XP SP2, 내 컴퓨터의 액티브 컨텐트 실행 경고 우회하기 > security

XP SP2 의 기능 중에 로컬 컴퓨터에서 액티브 컨텐트가 실행되는 것을 차단하는 기능이 있다. 기본적으로 "차단"이 적용되며, 이 때문에 이전까지 로컬에서 잘 실행되던 (자바) 스크립트 파일들을 실행하면 커다란 알림 표시줄이 나타나 경고를 보여준다.


이 조치는 악의적인 액티브 컨텐트가 로컬에 드롭되거나 다운될 경우 실행을 차단하여 사용자를 보호하기 위한 것이지만 세련되지 못한 방법이다.

1) 필터링을 적용할 수 없고 "모든" 로컬 액티브 컨텐츠에 일괄 적용된다. 2) 그러므로 잘 쓰고 있던 액티브 컨텐트 기반 파일, 프로그램들이 작동하지 않는다. 3) 그러면서도 이것을 우회하는 방법을 제공하고 있다.

결론적으로 MS 의 세련되지 않는 보안 정책이 많은 정상 프로그램들을 변경하도록 강요하고 있다. 예를 들어, CD 에서 IE 를 기반으로 DHTML, Flash 등을 이용해 구동되는 멀티미디어 타이틀을 상상해보라.

하지만 이 보안 정책이 장점이 전혀 없는 것은 아니다. 대부분의 악성 스크립트의 공격 대상이던 Windows 사용자들이 단번에 보다 안전한 상태가 되는 기대 효과를 무시할 수는 없다. 하지만 이 정책은 레지스트리 값 하나면 변경하면 바로 꺼지게 되므로, 드롭퍼가 레지스트리 값을 변경하고 악성 스크립트를 드롭하고 실행해 버리면, 기존의 구멍이 숭숭 뚫린 MS 의 보안 정책으로 한번에 환원되어 버린다.

어쨌든, 이 글에서 말하고자 하는 바는 기능을 꺼버리는 것은 보안 상 위험하고, 그렇다고 잘 사용하던 액티브 컨텐트를 사용 안할 수도 없는 상황이므로, 간단한 소스 변경으로 차단을 우회할 수 있는 방법을 소개한다.

HTA 를 이용하는 방법이나 로컬 경로를 네트웍 경로로 속이는 방법 등 다양하지만 제일 간단한 Mark of Web 방법을 소개하겠다. 방법은 간단해서 차단되는 액티브 컨텐트의 소스를 열고 다음 내용을 추가하면 된다. 추가하는 위치는 꼭 문서 꼭대기가 아니여도 된다. 어떤 곳에 붙여 넣어도 작동하는 것을 확인하였다. 이제 지긋지긋한 알림 표시줄 경고가 사라질 것이다. 하지만 수정할 대상이 많다면 그리 녹녹한 작업이 아니다.




붙임 1) 인터넷 옵션에서 차단 기능을 통째로 끌 수 있다. 하지만 중요한 보안 설정이므로 추천하지 않는다.

붙임 2) 드림위버는 XP SP2 의 이러한 문제를 해결하기 위해 개발자를 대신해 Mark of Web 을 자동으로 삽입해주는 확장을 제공하고 있다.
붙임 3) 악성코드가 드롭, 다운로드, 실행하는 악의적인 스크립트에 Mark of Web 이 적용되면, 속수무책이다. 이게 다 MS 의 닭질 덕분이며, 결국 신종 악성 스크립트는 XP SP2 로 못막는다고 보는게 맞다.