IE, ActiveX 컨트롤 설치 원리와 취약점

지금은 볼일이 별로 없지만 과거 IE (Internet Explorer)에서 추가 기능을 사용하기 위해서는 ActiveX 컨트롤을 설치해야 했습니다. 상당히 많은 웹 사이트에서 사용했던 방식입니다. ActiveX 컨트롤의 원리와 왜 보안상 ActiveX가 취약한지 알아보겠습니다.

ActiveX란?

ActiveX는 마이크로소프트가 개발한 소프트웨어 프레임워크로 웹 사이트나 애플리케이션에서 인터랙티브 컨텐츠를 구현하는 데 사용됩니다. 과거에는 웹 사이트에서 동영상 또는 오디오를 재생할 때, 사용자의 파일 시스템에 접근해야 할 때, 특정 애플리케이션 기능을 사용할 때 등 여러 가지 추가 기능을 사용하기 위해 활용됐습니다.

 

ActiveX 설치 예시. 출처=namu.wiki

 

CAB 파일

ActiveX 컨트롤은 일반적으로 CAB (Cabinet) 파일 형식으로 배포됩니다. CAB 파일은 여러 파일을 압축한 파일 형태입니다. 윈도우OS에서 소프트웨어를 설치할 때 사용됩니다. 확장자는 .cab입니다.

 

CAB 파일은 ActiveX 컨트롤의 실행 파일(.ocx 또는 .dll), 인스톨러 스크립트, 의존성 등 필요한 모든 파일들을 포함하고 있습니다. CAB 파일이 사용자의 시스템에 다운로드되면 인스톨러 스크립트는 ActiveX 컨트롤을 올바른 위치에 설치하고 등록합니다.

 

CAB 파일을 통한 ActiveX 컨트롤 설치 과정

1. 사용자가 ActiveX 컨트롤이 필요한 특정 웹 페이지에 접속합니다.

 

2. 웹 브라우저는 ActiveX 컨트롤이 이미 설치되어 있는지 확인합니다.

 

3. 컨트롤이 설치되어 있지 않다면, 브라우저는 서버에서 내려온 CAB 파일을 다운로드하고 실행합니다. 이 CAB 파일에는 ActiveX 컨트롤이 포함되어 있습니다.

 

4. CAB 파일은 ActiveX 컨트롤을 설치하는 데 필요한 파일과 정보를 포함하고 있습니다. 이 정보에는 설치 스크립트, 바이너리 파일, 의존성 등이 포함될 수 있습니다.

 

5. CAB 파일이 실행되면, ActiveX 컨트롤은 사용자의 시스템에 설치됩니다.

 

6. 설치가 완료되면, 웹 브라우저는 ActiveX 컨트롤을 로드하고 실행합니다. 이로써 웹 페이지는 사용자의 컴퓨터에서 다양한 작업을 수행할 수 있게 됩니다.

 

ActiveX 취약점

설명을 드린 것처럼 ActiveX 컨트롤을 이용하기 위해서는 웹 사이트에서 제공하는 모듈을 PC에 직접 설치해야 합니다. 만약 웹 사이트가 악의적으로 악성코드가 담긴 모듈을 설치시키겠다고 마음먹으면 아주 쉽게 행할 수 있습니다.

 

ActiveX 컨트롤 설치는 모듈을 PC에 직접 설치하는 방식이기 때문에 보안상 취약점이 있습니다. 때문에 일반적으로 웹 브라우저 설정에 따라 사용자의 동의 여부를 묻습니다.

 

ActiveX 컨트롤은 IE 같은 일부 브라우저에서만 실행될 수 있습니다. 크롬, 파이어폭스, 사파리 등 다른 브라우저는 ActiveX를 지원하지 않습니다.