브라우저 보안

위키백과, 우리 모두의 백과사전.
이동: 둘러보기, 검색

브라우저 보안웹 브라우저인터넷 보안에 대한 적용으로서[1] 네트워크화된 데이터와 컴퓨터 시스템을 악성 소프트웨어나 사생활 침해로부터 보호하기 위한 것이다. 브라우저의 보안 익스플로잇은 종종 자바스크립트 - 가끔은 사이트 간 스크립팅 (XSS)[2] - 를 사용하며, 가끔은 어도비 플래시[3]를 이용한 부차적인 페이로드를 사용한다. 보안 익스플로잇은 또한 웹 브라우저들에서의 보안 취약점을 이용할 수 있다.

보안[편집]

웹 브라우저들은 아래의 방법들에 의해 뚫릴 수 있다.

  • 운영 체제가 뚫려서 악성코드가 관리자 모드에서 브라우저 메모리 영역을 읽거나 수정할 수 있을 때[4]
  • 운영체제가 백그라운드에서 돌아가는 악성코드를 갖고 있는 경우 관리자 모드에서 브라우저 메모리 영역은 읽거나 수정될 수 있다.
  • 주요 브라우저 실행파일이 해킹될 수 있다.
  • 브라우저 구성 요소들이 해킹될 수 있다.
  • 브라우저 플러그인들이 해킹될 수 있다.
  • 머신 외부에서 브라우저 네트워크 통신이 가로채질 수 있다. [5]

브라우저는 위와 같이 뚫린 사실을 인식하지 못하고 안전한 연결이 만들어 졌다고 사용자에게 보여줄 수 있다.

브라우저가 웹사이트와 통신할 때마다, 웹사이트는 브라우저의 몇몇 정보를 모은다.[6] 만약 악의적인 코드가 웹사이트의 내용에 삽입되었다거나 최악의 경우 웹사이트가 의도적으로 악의적인 코드의 호스트로서 설계되었다면 취약점들은 이 악의적인 코드를 의도하지 않은 방법으로 브라우저 내에서 실행되게 할 수 있다.[7] 공격자가 방문자의 머신에서 프로세스를 실행할 수 있다면, 알려진 보안 취약점을 공격함으로써 공격자는 감염된 시스템에 대해 특권적 접근(만약 브라우저가 이미 특권적 접근으로 실행중이지 않다면)을 얻을 수 있다.[8]

웹 브라우저 보안을 위반하는 것은 보통 웹 버그클릭재킹, 라이크재킹, HTTP 쿠키, 좀비 쿠키 또는 플래시 쿠키 같은 툴들을 사용해서 디지털 마케팅이나 신원 도용 등을 위해 개인정보를 모으는 팝업창[9]을 표시하기 위한 목적이다. [10][11][12][13] 이 외에도 애드웨어, 바이러스, 트로이 목마 같은 스파이웨어 또는 MITB(man-in-the-browser) 공격을 사용하는 온라인 뱅킹 절도를 포함하는 악성 소프트웨어의 설치도 있다.

웹 브라우저의 취약점들은 브라우저 소프트웨어 업데이트를 유지함으로써 자체적으로 최소화될 수 있지만,[14] 하부의 운영 체제가 루트킷에 감염된 경우에는 충분하지 않을 것이다.[15] 몇몇 스크립팅, 애드온 그리고 쿠키[16][17][18] 같은 브라우저의 하부구성요소들은 특히 취약하다.

종심방어의 원리에 따르면, 완전히 패치되고 정확하게 설정된 브라우저도 브라우저 관련 보안 문제가 발생하지 않을 것이라고 확신하기에는 충분치 않다. 예를 들면 루트킷은 은행 사이트에 로그인 할 경우 키로깅을 하거나 네트워크 트래픽을 수정해서 중간자 공격을 수행할 수 있다. DNS 하이재킹 또는 DNS 스푸핑은 잘못 타이핑한 웹사이트 이름에 대해 긍정오류를 반환하는데 사용되거나 유명한 검색 엔진의 검색 결과를 바꾸기 위해 사용될 수 있다. RSPlug 같은 악성코드는 DNS 서버를 가리키는 시스템의 설정을 간단하게 수정한다.

브라우저들은 몇몇 공격들을 방어하는데 도움을 주기 위해 통신 프로토콜의 더 안전한 방식들을 사용할 수 있다.

일반적으로 악의적인 웹사이트를 막고 다운로드한 파일의 안티바이러스 스캔을 수행하는 방화벽들과 프록시 서버 필터링을 통한 둘레 방어들은 큰 조직에서 악의적인 네트워크 트래픽을 막기 위한 구현으로서 주로 사용된다.

브라우저 보안의 주제는 "브라우저 익스플로잇 프레임워크 프로젝트"[19] 같은 전체 조직들의 생성을 유발할 정도로 증가하고 있다.

플러그인과 확장[편집]

비록 그 자체가 브라우저는 아니지만 브라우저 플러그인들과 브라우저 확장들은 공격 목표로 확장되었다. 예를 들면 어도비 플래시 플레이어, 어도비 어크로뱃, 자바 애플릿, 액티브X가 주로 익스플로잇된다. 악성코드는 브라우저 확장으로서 구현될 수 있다. [20] 구글 크롬이나 모질라 파이어폭스 같은 브라우저들은 위험한 플러그인들을 막거나 사용자에게 경고할 수 있다.

역으로, 브라우저 확장들은 보안 설정을 강화하는데 사용될 수 있다.

프라이버시[편집]

플래시[편집]

2009년 8월 Social Science Research Network의 연구에 의하면 플래시를 사용하는 웹사이트들 중 50%가 플래시 쿠키를 적용하지만, 프라이버시 정책들은 거의 그것들을 드러내지 않으며, 프라이버시 선호를 위한 사용자 제어가 부족하다고 밝혔다.[21] 대부분의 브라우저들의 캐시와 히스토리 삭제 기능은 자신의 캐시에 LSO를 쓰는 플래시 플레이어에는 영향을 미치지 않는다. 그리고 사용자 커뮤니티들은 HTTP 쿠키에 비해 플래시 쿠키의 존재와 기능에 대해 훨씬 적은 관심을 갖고 있다.[22] 그러므로, 플래시 브라우징 히스토리가 남아 있음에도 불구하고 사용자들은 HTTP 캐시와 히스토리 파일, 캐시를 지움으로써 모두 지웠다고 여기게 된다.

하드웨어 브라우저[편집]

쓰기 불가능하고 읽기만 가능한 파일 시스템과 웹 브라우저를 돌리는 하드웨어 기반 해결책은 LiveCD 접근법에 기반한다. 브라이언 크렙스는 조직화된 사이버 범죄로부터의 보호를 위해 LiveCD의 사용을 추천한다. 이러한 하드웨어 브라우저의 가장 초기 모델은 2013년에 나온 ZeusGard 보안 하드웨어 브라우저이다. 부트 가능한 미디어가 시작될 때마다 브라우저는 알려진 깨끗한 그리고 안전한 운영 환경을 시작한다. 데이터는 절대로 장치에 저장되지 않으며 미디어는 겹쳐써질 수 없어서, 부팅 시마다 깨끗하다.

브라우저 강화[편집]

최소 권한 사용자 계정으로 인터넷을 브라우징하는 것은 웹 브라우저에서 보안 취약점의 가능성을 제한한다.[23]

인터넷 익스플로러는 블랙리스트[24][25][26] 그리고 화이트리스트[27][28] 액티브X 제어와 애드온 그리고 브라우저 확장을 다양한 방법으로 허용한다.

인터넷 익스플로러 7은 MIC(Mandatory Integrity Control)라고 불리는 윈도우 비스타의 보안 샌드박싱 특징의 적용을 통해 브라우저를 강화하는 "보호 모드"를 추가하였다.[29] 구글 크롬은 웹페이지가 운영 체제에 접근하는 것을 제한하기 위해 샌드박스를 제공한다.[30]

의심되는 악성코드 사이트는 구글에 보고되며,[31] 구글에 의해 확인되고, 특정 브라우저들에서 표시된다.[32]

최신 브라우저라도 강화를 위한 써드파티 확장과 플러그인이이 존재한다.[33]

같이 보기[편집]

각주[편집]

  1. 《Internet security overview》, 2015년 7월 6일에 확인함 
  2. Maone, Giorgio. “NoScript :: Add-ons for Firefox”. 《Mozilla Add-ons》. Mozilla Foundation. 
  3. NC (Social Science Research Network). “BetterPrivacy :: Add-ons for Firefox”. 《Mozilla Add-ons》. Mozilla Foundation. 
  4. Smith, Dave. “The Yontoo Trojan: New Mac OS X Malware Infects Google Chrome, Firefox And Safari Browsers Via Adware”. IBT Media Inc. 2013년 3월 21일에 확인함. 
  5. Goodin, Dan. “MySQL.com breach leaves visitors exposed to malware”. 2011년 9월 26일에 확인함. 
  6. Clinton Wong. “HTTP Transactions”. O'Reilly. 
  7. “9 Ways to Know Your PC is Infected with Malware”. 
  8. “Symantec Security Response Whitepapers”. 
  9. Palant, Wladimir. “Adblock Plus :: Add-ons for Firefox”. 《Mozilla Add-ons》. Mozilla Foundation. 
  10. “Facebook privacy probed over 'like,' invitations”. 《CBC News》. 2010년 9월 23일. 2011년 8월 24일에 확인함. 
  11. Albanesius, Chloe (2011년 8월 19일). “German Agencies Banned From Using Facebook, 'Like' Button”. 《PC Magazine》. 2011년 8월 24일에 확인함. 
  12. McCullagh, Declan (2010년 6월 2일). “Facebook 'Like' button draws privacy scrutiny”. CNET News. 2011년 12월 19일에 확인함. 
  13. Roosendaal, Arnold (2010년 11월 30일). “Facebook Tracks and Traces Everyone: Like This!”. 2011년 9월 27일에 확인함. 
  14. State of Vermont. “Web Browser Attacks”. 2012년 4월 11일에 확인함. 
  15. “Windows Rootkit Overview” (PDF). Symantec. 2013년 4월 20일에 확인함. 
  16. “Cross Site Scripting Attack”. 2013년 5월 20일에 확인함. 
  17. Lenny Zeltser. “Mitigating Attacks on the Web Browser and Add-Ons”. 2013년 5월 20일에 확인함. 
  18. Dan Goodin. “Two new attacks on SSL decrypt authentication cookies”. 2013년 5월 20일에 확인함. 
  19. “beefproject.com”. 
  20. “How to Create a Rule That Will Block or Log Browser Helper Objects in Symantec Endpoint Protection”. Symantec.com. 2012년 4월 12일에 확인함. 
  21. “Soltani, Ashkan, Canty, Shannon, Mayo, Quentin, Thomas, Lauren and Hoofnagle, Chris Jay: Flash Cookies and Privacy”. 2009년 8월 10일. 2009년 8월 18일에 확인함. 
  22. “Local Shared Objects -- "Flash Cookies". Electronic Privacy Information Center. 2005년 7월 21일. 2010년 4월 16일에 보존된 문서. 2010년 3월 8일에 확인함. 
  23. “Using a Least-Privileged User Account”. Microsoft. 2013년 4월 20일에 확인함. 
  24. “How to Stop an ActiveX control from running in Internet Explorer”. Microsoft. 2014년 11월 22일에 확인함. 
  25. “Internet Explorer security zones registry entries for advanced users”. Microsoft. 2014년 11월 22일에 확인함. 
  26. “Out-of-date ActiveX control blocking”. Microsoft. 2014년 11월 22일에 확인함. 
  27. “Internet Explorer Add-on Management and Crash Detection”. Microsoft. 2014년 11월 22일에 확인함. 
  28. “How to Manage Internet Explorer Add-ons in Windows XP Service Pack 2”. Microsoft. 2014년 11월 22일에 확인함. 
  29. Matthew Conover. “Analysis of the Windows Vista Security Model” (PDF). Symantec Corporation. 2007년 10월 8일에 확인함. 
  30. “Browser Security: Lessons from Google Chrome”. 
  31. “Report malicious software (URL) to Google”. 
  32. “Google Safe Browsing”. 
  33. “5 Ways to Secure Your Web Browser”. ZoneAlarm.