요약 : 구글 크롬 팀은 공공 웹사이트들이 사설 망에 접속한 사용자들의 엔드포인트를 직접 접근하지 못하도록 한다는 방침을 적용할 것이라고 발표했다. 이러한 규정은 크롬 98부터 크롬 101버전에까지 단계적으로 도입될 전망이다. 즉 101버전부터는 인터넷을 통해 아무나 접속할 수 있는 모든 웹사이트들은 엔드포인트에 설치된 크롬 브라우저의 허락을 먼저 받고 나서야 내부 네트워크 자원들에 접근할 수 있게 된다는 것이다.
[이미지 = utoimage]
배경 : 구글은 2021년 8월에 이러한 변경에 대해 처음 발표했었다. 허술한 웹사이트들로부터 사설 망이 노출되는 것을 막는 것이 변경의 목적이라고 한다. 특히 CSRF 공격으로부터 라우터 등과 같은 엔드포인트를 방어하는 데 도움이 될 것으로 전망된다.
말말말 : “교차 출처 자원 공유(CORS) 프로토콜에 대한 강화도 같이 이뤄질 겁니다. 이제 서버들로부터 허락을 받지 않으면 웹사이트들이 사설 망에 접근할 수 없게 됩니다.” -구글-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>