같은 컴퓨터 혹은 장비에서라면 브라우저를 바꾸는 것만으로 웹사이트의 추적을 피할 수 없다는 연구 결과가 나왔다. 이른 바 ‘스킴 플러딩’이라고 하는 취약점 때문이다. 익명성을 보장해 주는 토르 브라우저에도 이 취약점이 예외 없이 발견됐다.
[보안뉴스 문가용 기자] 사용자가 데스크톱 브라우저를 이것 저것 바꾸어 사용해도 추적할 수 있게 해 주는 취약점이 발견됐다. 이 취약점에 영향을 받고 있는 브라우저는 사파리, 크롬, 에지, 파이어폭스, 토르라고 한다. 이 때문에 인터넷 사용자의 프라이버시에 심각한 문제가 초래될 수 있다고 한다.
[이미지 = utoimage]
이 취약점은 ‘스킴 플러딩(scheme flooding)’이라고 하며, 사용자가 접속 브라우저를 바꾸더라도 웹사이트가 추적할 수 있도록 해 준다고 한다. 이는 소프트웨어 및 API 개발사인 핑커프린트JS(FinterprintJS)라는 업체의 보안 전문가인 콘스탄틴 다루트킨(Konstantin Darutkin)이 블로그를 통해 발표한 내용이다. 즉 스킴 플러딩 때문에 문제가 되는 건 이른 바 ‘교차 브라우저 익명성(cross browser annonymity)’이라는 개념이라는 것이다.
A가 한 컴퓨터에서 크롬으로 B라는 사이트를 접속했을 때와 파이어폭스로 접속했을 때 B에서는 A를 서로 다른 사람으로 분류해야 정상인데, 스킴 플러딩을 익스플로잇 할 경우 어떤 브라우저를 사용하든 B가 A를 동인인물로 간주하고 추적할 수 있게 된다는 게 문제의 핵심이다. 심지어 프라이버시의 ‘끝판 왕’이라고 불리는 토르 브라우저도 무력해진다는 것이 충격적이다.
웹사이트를 통해 스킴 플러딩을 익스플로잇 하는 과정은 다음과 같이 진행된다.
1) 웹사이트에는 32개 인기 높은 애플리케이션들의 목록이 구비되어 있다.
2) 스킴 플러딩을 통해 32비트 교차 브라우저 장비 식별자를 생성한다.
3) 1)과 2)를 비교함으로써 접속자의 시스템에 어떤 앱이 설치되어 있는지를 파악한다.
4) 3)번 과정은 수초 동안 진행되며, 윈도, 맥, 리눅스에서 모두 작동한다.
5) 이를 통해 사용자를 특정할 수 있다.
다루트킨은 이것이 딥 링크(deep link)라고 불리는 개념과도 관련이 있다고 블로그를 통해 설명한다. “예를 들어 A라는 사람이 컴퓨터에 스카이프를 설치해 두었다고 합시다. 이 컴퓨터에서 아무 브라우저를 열고 주소 창에 skype://라고 입력하면 브라우저 창이 새로 열리면서 ‘스카이프를 시작하실 건가요?’라는 질문이 뜹니다. 모바일 장비들에 널리 사용되는 기능인데, PC 장비들에도 도입되기 시작했습니다. 어떤 앱이든 사용자가 설치하기만 하면 이런 식의 딥 링크(혹은 URL 스킴이라고도 한다)를 등록함으로써 다른 앱을 통해 열 수 있게 됩니다.”
다루트킨은 이 모든 정보를 종합해 공격 방법을 다음과 같이 풀어서 설명한다.
1) 애플리케이션 목록을 구비한다. 즉 실험해보고 싶은 앱의 URL 스킴 혹은 딥 링크를 준비한다.
2) 웹사이트에 스크립트를 추가해 이 URL 스킴 혹은 딥 링크가 실행되도록 만든다.
3) 이 과정을 통해 교차 브라우저 영구 고유 식별자를 생성한다.
4) 그 다음부터 해당 식별자를 가진 사용자가 가진 정보를 공격적으로 수집한다.
물론 모든 브라우저가 같은 방식으로 활용될 수 있는 건 아니다. 다루트킨은 “기본 골자는 같지만 실제 실행에 있어 브라우저마다 디테일이 약간씩 달라진다”고 설명한다. “그 기본 골자란, 팝업 창을 통해 사용자에게 확인을 구하는 겁니다. 여기에 자바스크립트 코드를 활용함으로써 특정 애플리케이션의 존재 유무를 확인하는 게 가능합니다.”
다루트킨은 유명 브라우저들 중 그나마 크롬의 개발자들이 이런 식의 공격을 어느 정도 염두에 두고 개발 행위를 한 것 같다고 설명한다. “스킴 플러딩 공격에 대한 방어 장치를 가지고 있던 건 크롬이 유일합니다. 물론 그마저도 조금만 손보면 우회할 수 있긴 하지만요. 반면 사파리는 익스플로잇이 제일 쉬웠습니다. 프라이버시를 가장 중심에 두고 설계한다는 애플의 광고와는 다른 부분이었습니다.”
다루트킨은 모든 브라우저 제조사들에 스킴 플러딩 취약점에 대한 보고서를 보낸 상태다. 아직 취약점 해결은 되지 않은 상태다.
3줄 요약
1. 브라우저 바꿔가며 사이트에 접속해도 특정되어 추적받을 수 있음.
2. 이는 스킴 플러딩 취약점 때문임.
3. 유명 브라우저들은 물론 프라이버시 강화 브라우저인 토르까지도 이 공격에 약함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 사용자가 데스크톱 브라우저를 이것 저것 바꾸어 사용해도 추적할 수 있게 해 주는 취약점이 발견됐다. 이 취약점에 영향을 받고 있는 브라우저는 사파리, 크롬, 에지, 파이어폭스, 토르라고 한다. 이 때문에 인터넷 사용자의 프라이버시에 심각한 문제가 초래될 수 있다고 한다.
[이미지 = utoimage]
이 취약점은 ‘스킴 플러딩(scheme flooding)’이라고 하며, 사용자가 접속 브라우저를 바꾸더라도 웹사이트가 추적할 수 있도록 해 준다고 한다. 이는 소프트웨어 및 API 개발사인 핑커프린트JS(FinterprintJS)라는 업체의 보안 전문가인 콘스탄틴 다루트킨(Konstantin Darutkin)이 블로그를 통해 발표한 내용이다. 즉 스킴 플러딩 때문에 문제가 되는 건 이른 바 ‘교차 브라우저 익명성(cross browser annonymity)’이라는 개념이라는 것이다.
A가 한 컴퓨터에서 크롬으로 B라는 사이트를 접속했을 때와 파이어폭스로 접속했을 때 B에서는 A를 서로 다른 사람으로 분류해야 정상인데, 스킴 플러딩을 익스플로잇 할 경우 어떤 브라우저를 사용하든 B가 A를 동인인물로 간주하고 추적할 수 있게 된다는 게 문제의 핵심이다. 심지어 프라이버시의 ‘끝판 왕’이라고 불리는 토르 브라우저도 무력해진다는 것이 충격적이다.
웹사이트를 통해 스킴 플러딩을 익스플로잇 하는 과정은 다음과 같이 진행된다.
1) 웹사이트에는 32개 인기 높은 애플리케이션들의 목록이 구비되어 있다.
2) 스킴 플러딩을 통해 32비트 교차 브라우저 장비 식별자를 생성한다.
3) 1)과 2)를 비교함으로써 접속자의 시스템에 어떤 앱이 설치되어 있는지를 파악한다.
4) 3)번 과정은 수초 동안 진행되며, 윈도, 맥, 리눅스에서 모두 작동한다.
5) 이를 통해 사용자를 특정할 수 있다.
다루트킨은 이것이 딥 링크(deep link)라고 불리는 개념과도 관련이 있다고 블로그를 통해 설명한다. “예를 들어 A라는 사람이 컴퓨터에 스카이프를 설치해 두었다고 합시다. 이 컴퓨터에서 아무 브라우저를 열고 주소 창에 skype://라고 입력하면 브라우저 창이 새로 열리면서 ‘스카이프를 시작하실 건가요?’라는 질문이 뜹니다. 모바일 장비들에 널리 사용되는 기능인데, PC 장비들에도 도입되기 시작했습니다. 어떤 앱이든 사용자가 설치하기만 하면 이런 식의 딥 링크(혹은 URL 스킴이라고도 한다)를 등록함으로써 다른 앱을 통해 열 수 있게 됩니다.”
다루트킨은 이 모든 정보를 종합해 공격 방법을 다음과 같이 풀어서 설명한다.
1) 애플리케이션 목록을 구비한다. 즉 실험해보고 싶은 앱의 URL 스킴 혹은 딥 링크를 준비한다.
2) 웹사이트에 스크립트를 추가해 이 URL 스킴 혹은 딥 링크가 실행되도록 만든다.
3) 이 과정을 통해 교차 브라우저 영구 고유 식별자를 생성한다.
4) 그 다음부터 해당 식별자를 가진 사용자가 가진 정보를 공격적으로 수집한다.
물론 모든 브라우저가 같은 방식으로 활용될 수 있는 건 아니다. 다루트킨은 “기본 골자는 같지만 실제 실행에 있어 브라우저마다 디테일이 약간씩 달라진다”고 설명한다. “그 기본 골자란, 팝업 창을 통해 사용자에게 확인을 구하는 겁니다. 여기에 자바스크립트 코드를 활용함으로써 특정 애플리케이션의 존재 유무를 확인하는 게 가능합니다.”
다루트킨은 유명 브라우저들 중 그나마 크롬의 개발자들이 이런 식의 공격을 어느 정도 염두에 두고 개발 행위를 한 것 같다고 설명한다. “스킴 플러딩 공격에 대한 방어 장치를 가지고 있던 건 크롬이 유일합니다. 물론 그마저도 조금만 손보면 우회할 수 있긴 하지만요. 반면 사파리는 익스플로잇이 제일 쉬웠습니다. 프라이버시를 가장 중심에 두고 설계한다는 애플의 광고와는 다른 부분이었습니다.”
다루트킨은 모든 브라우저 제조사들에 스킴 플러딩 취약점에 대한 보고서를 보낸 상태다. 아직 취약점 해결은 되지 않은 상태다.
3줄 요약
1. 브라우저 바꿔가며 사이트에 접속해도 특정되어 추적받을 수 있음.
2. 이는 스킴 플러딩 취약점 때문임.
3. 유명 브라우저들은 물론 프라이버시 강화 브라우저인 토르까지도 이 공격에 약함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)