회사에서 파이어폭스와 IE에서 기간 애플리케이션을 돌리는 것을 고려하고 있다면, 화를 자초하는 셈일까? 브라우저 보안에 있어 최근의 안티피싱 기술과 검증 인증서 같은 최신 기술들을 살펴보고, 데이터를 안전하게 지킬 수 있는 방법을 알아본다.
기본적으로 전제로 삼아야 할 것은, 브라우저는 안전하지 않다는 사실이다. 물론 멀웨어가 네트워크를 범람하게 하는 모든 공격을 감당할 수 있는 돈이 있다면 소탕 작업을 충분히 할 수도 있을 것이다.
시만텍에 따르면 지난 해 잘못 구성된 액티브X를 타깃으로 한 공격만 해도 51건에 이른다. 이것은 2005년에는 15건에 불과했던 공격이었다. 물론 액티브X는 인터넷 익스플로러 7에 디폴트로 들어 있지는 않지만, 당신의 엔드유저가 어도비 리더나 플래시 기능성을 원할 경우에는 위험 대상이 된다.
그리고 사용자들은 조그마한 모든 기능성을 원한다. 정보관련 종사자들은 웹 브라우저를 지식 교환을 위한 도구로 사용하고 있다. 가트너는 SaaS(Software as a Service)에 대한 수요가 2010년까지 매년 20% 이상 성장할 것으로 전망했으며, 최근에 본지에서 실시한 SOA/웹 서비스 설문조사에 따르면 현재 회사에서 웹 서비스를 사용하고 있다고 답한 사람이 전체 응답자의 80%에 달했다. 하지만 이들 가운데 내외부 대상 서비스를 모두 보안하는 곳은 절반도 채 되지 않았다.
브라우저는 안전하지 않다
IT에서 이렇듯 양분된 현상을 해결할 수 있을까?
자유에서와 마찬가지로 웹 브라우저 보안의 대가도 또한 끊임없는 경계(eternal vigilance)뿐만 아니라 위험 관리 전략, 보안 기술 진보에 대한 관심, 엔드유저 교육, 그리고 강력한 집중식 관리다.
다행히도 공급업체들은 전체적으로, 그리고 개별적으로 발전하고 있다. 예를 들어 APWG(Anti-Phishing Working Group)에는 100곳이 넘는 업체들이 참여하고 있다. 경쟁이 일상인 소프트웨어 부문에서 다른 부분들을 옆으로 젖혀 두고 오픈되고 건설적인 방식으로 사이버 공간의 급박한 범죄화 문제를 해결하기 위해 나섰다는 사실은 매우 고무적이다. 또한 CA/브라우저 포럼에서 정의한 EV SSL 검사 프로세스에서는 철저하게 독립적인 감사를 요구하고 있으며, 이러한 인증은 일부 브라우저의 주소창을 컬러 코딩함으로써 표준 x.509 인증을 뛰어넘었다.
개별적으로 보자면, 새로 나온 브라우저들(특히 IE7과 모질라 파이어폭스 2.0)은 능동적인 사기 방지 및 개인정보 보호에 초점을 두고 있다. 예를 들어 히스토리와 캐시 파일을 제거할 수 있는 개선된 기능은 사용자와 관리자에게 모두 이점이 되며, 사기방지 방안들, IDN(internationalized domain name) 지원, 주소창 보기 및 액티브X 컴포넌트 통합에 대한 보다 쉬운 제어 등도 마찬가지다. 그리고 업체들은 제품 이외의 것도 생각하고 있는데, 이는 마이크로소프트의 인터넷 강화팀에서 스패머와 피셔를 추적하기 위해 사용하고 있는 스트라이더 하니몽키(Strider HoneyMonkey) 악용방지 프로젝트가 그 좋은 예다.
이러한 것들에서 공통되는 개념은 수상한 사이트가 있으면 사용자가 이와 마주칠 때까지 기다리지 말고 먼저 가려낸다는 것이다.
위험 관리
위험 관리에 있어 문제가 되는 질문은, 비보안 웹 브라우저이긴 하지만 네트워크에 미치는 손상을 어떻게 하면 최소화하고, 방지할 수 있는가다. 그리고 그 대답은 네트워크 설계 차원을 넘어 물리적 보안, 통일된 이용 정책, 업체 관계, 정보 액세스 보안 정책, 새 소프트웨어 승인 프로세스, 사용자 교육, 그리고 종종 데이터 프라이버시 관리 및 정보 액세스 규제를 포하는 다차원적 위험 마이그레이션 전략이다.
아무리 작은 조직이라도 기본적인 행동 수칙은 따라야 한다. 아무쪼록 브라우저 사용은 적법한 비즈니스로 제한돼 있기를, 그리고 콘텐츠 필터를 설치했기를 바란다. 그렇다면 마이크로소프트의 업데이트 서비스가 제공하는 자동 업데이트는 어떤가?
브라우저 취약성을 픽싱하는 일은 소프트웨어 업체의 책임이다. 이러한 픽스 이후의 청소는? 바로 당신의 몫이다. 소프트웨어 업데이트는 기간 업무 애플리케이션을 파손하기 충분할 만큼 브라우저의 기능성을 바꾸는 것으로 악명이 높으며, 이는 ‘정기적인’ 업데이트로 인해 지긋지긋한 이벤트 사이클이 규칙적으로 발동된다는 것을 의미한다. 즉 업데이트된 버전이 기존 애플리케이션과 호환이 되는지 테스트하고, 업데이트를 배치하고, 그리고 확실치 않은 문제를 놓침으로 인해서 갑작스런 문제해결 및 롤백(rollback) 플랜을 갖고 행동에 뛰어들어야 한다.
자동 업데이트를 허용했다면, 마이크로소프트의 자동 IE7 배치의 관점에서 이 정책을 다시 살펴 보라. 이것은 여러 기업의 테스팅 프로세스에서 빠져 있으며, 많은 애플리케이션들을 망가뜨렸다. 물론 마이크로소프트는 IE7이 자동 업데이트 서비스를 이용해 배치될 것이며, 자동 업데이트 차단 및 버전 6로의 복귀 방향이 제공된다고 미리 충분히 이야기했다. 하지만 이것은 설치를 되돌리느라 헛된 수고를 했던 많은 IT 조직들에 아무런 도움도 되지 못했다.
이 회사는 어쩔 수 없이 한 가지를 선택하는 난처한 상황에 처해 있다. 즉 우리는 수많은 브라우저 취약성에 대해 마이크로소프트를 욕하면서도, 보다 안전한 버전으로 브라우저를 자동 업데이트하기 위해 방안을 취하면 또 불평을 하기 때문이다. 자동 업데이트는 보안 위협에 신속한 대응 픽스를 허용한다. 하지만 이들은 또한 이러한 변화를 계속 주시하고, 능동적인 집중식 관리를 해야 하는 필요를 부각시키기도 한다. 이를 위해 지금 바로 취할 수 있는 몇 가지 대책을 소개한다.
>> 관리를 정립시킴으로써 신속한 대응을 준비하라: 오늘날과 같은 제로 데이 악용(zero-day-exploit)과 광범위한 네트워크의 시대에, 중앙 관리 서버에서 모든 네트워크 기계로 소프트웨어를 신속하게 배치 및 구성하고, 그룹 정책을 통해 기능을 제한하고, 정밀한 설치 제어를 제공할 수 있게 해주는 브라우저가 단 두 개(IE, 그리고 보다 적게 사용되는 파이어폭스)밖에 없다는 것은 실로 터무니 없는 일이다.
마이크로소프트의 무료 IEAK(IE Administration Kit)는 여기서 두드러진다. IEAK는 몇 차례 진화된 IE와 함께 했으며, 큰 릴리즈가 있을 때마다 이 키트의 기능성도 함께 바뀌었다. IE를 관리하고 있다면 IEAK는 분명 당신의 툴박스에 들어 있을 것이다. 사실 오늘날과 같이 IT 예산이 빡빡하고 적절한 인재를 찾기 힘든 시대에 IEAK는 독점금지 처분, 언번들링, 보안 염려, 그리고 개발 지체 기간 등에도 불구하고, 회사 데스크탑을 IE가 지배하게 만드는 일등 공신이기도 하다.
IEAK는 사용자 프로파일, 네트워크에서의 브라우저 버전 제어, 그리고 거의 모든 사용자 정책 설정의 맞춤화 등을 만들고 전달하는 데 도움을 준다.
정책에 따라 제어를 하기 위한 네트워크 설치 유틸리티를 자랑하는 유일한 다른 브라우저로 파이어폭스가 있는데, 이것은 단지 오픈소스 프로젝트 파이어폭스ADM(FirefoxADM) 덕분에 나온 것이다. 이 프로젝트는 불행히도 수년간 활동이 없었으며, 당연히 있어야 할 업체의 지원도 없다. 그리고 그 결과 최신 릴리즈를 포함해 모든 버전의 파이어폭스에 대한 전체적인 지원은 기대할 수 없다.
현실을 직시하자. 파이어폭스는 엔터프라이즈 배치에서는 IE와 경쟁이 되지 않는다. 우리는 이런 툴의 중요성을 인식한 소스포지(SourceForge)와, 이것을 실제로 나올 수 있게 만든 그 노력에는 박수를 보내지만, 네트워크에 경쟁 브라우저를 배치 및 제어할 수 있는 도구가 존재하지 않을 경우 마이크로소프트가 OS에서 IE7을 떼어내는 일이 생기지 않도록 막느라 많은 시간과 돈을 썼다는 논리에는 수긍하기 힘들다.
분산된 브라우저들을 통일성 있게 관리할 수 있는 능력이야말로 이들을 안전하게 지키는 데 있어 기본이다. 파이어폭스, 넷스케이프 및 오페라의 지지자들이 조치를 위해 관리 작업에 힘을 합칠 때까지는 IT의 시장점유율 독점은 계속될 것이다.
>> 공격 벡터와 동향을 주시함으로써 네 적을 알라: APWG에 따르면 한달에 1만1천개의 새로운 불법 사이트들을 양산하는 피싱 관련 범죄 활동으로, 언제나와 같은 브라우저 비즈니스는 재앙을 초래하고 있다. APWG 구성원으로는 ISS(Internet Security Systems), 맥아피(McAfee), 카스퍼스키 랩(Kaspersky Lab) 및 시만텍 같은 보안 업체들 뿐만 아니라 어도비시스템즈, 시스코시스템즈, 마이크로소프트, 트렌드마이크로 등도 포함돼 있다. 협업 거의 없는 상태에서 일년 전 이 그룹은 브라우저를 타깃으로 하는 범죄 활동 문제 해결에 착수했다. APWG는 IT에게 보안 핫스팟을 계속해서 알려주기 위해 웹 사이트를 통해 피싱 보고 툴, 미팅 캘린더, 그리고 사이버 범죄 동향 통계를 제공하고 있다.
각 브라우저 업체마다 저마다의 피싱 사이트를 탐지하는 방식이 있긴 하지만, 수집된 데이터는 APWG에서 추적한다. 수집 데이터는 범죄 동향을 파악하고, 아무쪼록 이들이 막대한 손해를 불러오기 이전에 업체와 IT에게 새로운 공격 방식을 경고하는 데 도움을 줄 수 있다.
어떤 공격 벡터들은 외국어 문자를 사용하기도 한다. 이에 모질라와 오페라에서는 얼마 전부터 IDN을 지원하고 있으며, 마이크로소프트도 IE7에서 그 격차를 좁히고 있다. IDN 표준은 알려진 알고리즘을 이용해 ASCII 문자로 변환될 비 ASCII 문자를 포함한 도메인 이름을 허용한다. 그 목적은 유럽의 구분 부호나 비 라틴어를 사용하는 도메인이 기존의 이름 공간에 맞을 수 있도록 한다는 것이다.
그렇다면 이것이 보안과는 무슨 관련이 있을까? 어떤 공격자는 비 ASCII 문자를 활용하기도 한다. 게다가 IDN은 그 변환 알고리즘으로 인해 비슷해 보이는 도메인에서 문제를 일으킨다. 정상적인 ASCII 문자의 비표준 인코딩은 결과적으로 닮은 도메인을 만들어낼 수 있다. 일례로 ‘paypal. com’을 들 수 있다. 여기서 ‘a’는 국제화 문자일 수 있겠지만, 도메인 이름은 합법적 사이트와 같은 것으로 보일 것이다. 안티피싱 능력과 IDN을 결합한다고 해서 이런 유형의 공격을 완전히 막지는 못하겠지만, 비 ASCII 문자를 악용하려 시도하는 엄청난 수의 웹 사이트를 식별하고 차단할 수 있게 해줄 것이다.
마지막으로 주소창을 띄우는 데 모든 브라우저 창을 요구하라. 이것은 발원지를 가리기 위해 교차 도메인 방향조정(cross-domain redirection) 기법을 사용하는 팝업을 타깃으로 하게 된다.
>> EV SSL을 주시하되 모든 것을 걸지는 말라: EV 인증서 지원은 엔드유저에 대한 피싱 공격을 막아주는 데 도움이 되는 것으로 선전되고 있다. EV 인증서는 웹 사이트 소유자를 식별하고, 비즈니스의 물리적 위치를 정확히 지적하기 위해 만들어진 것이다. 그리고 CA(Certificate Authority)로 하여금 EV 인증서를 발급하기에 앞서 사이트 소유자의 비즈니스를 확인하게 함으로써 비즈니스의 적법성에 대해 보다 높은 확신을 제공한다는 게 그 계획이다.
2006년 10월자로, CA/브라우저 포럼은 20개의 CA를 올렸다(PDF). 이들은 EV 인증서를 발급하기 앞서 실사(due diligence)를 수행한다는 데 동의한다. 베리사인(VeriSign)의 EV 인증서 프랙티스는 verisign.com/repository/CPS에서 세부 내용까지 볼 수 있다.
EV 인증서는 인증-정책-확장 필드가 완료된 표준 x.509 인증서다. 발급기관은 저마다 고유의 식별표시(identifier)가 있어, 브라우저는 이것을 CA 기록과 대조해 볼 수 있다. 이들이 일치하면 CA 기록이 최신 것이며, 갱신된 검증 정보가 브라우저로 전달돼 이용된다.
x.509 인증서가 기존의 모든 브라우저에 의해 수용되고 있긴 하지만 EV가 준비된 것으로 처음 선전이 되고, 주소창을 컬러코딩함으로써 이런 식의 인증을 확실하게 표현한 최초의 브라우저는 IE7다. 불행히도 표준 연구원들은 이런 강도 높은 인증서를 사용하고 있다고 보여준다고 해서 반드시 사용자들이 피싱 공격을 식별해낼 수 있게 해주는 것은 아니라고 발표했다. PIP(Picture-In-Picture) 사용자 인터페이스는 여전히 계속되며, 인증서가 가끔씩 잘못된 보안 감각을 제공할 수도 하기 때문이다.
>> 플러그인을 제어하라: 아크로뱃 리더와 플래시 플레이어 같은 컴포넌트 플러그인은 여러 환경에서 흔히 볼 수 있다. 적법한 유틸리티들은 비즈니스를 향상시키지만, 불량 플러그인들은 오랫동안 관리자와 사용자에게 모두 악몽이 돼 왔다. 경험이 없는 사용자가 무심코 웹 브라우저에게 악성 제어를 로딩하게 되고, 따라서 시스템 보안을 훼손하기가 너무도 쉽기 때문이다.
최신 브라우저들에서는 이러한 문제의 극복이 가능하다. 이들은 정책이나 구축 프로세스의 제어를 통해 IT에서 어떤 애드온이 추가될 수 있는지를 지정할 수 있게 해준다. 이들은 또한 엔드유저가 브라우저에 의해 어떤 애드온이 로딩됐는지를 확인할 수 있게 해주기 때문에, 필요한 경우 애드온을 국부적으로 쉽게 기능 정지시킬 수 있다. 애드온 프로그램에 훼손이 발생했을 경우, 이러한 두 가지 방안은 모두 브라우저가 보안 상태로 신속히 돌아올 수 있게 해주는, 큰 발전이라 할 수 있다.
브라우저는 자신들 뒤를 보다 효과적으로 깨끗이 청소하고 있다. 생산 환경에 공개 컴퓨터의 설치 기반이 많다는 사실을 알고 있으면, 사용자는 자신들의 브라우징 히스토리를 쉽게 삭제하고, 캐시 내용물을 비울 수 있다. 사실 새로운 브라우저일수록 프롬프팅이 없이 정기적으로 두 가지 모두 청소해준다. 덕분에 그 후에 이 컴퓨터를 쓰는 사람은 다른 사람들이 어디를 브라우징했는지 보거나 보유된 정보를 불러오기는(예를 들어 쿠키) 힘이 들며, 암호나 계좌번호 등을 캐내지 못하게 된다.
브라우저 관리 문제
브라우저 관리 전용 툴에 대한 대안은 기존의 OS용 정책 툴을 사용하는 설치 패키지를 배치하는 것이다. 이 방법의 단점은 배치용으로 특별히 이미지를 만들고, 그 이미지에 어떠한 애드인이나 제한요소가 만들어지도록 보장하고, 그런 다음 이것을 워크스테이션 배포용으로 패키징해야 한다는 것이다.
따라서 두 개 이상의 구성이 필요할 경우에는 관리자의 작업 부담이 늘어난다. 윈도 시스템용으로는 mozilla. org/ Firefox: 2.0_ Institutional_ Deployment에서 마이크로소프트 인스톨러 양식의 파이어폭스용 배치 패키지 구축에 대한 가이드라인을 제공하고 있다.
이 문서는 파이어폭스에 맞춰져 있긴 하지만, 그 프로시저는 어떤 브라우저든 하나의 이미지로 만들어져서 네트워크에 배치할 수 있게 일반화시킬 수 있다. 이것은 긴 프로세스며, 규모가 작은 네트워크가 아니라면 어떠한 일이 생길지 알 수 없다는 사실을 명심하다.
독자설문조사
브라우저 보안에 대해 심각하게 생각하고 있는가? 그렇다면 인터넷에 액세스할 수 있는 사람을 제한하라. 이것은 심하게 들릴지 몰라도 좋은 보안 프랙티스다. 보안에 레이어를 적용시키라. 브라우저가 “안전한” 사이트만 받아들이게 한 다음, 포트 80용의 방화벽 정책을 잠그고, 다른 사용 중인 포트를 “안전한” 사이트로 인식되게 하라. 이 외의 조치 방안들로는 다음과 같은 것들이 있다:
>> 웹 트래픽을 모니터링하고, 당신이 감시하고 있다는 사실을 모든 사람이 알게 하라. 이것은 부적절한 브라우징을 못하게 하는 입증된 방법이다. 예를 들어 회사 정책이 웹 사이트 액세스를 모니터링하는 것이라면, 모니터링은 간단한 것(자동화된 스캐너로 방화벽 로그 파싱) 포괄적인 모니터링 아웃소싱 서비스 이용에까지 다양할 수 있다. 자동으로 시행되지 않는 정책은 무시된다는 사실을 명심하라.
>> 브라우저와 함께 따라오는 보안 기능을 반드시 사용하고, 익스플로이트 프리벤션 랩(Exploit Prevention Lab)의 링크스캐너(LinkScanner), 구글 툴바, 맥아피의 사이트어드바이저(SiteAdvisor) 및 넷크래프트(Netcrafe)의 안티피싱 툴바(Anti-Phishing Toolbar) 같은 추가 툴들로 보완하라.
>> 가능한 곳이면 어디든 소프트웨어 애드온이나 활성 컴포넌트가 로딩되지 못하게 막는 정책을 사용해 브라우저를 잠그라.
>> 가능한 허용 레벨을 가장 낮게 두고 웹 애플리케이션과 브라우저를 사용하라. 이상적으로는 계정에 권한을 주지 않거나 제한하는 게 좋다.
>> 디폴트값으로 자바스크립트 기능을 정지시킨 다음, “NoScript" 파이어폭스 익스텐션을 통해 이것을 통과할 필요가 있는 사이트만 화이트리스팅하라.
>> 조직 내에서 사용되고 있는 웹 브라우저용으로 나오는 보안 권고문들을 계속 주시하라.
>> 사용자에게 안전한 서핑 습관과 EV 인증서 인식 같은 유용한 기술에 대해 교육하라. SANS 인스티튜트의 보안 뉴스레터(SANS Ouch!)를 확인하고 엔드유저에게 그 정보를 제공하는 것을 게을리 하지 말라. 이 게시판은 피싱과 혹스(hoax) 경보를 제공하며, 매호마다 “이달의 보안 실패담”을 싣고 있다. 2월호 기사는 IRS에 의해 비공개 자료인 납세자 통계에 대한 정보가 들어 있는 26개의 컴퓨터 테이프가 분실된 사건을 다루었다. 가입은 www.sans.org/newsletters에서.
브라우저 동향 통계
2006년 12월, 포레스터에서는 2천100개 이상의 대기업에서 매월 5만 명 이상의 사용자가 브라우저와 데스크톱 환경을 사용하고 있다고 보고했다.
9.9 / 2006년 9월 파이어폭스를 사용하는 데스크톱 비율
88.8 / 9월에 IE를 채택한 엔터프라이즈 사용자 비율; 이들 가운데 2.4%만이 IE7을 사용하고 있다(이 수치는 올라갈 것으로 예상된다).
0.7% / 다음으로 인기 있는 사파리 브라우저를 사용하는 비율
