옵션 이름은 Save... 사용자들이 하드디스크 저장 기능으로 오인할 수 있어
모질라는 “구글에 해결 요청한 상태”...일부 전문가 “의도적 실수일 수 있어”
[보안뉴스 문가용 기자] 모질라의 파이어폭스 브라우저에서 취약점이 발견됐다. 사용자들이 페이지 전체 혹은 일부의 스크린샷을 찍어 클라우드에 저장할 수 있도록 하는 기능에서의 취약점인데, 이 때문에 스크린샷이 인터넷에 접속 가능한 모든 사람에게 공개될 수 있다고 한다.
[이미지 = iclickart]
문제가 되고 있는 건 지난 가을 파이어폭스에 새롭게 도입된 스크린샷(Firefox Screenshots) 기능이다. 사용자들이 스크린샷을 쉽고 간편하게 저장하고 공유할 수 있도록 하기 위한 것이었다. 이 기능을 사용하려면 웹 페이지를 우클릭해서 열리는 윈도우 액션 메뉴에서 Page를 클릭한 후 Take a Screenshot 기능을 선택하면 된다.
이렇게 하면 사용자는 페이지 전체에 대한 스크린샷을 남길 수 있게 된다. 물론 조정을 통해 일부만 저장하는 것도 가능하다. 원하는 부분을 저장했다면 스크린샷 기능을 끄고 스크린샷을 복사하거나 다운로드 하거나 Save 버튼을 눌러 클라우드에 전송할 수 있다.
이런 방식으로 저장된 스크린샷들은 전부 https://screenshots.firefox.com으로 전송되는 것이 현재 파이어폭스 브라우저의 디폴트 세팅이다. 그런데 구글과 같은 검색 엔진을 사용하면 여기에 저장된 스크린샷을 검색할 수 있으며, 따라서 인터넷 전체 사용자에게 사실상 노출되어 있는 꼴이다.
물론 모든 스크린샷이 전부 이 클라우드로 전달되는 건 아니다. Save 옵션을 선택한 사용자들만이 클라우드를 저장소로 활용하게 된다. 스크린샷을 애써 클라우드로 옮겨 저장하는 사람은 그리 많지 않다. 그러나 이를 발견한 익명의 보안 전문가는 “Save”라는 기능의 이름이 애매하다고 주장한다. 사용자들이 자칫 ‘하드드라이브로 저장’하는 기능으로 오인할 수 있다는 것이다.
이에 모질라는 어제 이 부분에 대한 픽스를 발표했다. 모질라는 전에도 이 문제를 해결하려고 몇 차례 시도한 바 있으나, 전부 실패한 것으로 알려졌다. 최근 패치에서도 스크린샷 이미지가 검색 엔진에 걸리는 것을 막기 위해 robots.txt를 [meta name=robots value=noindex] 태그로 고쳤으나 제대로 문제를 해결하지 못한 것으로 알려져 있다.
모질라의 제품 책임자인 존 그루엔(John Gruen)은 “이 문제를 저희가 직접 해결하는 것은 불가능한 것으로 보이며, 현재는 구글 및 여러 검색 엔진 서비스 업체들에게 도움을 요청한 상태”라고 밝혔다. 도메인을 검색 결과에서 없애달라는 요청과 함께라고 한다.
하지만 일부 전문가들 사이에서는 모질라가 의도적으로 이러한 기능을 삽입했다는 주장이 나오고 있다. 익명을 요구한 한 전문가는 “최근 AI 경쟁에서 인스타그램을 보유한 페이스북이 굉장히 유리하다는 연구 결과가 있었다”며 “이는 인스타그램에 저장된 수많은 이미지들 덕분”이라고 말했다. “기술 기업들은 현재 인공지능을 훈련시키기 위한 데이터를 수집하기 위해 노력하고 있습니다. 모질라 역시 비슷한 목적으로 이미지를 수집하기 위해 이런 수법을 쓴 것이 아닐까 합니다. 솔직히 옵션 이름을 Save로만 해둔 것에서 너무 티가 나지 않나요?”
[국제부 문가용 기자(globoan@boannews.com)]
모질라는 “구글에 해결 요청한 상태”...일부 전문가 “의도적 실수일 수 있어”
[보안뉴스 문가용 기자] 모질라의 파이어폭스 브라우저에서 취약점이 발견됐다. 사용자들이 페이지 전체 혹은 일부의 스크린샷을 찍어 클라우드에 저장할 수 있도록 하는 기능에서의 취약점인데, 이 때문에 스크린샷이 인터넷에 접속 가능한 모든 사람에게 공개될 수 있다고 한다.
[이미지 = iclickart]
문제가 되고 있는 건 지난 가을 파이어폭스에 새롭게 도입된 스크린샷(Firefox Screenshots) 기능이다. 사용자들이 스크린샷을 쉽고 간편하게 저장하고 공유할 수 있도록 하기 위한 것이었다. 이 기능을 사용하려면 웹 페이지를 우클릭해서 열리는 윈도우 액션 메뉴에서 Page를 클릭한 후 Take a Screenshot 기능을 선택하면 된다.
이렇게 하면 사용자는 페이지 전체에 대한 스크린샷을 남길 수 있게 된다. 물론 조정을 통해 일부만 저장하는 것도 가능하다. 원하는 부분을 저장했다면 스크린샷 기능을 끄고 스크린샷을 복사하거나 다운로드 하거나 Save 버튼을 눌러 클라우드에 전송할 수 있다.
이런 방식으로 저장된 스크린샷들은 전부 https://screenshots.firefox.com으로 전송되는 것이 현재 파이어폭스 브라우저의 디폴트 세팅이다. 그런데 구글과 같은 검색 엔진을 사용하면 여기에 저장된 스크린샷을 검색할 수 있으며, 따라서 인터넷 전체 사용자에게 사실상 노출되어 있는 꼴이다.
물론 모든 스크린샷이 전부 이 클라우드로 전달되는 건 아니다. Save 옵션을 선택한 사용자들만이 클라우드를 저장소로 활용하게 된다. 스크린샷을 애써 클라우드로 옮겨 저장하는 사람은 그리 많지 않다. 그러나 이를 발견한 익명의 보안 전문가는 “Save”라는 기능의 이름이 애매하다고 주장한다. 사용자들이 자칫 ‘하드드라이브로 저장’하는 기능으로 오인할 수 있다는 것이다.
이에 모질라는 어제 이 부분에 대한 픽스를 발표했다. 모질라는 전에도 이 문제를 해결하려고 몇 차례 시도한 바 있으나, 전부 실패한 것으로 알려졌다. 최근 패치에서도 스크린샷 이미지가 검색 엔진에 걸리는 것을 막기 위해 robots.txt를 [meta name=robots value=noindex] 태그로 고쳤으나 제대로 문제를 해결하지 못한 것으로 알려져 있다.
모질라의 제품 책임자인 존 그루엔(John Gruen)은 “이 문제를 저희가 직접 해결하는 것은 불가능한 것으로 보이며, 현재는 구글 및 여러 검색 엔진 서비스 업체들에게 도움을 요청한 상태”라고 밝혔다. 도메인을 검색 결과에서 없애달라는 요청과 함께라고 한다.
하지만 일부 전문가들 사이에서는 모질라가 의도적으로 이러한 기능을 삽입했다는 주장이 나오고 있다. 익명을 요구한 한 전문가는 “최근 AI 경쟁에서 인스타그램을 보유한 페이스북이 굉장히 유리하다는 연구 결과가 있었다”며 “이는 인스타그램에 저장된 수많은 이미지들 덕분”이라고 말했다. “기술 기업들은 현재 인공지능을 훈련시키기 위한 데이터를 수집하기 위해 노력하고 있습니다. 모질라 역시 비슷한 목적으로 이미지를 수집하기 위해 이런 수법을 쓴 것이 아닐까 합니다. 솔직히 옵션 이름을 Save로만 해둔 것에서 너무 티가 나지 않나요?”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
