크롬 기반 웹 브라우저들의 반란, “웹사이트들은 허락부터 받아라”

2022-01-18 21:29
  • 카카오톡
  • url
악성 웹사이트만 하나 개설해 두면 피해자를 꼬드겨 접속을 유도함으로써 피해자의 네트워크에 들어가 엔드포인트를 감염시키는 게 가능하다. 그래서 이제 브라우저들이 중간에 끼어들 예정이다. 웹사이트와 서버 사이에 다리를 놓으려면 브라우저의 허락을 받아야 한다.

[보안뉴스 문가용 기자] 구글 크롬 팀이 새로운 보안 향상 방안을 발표했다. 사설망에 연결된 엔드포인트 장비들에 공공 웹사이트가 직접 접속하는 걸 금지시킨다는 내용이다. 이로써 브라우저를 통해 침투하는 방식의 해킹 공격을 보다 어렵게 만들겠다는 게 앞으로 구글 크롬 보완의 가장 큰 방향이라고 한다.


[이미지 = utoimage]

크롬 측은 이러한 변경 사항을 크롬 98부터 크롬 101까지 점진적으로 크롬 브라우저에 적용할 예정이다. 새롭게 도입된 W3C 사양인 ‘사설망 접근(Private Network Access, PNA)’을 통해서 변경이 이뤄질 전망이다.

구글에서는 “먼저는 크롬이 하위자원에 대한 요청을 사설망에 보내기 전에, CORS(교차 출처 자원 공유) 요청을 보낼 것”이라고 설명한다. “그러면 요청 전달을 받은 서버에서 허락이나 불허가 떨어질 것이고, 허락이 난 후에 접근할 수 있게 됩니다. 이 사전 요청은 새로운 헤더(Access-Control-Request-Private-Network: true)를 갖게 되고, 이 요청에 대한 응답에도 반드시 그에 상응하는 헤더(Access-Control-Allow-Private-Network: true)가 있어야만 합니다.”

이게 무슨 말일까? 크롬 101부터는 공공 인터넷을 통하여 누구나 접속할 수 있는 웹사이트라면 브라우저의 허락을 받아야만 내부 네트워크 자원에 접근할 수 있게 된다는 뜻이다. 새롭게 도입된 PNA라는 것이 브라우저 내에 자리를 잡으면, 웹사이트는 이 PNA를 통하여 서버 접근 권한을 허락받게 된다고도 설명이 가능하다.

PNA는 CORS 프로토콜을 확대시켜 웹사이트들이 사설망 서버에 접근하려면 반드시 이걸 거치게끔 되어 있다고 구글은 2021년 8월에 이미 PNA에 대해 설명한 바 있다. 그렇게 함으로써 악성 웹사이트에서 전송된 임의 요청이 서버에 보호 장치 없이 도달하는 일은 없어진다는 것이다. 구글은 이미 작년부터 사설망 엔드포인트를 보호하기 위한 대책을 마련하기 시작했다.

이렇게 크롬을 재정비 했을 때 사용자들이 얻는 효과는 무엇일까? 라우터 등과 같은 각종 엔드포인트 장비들을 노리는 교차 사이트 요청 조작(CSRF) 공격으로부터 비교적 안전해진다. 사설망의 라우터를 침해하는 데 성공할 경우 공격자들은 해당 망에 연결된 모든 사용자들의 라우팅 요청을 오염시켜 악성 도메인으로 강제 접속시킬 수 있게 된다.

이런 움직임을 보이고 있는 건 크롬만이 아니다. 마이크로소프트의 에지 브라우저에도 새로운 ‘브라우징 모드’가 현재 베타 채널에서 도입된 상태다(버전 98.0.1108.23). 이 브라우징 모드는 아직 알려지지 않은 제로데이 취약점에 대한 익스플로잇 공격의 위험성을 어느 정도 완화시킬 수 있는 추가 보안 레이어를 덧대는 기능을 한다고 한다.

마이크로소프트는 이러한 내용을 발표하며 “과거의 흐름을 기반으로, 아직 아무도 모르는 미래의 공격에 대한 위험성까지도 완화시킬 수 있기 때문에 굉장히 혁신적인 기능”이라고 설명했다. “이 기능을 켜면 하드웨어를 기반으로 한 ‘스택 보호(Stack Protection)’, ‘임의 코드 방어(Arbitrary Code Guard)’, ‘콘텐트 흐름 보호(Content Flow Guard)’가 발동됩니다. 이 덕분에 웹을 사용하는 사용자가 보다 더 안전할 수 있게 됩니다.”

3줄 요약
1. 구글, 크롬 101버전부터 새로운 보안 기능 도입할 계획.
2. 공공 웹사이트가 사설망 엔드포인트에 직접 연결되지 않도록 하는 기능.
3. 악성 사이트 통해 네트워크 장비와 엔드포인트 감염시키는 것이 어려워질 예정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 마일스톤시스템즈

    • 인콘

    • 센스타임

    • 센스타임

    • 아이브스

    • 아이디스

    • 비전정보통신

    • 웹게이트

    • 현대틸스
      팬틸트 / 카메라

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 유엔브이코리아

    • (주)아이리스아이디

    • 지오멕스소프트

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 다후아테크놀로지코리아

    • 한국씨텍

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 씨엠아이텍

    • 송암시스템

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 아이쓰리시스템(주)

    • 성현시스템

    • (주)씨유박스

    • 프로브디지털

    • 트루엔

    • 지에스티

    • A3시큐리티

    • (주)우경정보기술

    • 디비시스

    • (주)투윈스컴

    • 주식회사 에스카

    • 주식회사 비앤에스

    • AIS테크놀러지

    • EOC

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 탄탄코어

    • 셀링스시스템

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • (주)일산정밀

    • 다원테크

    • 구네보코리아주식회사

    • 코스템

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • (주)글로벌티에쓰시엠그룹

    • 티에스아이솔루션
      출입 통제 솔루션

    • 수퍼락

    • 지엘에스이

    • 완텍

    • (주)넥스트림

    • 대산시큐리티

    • 네티마

    • 지와이네트웍스

    • 포커스에이치앤에스
      지능형 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엠스톤

    • 메트로게이트
      시큐리티 게이트

    • 동양유니텍

    • 케이컨트롤

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기