- 호기심 자극하는 영문 메일서 악성코드 발견 … 이메일 사용자 계정 및 암호 유출 가능 - V3 등 최신 보안 제품으로 진단 치료
안철수연구소(대표 김홍선 www.ahnlab.com)는 미국 대통령 오바마와 관련한 악성코드가 해외에서 이메일을 통해 전파되고 있어 주의가 필요하다고 발표했다.
‘라이텍스(Win-Trojan/Raitex.60928)’라는 이름의 트로이목마는 영문으로 ‘오바마가 대통령 직을 물러날 수 있다’, ‘매케인의 변호사들이 오바마의 탄핵을 추진하고 있다’ 등의 호기심을 자극하는 문구와 함께 거짓으로 제작된 미 정부 공식 웹사이트(2008 USA Government Official Web Site)로 유도를 한다. 위 사이트를 클릭하게 되면, 맥케인 동영상 화면이 표시되는데, 동영상을 보기 위해 어도비플레이어9(AdobePlayer9) 실행파일을 클릭하도록 유도한다.
이 실행파일을 클릭하면, 악성코드인 루트킷 드라이버 파일이 생성되며, 악성코드를 은폐하는 기능과 함께 FTP, 아웃룩 메일의 사용자 계정과 암호 정보를 특정 주소(IP)로 유출한다.
따라서 사용자는 오바마와 관련된 이메일을 받을 경우 열어보지 않는 것이 안전하며, 개인용 고품격 PC 주치의 서비스인 V3 365 클리닉이나 무료백신 빛자루 등을 최신 버전으로 업데이트해 악성코드에 감염되지 않도록 해야 한다.
안철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 “미국 역사상 최초의 흑인 대통령 탄생으로 인해 사람들의 호기심을 자극하는 문구로 관련 악성코드가 지속적으로 발견되고 있다”라며 “백신 제품의 최신 엔진 버전으로 업데이트를 하고 의심이 가는 메일은 열어보지 않는 것이 좋다”고 강조했다.
한편, 해외에서는 미국 대선기간에도 ‘오바마의 연설’, ‘매케인 심장병 사망’, ‘매케인 부인의 사생활’ 등의 제목으로 악성코드 및 광고를 유포하는 이메일로 피해를 입힌 사례가 있었다.
Scandal: Obama Resignation Letter 라는 이메일 제목 등으로 유포되고 있으며, 본문에 포함되어 있는 링크를 클릭 시 허위 미국 정보 홈페이지(2008 USA Government Official Web Site)가 열린다. http://memberverify.sites
안철수연구소는 최근 고객들이 손쉽게 바이러스를 신고할 수 있도록 의심파일을 자동으로 수집하고 다양한 웹 브라우저를 지원하는 바이러스 신고센터를 개편해 실시간으로 신고 및 진행 현황을 알려주는 서비스를 시작했습니다. 따라서안랩닷컴 회원들은 신고 내용을 ‘마이페이지’에서 실시간으로 확인할 수 있으며, 등록된 이메일과 SMS 문자 메시지로 분석 진행 사항을 통보 받을 수 있습니다.
특히, 20년간 축적된 바이러스 분석 기술로 개발된 ‘의심파일 추론 기능’을 통해 컴퓨터 시스템에 문제를 일으키는 것으로 판단되는 파일을 자동으로 수집하여 전송하기 때문에, 사용자들은 손쉽게 바이러스 등 악성코드나 의심 파일 등을 신고할 수 있게 되었습니다.
또한 표준화된 웹 기반으로 다양한 플랫폼에서 편리하게 신고할 수 있기 때문에 액티브X(ActiveX)를 사용할 수 없는 파이어폭스 등 웹 표준 기반의 브라우저를 사용하는 사람들도 이용할 수 있습니다.
사용자는 바이러스 등 악성코드로 인해 피해를 보았거나 악성코드 진단은 되지 않으나 계속해서 시스템 저하 등의 문제가 있는 경우, 해당 사항을 선택하고 의심파일 자동 수집 기능 체크하여 신고하면, 사용자 컴퓨터에 안리포트(AhnReport)가 자동 설치되어 시스템 사양과 의심 파일 등을 직접 수집해 분석팀에 자동 전달됩니다. 만약 ActiveX를 사용할 수 없는 다른 웹 브라우저를 사용하는 경우에는 수동으로 안리포트를 다운로드 받아 실행하여, 수집된 파일을 바이러스 신고센터에 접수하면 됩니다.
안철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 “인터넷으로 많은 생활과 업무를 하기 때문에 자신도 모르는 사이에 악성코드 및 다양한 프로그램들이 설치돼 컴퓨터 이용에 불편을 주고 있지만, 일반인들이 이를 해결하기에는 어려움이 많다”며 “고객들이 손쉽게 바이러스를 신고센터를 이용할 수 있도록 서비스가 강화되었기 때문에 PC사용 중에 어려움이 있는 경우 언제든지 바이러스 신고센터를 이용하면 신속하게 해결해 드릴 예정”이라고 밝혔습니다.
한편, 안철수연구소는 주말 및 휴일에도 기존 수시 업데이트와 정기 업데이트를 강화하는 한편, PC에 생긴 문제를 빠르고 정확하게 해결하고 PC 활용 노하우 등 올바른 정보를 제공하기 위해 전문가와 사용자가 집단 지성으로 보안 문제를 해결하고 지식을 공유하는 ‘PC지식 커뮤니티’ 서비스를 운영하며 지능화되는 보안 위협에 대한 고객 편의를 제고해 나가고 있습니다.
아울러 안철수연구소는 국내에 24시간 365일 바이러스, 해킹 등 보안 위협에 대응하는 세계적 수순의 조직인 시큐리티대응센터(ASEC), 침해사고대응팀(CERT)등을 보유하고 있으며, 중국, 멕시코 등 세계 주요 거점에 보안 위협을 수집 분석하는 시스템을 구축하고 있습니다.
이 글을 읽고 있는 여러분은 인쇄된 매체가 아닌 디지털화된 자료로서 보고 있을 것이며, 디지털화된 정보를 보기 위하여 컴퓨터 또는 그와 동등한 장치를 통하여 볼 것이다. 컴퓨터가 동작하기 위해서는 하드웨어뿐만 아니라 이를 동작시키고 제어하기 위한 소프트웨어들이 존재해야 한다. 이런 소프트웨어의 표현은 개발자에 의해 무궁무진하게 만들어질 수 있으며, 그 수는 셀 수 없을 만큼 많다. 바로 오늘날 기술과 정보를 이용한 ‘지식산업’ 중에 하나가 이 소프트웨어 산업이며, 소프트웨어의 역할은 그 범위가 더욱 넓어지고 있으며 활용범위 또한 크게 확대되고 있다. 그런데 이 소프트웨어의 산업이 불법소프트웨어로 인해 성장이 저해되고 있으며 피해가 크다는 사실은 이미 많이 알려져 있고, 언론에서도 지속적으로 언급을 해 오고 있다. 하지만, 이러한 사실에 대한 인식만 공유되고 있을 뿐이지 실질적인 행동들은 잘 나타나지 않고 있다. 시장조사 기관인 IDC에서는 불법소프트웨어를 구입하여 사용할 경우 조직과 개인에게 심각한 보안위협이 될 수 있다고 보고하였고, 이러한 소프트웨어의 불법 복제 피해는 전 세계적으로 400억 달러의 손실을 가져온다고도 하였다.
필자는 이미 수 차례 언급되어온 불법 소프트웨어의 현황 등에 대해서는 언급하지 않겠다. 다만 이번 컬럼은 불법소프트웨어의 현실이 아니라 그 뒤에 숨은 보안 위협에 대해서 한번 이야기해 보고자 한다.
왜 불법소프트웨어는 근절이 어려운가
자 그럼 “왜 불법소프트웨어 사용이 끊이질 않는가?”라는 가장 기본적인 질문에 대한 답에 대해서 한번 논의해 보도록 하자. ‘불법소프트웨어’ 이것을 아마 한번도 사용해 보지 않은 사용자는 거의 드물 것이다. 친구들에게도 쉽게 구할 수 있고, 인터넷이라는 인프라가 대중화 되어 있어 요즘의 인터넷 환경에서는 필요로 하는 소프트웨어 하나쯤 구하는 것은 어려운 일이 아니게 되었다. 또, 이런 소프트웨어의 불법 판매는 음성적이지만 공공연하게 이루어지고 있고 개인 대 개인의 파일 교환을 가능하게 해주는 P2P 서비스는 불법소프트웨어 유통에 기름을 부었다. 특히 우리나라의 경우 컴퓨터를 사면 당연하다는 듯이 많은 소프트웨어가 이미 설치되어 고객들에게 전달된다. 우리는 소프트웨어를 불법적으로 사용할 수 있는 적절치 않은 환경에 이미 노출되어 있는 것이다.
이렇게 ‘공짜'로 사용할 수 있는 소프트웨어인데 과연 누가 비용을 지불하고 구매를 하겠는가? 우리는 삶을 영위하기 위해 많은 물품들을 필요로 하고 또한 이것을 얻기 위해 비용을 지불하는 것을 당연히 여긴다. 그 중 소프트웨어와 짝이 되는 하드웨어도 그 자체가 존재해야 하므로 비용을 지불해야 한다. 하지만 유독 무형의 자산인 소프트웨어라는 것은 무형자산이오 복사만 하면 쉽게 얻어올 수 있는 것으로 인식한다. 개발자/개발사들은 고객의 편의를 위하여 소프트웨어를 미리 일정 기간 동안 무료로 사용해 볼 수 있도록 하는 합법적인 ‘공짜’ 사용이 가능하다. 하지만 인터넷을 찾아보면 제품 등록 키를 쉽게 구해 불법적인 ‘공짜’ 사용이 그리 어렵지 않은 것이 현실이다. 소프트웨어를 구매하는데 있어 작은 비용이든, 큰 비용이든 이것은 중요치가 않아졌다. 다른 비용은 다 지불할지 몰라도 소프트웨어라는 이 놈은 공짜로 구할 수 있다는 사실 때문에 비용을 지불하고 구매하는 사람이 더 이상한 사람이 되어버렸다. 이것이 현재 소프트웨어 시장의 현실이다.
그렇다면 이렇게 이야기 하고 있는 필자는 정당한 소프트웨어만을 이용하고 있는 것일까? 필자 또한 떳떳하지 못한 경험이 있으며, 부끄러운 행동을 한적이 있다. 하지만, 이제 이러한 행동들은 바뀌어야 할 것이며 이 글을 읽고 있는 여러분들과 함께 불법소프트웨어 뒤에 가려진 그늘과 이에 대한 대안을 한번 찾아보고자 한다.
불법소프트웨어 사용의 기회비용
불법소프트웨어 사용이라는 유혹의 손길 뒤에는 정당한 소프트웨어의 사용시 드는 비용보다 더 큰 비용을 지불해야 하는 상황이 발생할 수도 있다. 수 천장의 사진, 음악 및 중요한 정보는 물론 회사의 중요 데이터까지 악성코드의 감염으로 사라지거나, 바이러스에 의해 날아가버린다고 상상해 보면 눈앞이 캄캄해 질것이다. 운영체제나 소프트웨어야 다시 설치한다고 하지만 사라진 소중한 가족, 연인들의 사진, 경쟁사 정보 및 회사 데이터들 이런 것은 어떻게 할 것인가? 백신 프로그램을 사용하고 조심하면 되겠지 하고 생각할 수도 있지만 한번의 실수가 큰 피해를 가져올 수 있음을 명심해야 한다. 이러한 이유는, 불법적으로 배포되는 인터넷상의 소프트웨어들이 고의적으로 악성코드에 감염되어 배포되는 사례가 많기 때문이다. 이런 악의적인 코드의 특징들을 보면 다음과 같다.
•시스템 손상 •데이터 손실 •개인정보 유출 •스팸메일 발송 •원격의 관리자에 의한 컴퓨터 제어 •과도한 컴퓨터 자원의 소요에 따른 시스템 성능 저하
위에 언급된 특징 이외도 제작자가 의도적으로 악의적인 코드를 첨부하여 배포하는 경우 의도에 따라 다양한 위협사례가 발생될 수 있다. 실제 이런 사례로 피해를 본 A씨의 경우를 보겠다. 친구로부터 얻은 불법소프트웨어의 등록키가 필요하였고, 등록키를 얻기 위하여 인터넷사이트에서 크랙 파일을 다운로드 후 실행하는 순간 컴퓨터가 느려지기 시작하였으며 앞서 언급하였던 악성코드의 특징들이 나타났다고 하였다. A 씨는 나름 보안에 관심을 가지고 있었던 지라 다른 사람들에 비해 컴퓨터가 안전한 것으로 믿고 있었지만 결국 잘못된 행동으로 포맷이라는 최후의 방법까지 선택하게 된 것이다. 그 놈의 파일 하나 때문에…
불법소프트웨어의 사용은 보안위협 높여
이러한 것을 보았을 때 불법소프트웨어 뒤에 숨겨진 보이지 않는 어둠의 위협은 시사하는 바가 크다. 소프트웨어 이상으로 더욱 값진 것을 잃게 될 수 있는 것이다. 비용뿐만 아니라 시간, 자원 등 그 이상이 되는 것이다. 보안적 관점에서 조금 더 들여다 보도록 하자. 흔히 소프트웨어를 구매하고 일반적으로 따라오는 것이 기술지원, 업데이트가 있다. 여기서의 업데이트라 함은 소프트웨어의 잘못된 동작과 같은 버그, 보안취약점등을 해결한 파일이다. 만약 여러분이 사용하고 있는 소프트웨어에서 중대한 결함이 발견되었다고 하면 어떻겠는가? 어떠한 경로로 이러한 사실을 통보 받을 수 있겠는가? 단순히 취약점 유형이 로컬에만 해당된다고 하면 그 위험성은 낮겠지만, 원격의 사용자에 의해 공격을 받을 수 있다면, 소프트웨어를 사용한다는 그 자체가 큰 잠재적 위험성을 갖고 있는 것이다. 불법소프트웨어의 사용은 이러한 보안위협으로부터 안전하지 못할 가능성이 정당한 비용을 지불하고 사용하는 사람보다 가능성이 높다. 다음은 CERT/CC 에서 발표한 수치로, 1995년부터 보고된 소프트웨어 취약점 현황을 보면 그 수치가 지속적으로 증가되고 있음을 알 수 있으며, 이러한 부분이 이제 갈수록 얼마나 중요해 가고 있는 가를 보여준다.
[도표 1] 년간 보고되는 소프트웨어 취약점 현황: CERT/CC 데이터
필자는 여기서 불법소프트웨어 사용으로 인한 여러 피해 중, 보안위협 노출을 강조하였지만 이외도 기술지원을 받을 수 없다는 점, 불법소프트웨어 단속으로 인한 피해 그리고 불법소프트웨어 사용으로 인한 문제가 발생하였을 시 보상받을 길이 없다는 점등이 있다.
오픈소스 활용도 한가지 방법
자 그러면, 이러한 현실 속에 어떤 대안이 제시될 수 있을까? 가장 쉽게 접근해 볼 수 있는 것이 자유롭게 사용 가능한 ‘오픈소스(OpenSource)’ 이다. 최근의 오픈소스들을 보면 상업용 수준 또는 그 이상의 기능을 포함한 것들이 많이 있다. 더불어 전세계 시장에서도 인정받아 점유율을 꾸준하게 올려가고 있다. 대표적인 오픈소스 브라우저인 파이어폭스가 그러하고, 세계 1위의 웹 서버 시장 점유율을 갖고 있는 아파치 웹 서버만 보아도 그 우수성을 짐작해 볼 수가 있다. 지금 여러분들이 사용하고 있는 소프트웨어의 많은 기능들이 오픈소스로 개발되어 있거나 진행 중에 있는 것들이 많을 것이다. 물론 아직 상업용에 비해 부족한 부분이 있을진 모르겠으나, 불법소프트웨어가 아닌 정당한 사용자로서 소프트웨어를 사용할 수 있다. 더불어 상업용 소프트웨어는 온라인 판매를 통한 현실적인 가격의 제시와 필요한 기능만을 포함한 제한된 버전의 제시 그리고 웹 2.0 의 열풍과 같이 온라인을 기반으로한 서비스로의 준비 등 소비자에게 좀더 쉽게 다가갈 수 있는 방법들이 필요하다.
현 지식산업 시대의 중심을 차지하고 있는 소프트웨어를 보호하고 확대하기 위해서 여러 정책적인 안도 필요하지만, 가장 중요한 것은 소프트웨어를 사용하는 사용자들의 마인드 변화가 가장 큰 부분이 아닌가 생각한다. 필자는 보안적인 관점에서 올바른 소프트웨어 사용을 주장하고자 했지만 필자 스스로도 반성하는 부분이 크다. 분명한 것은 지금 불법소프트웨어의 뒤에 드리워진 보안위협이 언제든지 여러분의 디지털 자산을 위협할 수 있다는 생각은 잊지 말아야 한다. 경제 용어 중에 승자의 저주(The Winner’s Curse)라는 것이 있다. 경쟁에서는 이겼지만, 그 과정에서 너무 많은 것을 투자해 결과적으로 많은 것을 잃는 현상을 뜻하는 말인데, 이 소프트웨어에도 불법소프트웨어를 쉽게 구할 수 있어 비용을 지불하지는 않을 수 있었지만 그 소프트웨어를 사용하는 과정에서 악성코드와 같은 감염으로 인해 더욱 많은 것을 잃지는 않는 것인지 깊게 생각해 보아야 할 것이다. 이제 소프트웨어 산업을 살리는 주체는 바로 여러분들인 것이다.
구글이 크롬(Chrome) 브라우저를 발표한 가운데, 마이크로소프트사도 Internet Explorer 8 베타버전을 공개함으로써 차세대 브라우저간 치열한 다툼이 시작되었다. 이번 달 ASEC 리포트 컬럼에서는 새로운 브라우저들 속에 내장된 보안 기능을 집중적으로 소개하고자 한다.
마이크로 소프트가 IE 8을 설계할 때 중점을 둔 공격방법은 사회공학(Social Engineering), 웹서버 취약점을 이용한 공격, 그리고 브라우저 취약점을 이용한 공격이다 . 여기서 사회공학은 주로 피싱(Phising)처럼 사용자를 속여 개인정보를 탈취하는 공격 방법이고, 웹서버 취약점은 크로스 사이트 스크립트(Cross Site Scripting)와 같이 웹서버의 취약점을 이용하여 개인정보를 유출하는 방법이며, 브라우저 취약점을 이용한 공격방법은 취약점을 이용하여 악성 코드를 사용자의 시스템에 설치하는 공격방법을 의미한다. 구글 역시 마이크로소프트사와 같은 부분에 초점을 맞추고 있으나 구글의 크롬은 악성코드 설치, 키로거 파일읽기 등 주로 브라우저 취약점을 이용한 공격방법에 좀더 초점을 맞추고 있다 . 파이어 폭스는 웹서버 취약점을 이용한 공격 방어에 초점을 맞추고 있다.
브라우저 취약점 보호
공격자가 브라우저의 취약점을 이용하여 악성코드를 실행하기 위해서는 실행될 악성코드가 브라우저의 메모리 상에 적재되어야 한다. 이것은 브라우저의 메모리를 변조하는 방법으로 가능하며 실제로 자바스크립트와 같은 스크립트 코드로 브라우저의 메모리를 쉽게 조작할 수 있는 방법이 공개되어 있다. 일단 브라우저의 메모리에 적재된 악성코드가 실행되면 공격자는 사용자의 권한을 획득하는 것이 가능하다.
Internet Explorer 8 에서는 DEP (Data Execution Prevention) 또는 NX(No Execution) 라고 불리는 기능으로 브라우저의 메모리 변조 공격을 막아준다. 이 기능은 임의의 코드가 메모리의 특정 영역에서 실행되는 것을 방지하는 기술로, Windows Server 2008이나 Vista 이후의 버전에서는 자동으로 설정이 되어 있다. IE8 이전의 브라우저들은 호환성 문제로 이 기능을 지원하지 않았으나, IE8 에서는 이러한 문제를 해결하고 해당 기능을 지원하게 되었다. 비스타(Vista)의 태스크 관리자나 Process Explorer를 사용하면 DEP 기능이 적용되었는지 확인 할 수 있다.
[그림 1] 프로세스 익스플로러를 통한 IE8에서 DEP 적용 확인
크롬(Chrome)은 샌드박스 모델을 구현하여 문제가 발생하면 쉽게 처음 상태로 초기화하여 메모리 변조 공격을 막는다. 이를 위해 크롬은 다음 [그림 2]와 같이 Rendering Engine과 Browser Kernel을 분리하여 설계하였다.
[그림 2] 크롬 아키텍쳐
위의 Browser Kernel과 Rendering Engine의 역할은 다음 [표 1]과 같다.
Rendering Engline
Browser Kernel
HTML 분석
쿠키 데이터 베이스
CSS 분석
이력 데이터 베이스
Image 복호화
암호 데이터 베이스
자바스크립트 번역기
윈도우 관리
정규표현식
주소창 관리
레이아웃
안전 브라우징 블랙리스트
DOM 모델
네트워크 스택
렌더링
SSL/TLS
SVG
디스크 캐시
XML 분석
다운로드 매니저
XSLT
클립보드
[표 1] 크롬 아키텍쳐
피싱 방지 기능
Internet Explorer 8 에는 피싱을 막기 위해 스마트 필터라는 기능을 구현하였다. 이 필터는 IE7의 피싱필터의 기능을 발전시킨 것으로 성능과 휴리스틱 알고리즘에서 발전이 있다고 알려졌다. 피싱사이트로 알려진 사이트에 사용자가 접속하거나 의심스러운 사이트에 접속하면 IE8은 각각 [그림 3], [그림 4]와 같은 에러 메시지를 출력한다. 특히, [그림 4]에서 IE8은 사용자에게 사이트의 신뢰여부를 묻게 되는데, 수집된 정보는 마이크로소프트사로 전송된다.
[그림 4] IE8 스마트 필터 - 1
[그림 4] 스마트 필터 - 2
파이어폭스 3은 Site Identification Button을 제공하여 [그림 5]와 같이 피싱 공격으로부터 사용자를 보호한다. 이 버튼을 사용자가 클릭하면 [그림 6]과 같이 사이트가 제공하는 신원정보를 확인할 수 있다.
[그림 5] Site Identification Button
[그림 6] 사이트 신원정보
크롬(Chrome)은 [그림 7]과 같이 피싱 사이트에 대한 블랙 리스트의 정보를 사용하여 피싱 페이지를 구별하며, IE8과 마찬가지로 휴리스틱 알고리즘을 사용하여 의심스러운 URL을 구별할 수도 있다. [그림 7]에서 사용자는 "a.co.kr"란 URL을 사용했지만, 실제 접속은 a.com으로 접속했기 때문에 크롬 부라우저가 의심 URL로 확인한 결과이다. 이 결과는 구글로 전송하여 블랙리스트를 관리하는데 사용된다.
[그림 7] 크롬 피싱 방어
주소창 하일라이팅기능
이 기능은 브라우저가 URL 중의 도메인 이름을 분석하여 그 결과를 사용자에게 보여주고 피싱이나 기타 도메인 이름을 사용한 공격을 막기 위한 기술이다. 이 기술은 IE8 Beta에서 처음 구현된 기술로, 크롬에서도 기본적으로 해당 기능을 지원한다. 파이어폭스는 LocationBar라는 플러그인을 설치해야만 가능하다.
주소를 하일라이팅하는 기능은 기본적으로 세 브라우저 모두 가능하나, 구체적인 방법 면에 있어서는 약간의 차이를 나타낸다. 다음은 차례로 IE8과 FireFox3, 크롬에서 주소창이 하일라이팅된 모습을 보여준다.
[그림 8] IE8, 파이어폭스 3.0, 크롬 주소창 하일라이팅 기능
크로스 사이트(XSS) 공격 방어 기능
크로스 사이트 공격은 웹서버 취약점을 이용한 공격 방법 중 그 빈도가 가장 높은 공격으로, 모든 브라우저에서 해당 공격을 막기 위한 기술이 구현되어있다.
Internet Explorer 8에서는 XSS Filter를 구현하여 크로스 사이트 공격을 방어한다. IE8은 모든 브라우저를 통한 모든 응답과 요청을 관찰한다. 만약, XSS 필터가 XSS로 보이는 요청이 관찰될 경우, 공격으로 판단하고 [그림 9]와 같이 사용자에게 경고 메시지를 내보낸다.
[그림 9] XSS 필터 경고창 표시
파이어폭스 3 는 W3C가 제안한 XHR(XMLHTTPRequest) 기술을 이용하여 쿠키나 HTTP Header 데이터와 같은 개인정보가 다른 사이트로 전송되는 것을 차단하는 방식으로 크로스 사이트 공격을 차단한다. 이 기술은 IE8의 XSS filter와 비슷한 역할을 수행한다.
크롬(Chrome)은 앞서 밝혀듯이 크롬 아키텍쳐의 주요 초점이 브라우저 기반 취약점 공격에 맞추어져 있다. XSS 공격을 방어하기 위한 특별한 설명은 아키텍쳐 소개서에 명시되어 있지 않지만 구글과 파이어폭스의 관계를 보았을 때 아마 파이어폭스 3와 비슷한 구조를 가지고 있을 것으로 추정된다.
악성 코드 보안 기능
최근의 해킹동향은 공격자가 웹서버를 해킹한 후, 악성 코드 배포를 위한 페이지를 웹서버에 삽입하는 것이다. 만약, 보안 취약점의 패치를 하지 않은 사용자가 해당 웹서버에 접속할 경우, 공격자가 삽입한 코드가 실행되어 사용자의 시스템 권한을 획득할 수 있다. 따라서, 각 브라우저는 이러한 코드가 사용자의 시스템에서 실행되는 것을 막기 위해 의심 코드가 삽입된 웹페이지의 접근을 차단하고 있다. [그림 11]~[그림 13]는 다음 [그림 10]과 같은 코드를 포함한 웹페이지를 각 브라우저에 요청한 결과이다.
[그림 10] 테스트 코드
Internet Explorer 8 은 크로스사이트 공격과 마찬가지로 스마트 필터를 이용하여 사용자가 악성코드를 삽입한 페이지에 접근하는 것을 [그림 3]과 같이 차단할 것이라고 하지만, 필자가 테스트한 [그림 10]의 코드가 삽입되어 있는 페이지를 테스트한 결과 [그림 11]과 같이 IE8에서 해당 페이지를 차단하지 못한 채 그대로 브라우저 상에 로드되었다.
[그림 11] IE8 탐지 결과
파이어폭스 3 에서는 해당 페이지를 [그림 12]와 같이 차단하였으며 해당 페이지를 차단한 이유와 현재 상태를 [그림 13]과 같이 사용자가 직접 확인할 수 있다. 특이할 만한 사항은 해당 페이지의 데이터베이스를 구글이 제공했다는 것이다. 따라서 크롬 역시 같은 데이터를 사용할 것이라고 추측할 수 있다.
[그림 12] 악성 사이트 차단
[그림 13] 현재 페이지 상태 확인
크롬(Chrome)도 [그림 14]와 같이 차단 화면을 볼 수 있다.
[그림 14] 크롬이 차단한 페이지
정리
지금까지 차세대 브라우저가 제공하는 보안 기술을 간단하게 살펴보았다. 브라우저 보안은 크게 1)사회공학, 2)웹서버, 3)브라우저 취약점에 대한 보호로 분류될 수 있다. 세 브라우저 모두 방어하고자 하는 공격 방법은 대부분 같았지만 설계의 지향점은 조금씩 차이를 보였다. 따라서, 사용자는 브라우저를 선택하기 전 위협 요인을 정확히 인지하고 그에 맞는 브라우저를 선택해야 할 것이다.
