악성 웹사이트만 하나 개설해 두면 피해자를 꼬드겨 접속을 유도함으로써 피해자의 네트워크에 들어가 엔드포인트를 감염시키는 게 가능하다. 그래서 이제 브라우저들이 중간에 끼어들 예정이다. 웹사이트와 서버 사이에 다리를 놓으려면 브라우저의 허락을 받아야 한다.

[보안뉴스 문가용 기자] 구글 크롬 팀이 새로운 보안 향상 방안을 발표했다. 사설망에 연결된 엔드포인트 장비들에 공공 웹사이트가 직접 접속하는 걸 금지시킨다는 내용이다. 이로써 브라우저를 통해 침투하는 방식의 해킹 공격을 보다 어렵게 만들겠다는 게 앞으로 구글 크롬 보완의 가장 큰 방향이라고 한다.


[이미지 = utoimage]

크롬 측은 이러한 변경 사항을 크롬 98부터 크롬 101까지 점진적으로 크롬 브라우저에 적용할 예정이다. 새롭게 도입된 W3C 사양인 ‘사설망 접근(Private Network Access, PNA)’을 통해서 변경이 이뤄질 전망이다.

구글에서는 “먼저는 크롬이 하위자원에 대한 요청을 사설망에 보내기 전에, CORS(교차 출처 자원 공유) 요청을 보낼 것”이라고 설명한다. “그러면 요청 전달을 받은 서버에서 허락이나 불허가 떨어질 것이고, 허락이 난 후에 접근할 수 있게 됩니다. 이 사전 요청은 새로운 헤더(Access-Control-Request-Private-Network: true)를 갖게 되고, 이 요청에 대한 응답에도 반드시 그에 상응하는 헤더(Access-Control-Allow-Private-Network: true)가 있어야만 합니다.”

이게 무슨 말일까? 크롬 101부터는 공공 인터넷을 통하여 누구나 접속할 수 있는 웹사이트라면 브라우저의 허락을 받아야만 내부 네트워크 자원에 접근할 수 있게 된다는 뜻이다. 새롭게 도입된 PNA라는 것이 브라우저 내에 자리를 잡으면, 웹사이트는 이 PNA를 통하여 서버 접근 권한을 허락받게 된다고도 설명이 가능하다.

PNA는 CORS 프로토콜을 확대시켜 웹사이트들이 사설망 서버에 접근하려면 반드시 이걸 거치게끔 되어 있다고 구글은 2021년 8월에 이미 PNA에 대해 설명한 바 있다. 그렇게 함으로써 악성 웹사이트에서 전송된 임의 요청이 서버에 보호 장치 없이 도달하는 일은 없어진다는 것이다. 구글은 이미 작년부터 사설망 엔드포인트를 보호하기 위한 대책을 마련하기 시작했다.

이렇게 크롬을 재정비 했을 때 사용자들이 얻는 효과는 무엇일까? 라우터 등과 같은 각종 엔드포인트 장비들을 노리는 교차 사이트 요청 조작(CSRF) 공격으로부터 비교적 안전해진다. 사설망의 라우터를 침해하는 데 성공할 경우 공격자들은 해당 망에 연결된 모든 사용자들의 라우팅 요청을 오염시켜 악성 도메인으로 강제 접속시킬 수 있게 된다.

이런 움직임을 보이고 있는 건 크롬만이 아니다. 마이크로소프트의 에지 브라우저에도 새로운 ‘브라우징 모드’가 현재 베타 채널에서 도입된 상태다(버전 98.0.1108.23). 이 브라우징 모드는 아직 알려지지 않은 제로데이 취약점에 대한 익스플로잇 공격의 위험성을 어느 정도 완화시킬 수 있는 추가 보안 레이어를 덧대는 기능을 한다고 한다.

마이크로소프트는 이러한 내용을 발표하며 “과거의 흐름을 기반으로, 아직 아무도 모르는 미래의 공격에 대한 위험성까지도 완화시킬 수 있기 때문에 굉장히 혁신적인 기능”이라고 설명했다. “이 기능을 켜면 하드웨어를 기반으로 한 ‘스택 보호(Stack Protection)’, ‘임의 코드 방어(Arbitrary Code Guard)’, ‘콘텐트 흐름 보호(Content Flow Guard)’가 발동됩니다. 이 덕분에 웹을 사용하는 사용자가 보다 더 안전할 수 있게 됩니다.”

3줄 요약
1. 구글, 크롬 101버전부터 새로운 보안 기능 도입할 계획.
2. 공공 웹사이트가 사설망 엔드포인트에 직접 연결되지 않도록 하는 기능.
3. 악성 사이트 통해 네트워크 장비와 엔드포인트 감염시키는 것이 어려워질 예정.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>