 패치 프로그램을 배포할 때까지 일정 시점까지 보도금지하는 것을 원칙으로 한다. 하지만 이번 IE6 사태의 경우 이런 원칙들이 무너지면서 제로데이의 문제점이 극대화 될 수밖에 없다.
장연준<안철수바이러스연구소ㆍ시큐리티대응센터> 선임연구원은 “개인이 취할 수 있는 대응책은 상위버전으로 브라우저를 업그레이드 시키는 거나 다른 브라우저를 이용하는 것”이라며 “브라우저 변경이 수동적이지만 근본적인 방어책”이라고 말했다. 공공기관도 특별한 해결책이 없는 것은 마찬가지다. 피해 예방을 위해 브라우저를 업데이트하고 출처가 불분명한 이메일을 열람하지 않는 것으로 대비해야한다.
인터넷 강국의 투자 없는 지난 10년
하지만 우리나라의 IE6 문제는 쉽게 해결되지 않는다. IE6의 취약의 대응책으로 브라우저의 보안 정도를 ‘높음’으로 설정하도록 권고하지만 보안 정도가 높으면 액티브엑스(Active X)프로그램을 허용하지 않는다. 이에 따라 액티브엑스를 기본으로 사용하는 국내 인터넷 상거래 및 금융 등의 서비스를 이용 할 수 없게 된다. 액티브 엑스는 MS사의 프로그램이므로 다른 브라우저에서 실행되지 않음은 물론이다.
1998년에 설립된 전자지불기업 I사의 경우 사업을 시작할 때 보안을 위해 액티브엑스 소프트웨어를 사용했고, 이는 현재까지도 유지돼 같은 소프트웨어를 사용하고 있는 상황이다. 세계 브라우저 점유율 30%를 차지하는 파이어팍스(firefox.exe)에서는 액티브엑스가 실행되지 않지만 국내 시장이 인터넷 익스플로러를 사용하고 있기 때문에 기업들은 크게 투자할 필요성을 느끼지 못하는 것이다. 또 전문적인 작업 뿐 아니라 개인적 차원에서도 IE 이외의 브라우저를 사용할 때 불편함을 겪는다. 싸이월드에서 음악을 들을 때에도 액티브엑스 프로그램이 필요하기 때문이다.
‘IE6이제그만(ie6nomore.kr)’을 운영하고 있는 빅터 칭<인포넷디지털> 과장은 “한국의 인터넷 시장은 10년 전에 많은 걸 이뤘지만 지난 10년 동안 전혀 바뀌지 않았다”며 “인터넷소프트웨어 기업이 적극적으로 개발하고 투자해야한다”고 강조했다. “먼저 소비자가 적극적으로 움직일 수 있도록 보다 많은 홍보가 필요하다”고 밝혔다.
일러스트 주소희 기자
