2019.08.12

'크로미움' 엣지의 보안 옵션 집중 해부

Susan Bradley | CSO
아직 윈도우 7을 사용 중이라면 눈여겨봐야 할 새로운 브라우저가 나타났다. 엣지(Edge)는 아니다. '일종의' 엣지 브라우저지만, 일반적으로 생각하는 그 엣지가 아니다.



마이크로소프트는 스파르탄(Spartan) 엔진 기반의 기존 엣지 브라우저를 버리고 크로미움(Chromium) 기반의 엣지 브라우저를 새로 만들고 있다. 윈도우 7은 물론 다른 운영체제에서도 쓸 수 있다. 운영체제에 통합된 것이 아니므로 설치와 삭제가 가능하다. 인터넷 익스플로러(IE) 레거시 모드도 지원한다. 현재의 구현 방식에서는 IE 레거시가 별도의 브라우저에서 열리는 반면, 엣지 크로미움에서는 IE가 브라우저에 직접 포함된다. 크롬의 IE 탭 확장 프로그램과 작동 방식이 유사하다.

새 엣지 브라우저의 특징 중 하나는 개인정보 보호 제어 기능이다. 브라우저 세션에서 이루어지는 사용자 동작을 외부에서 추적할 수 없다. 엣지 크로미움은 기업용 제어 기능(그룹 정책, 이동 장치 관리자(MDM), 인튠(Intune)) 등으로 크롬 브라우저와 차별화된다. 현재 베타 버전을 설치하면 그룹 정책 ADMX 베타를 엔터프라이즈 랜딩 페이지에서 다운로드해 어떤 제어 기능을 테스트 중인지 확인할 수 있다.

드라이브 바이 공격 차단하기
마이터(MITRE) 웹사이트에 따르면, 드라이브 바이 침해 공격(Drive-by compromise attacks)은 다음과 같은 방식으로 시스템에 피해를 준다.

- 해커가 통제하는 콘텐츠를 호스팅하기 위해 사용되는 웹사이트에 사용자가 방문한다.
- 스크립트가 자동으로 실행된다. 브라우저 버전을 검색하고 잠재적으로 취약한 버전에 대한 플러그인을 찾아 작업이 진행된다.
- 이 과정에서 스크립트나 활성 웹사이트를 설정하고 경고 대화상자는 무시해 달라는 도움 요청이 사용자에게 가기도 한다.
- 취약한 버전에 검색되면 악용 코드가 브라우저로 전달된다.
- 악용이 성공하면 사용자의 시스템에 악의적인 코드가 실행된다. 단, 다른 방어 시스템이 없는 경우에 한한다.
- 첫 검색 후에 웹사이트에 두 번째로 방문해야 악용 코드가 전달되는 경우도 있다.


새로운 엣지 크로미움 브라우저에 'DefaultJavaScriptSetting'이라는 정책을 실행하면 이러한 드라이브 바이 악용을 막을 수 있다. 웹사이트의 자바스크립트 실행 가능 여부를 설정하는 정책으로, 모든 사이트에 허용하거나 차단할 수 있다. 이 정책을 구성하지 않으면 기본적으로 모든 사이트에서 자바스크립트를 실행할 수 있고, 사용자는 이 설정을 바꿀 수 있다. 그룹 정책 설정에서 (궁극적으로는 MDM과 인튠에서도) '1'을 설정하면 모든 사이트에서 자바스크립트를 실행할 수 있고 '2'를 설정하면 어떠한 사이트에서도 자바스크립트가 실행되지 않는다. 마이터 웹 페이지의 설명처럼, 광고 차단기는 애초에 해당 코드의 실행을 막고 스크립트 차단 확장 프로그램은 악용 과정에 흔히 사용되는 자바스크립트 실행을 방지한다.

엣지 크로미움 확장 프로그램 관리
이 버전의 엣지는 확장 프로그램이 허용되므로 이를 관리하면 시스템을 보호할 수 있다. 새로운 엣지 브라우저에 포함된 'ExtensionInstallAllowlist'라는 설정을 통해 기업에서 허가한 확장 프로그램을 설정할 수 있다. 단, 허용된 확장 프로그램을 검토해 미리 허용 계획을 세워야 한다. 실제로 크롬 기반 확장 프로그램 전체 중에서 절반이 설치 건수가 16건도 안 된다. 브라우저 확장 프로그램 생태계의 대부분에서 심사와 테스트가 제대로 이루어지고 있지 않다는 의미다. 현재 가장 널리 사용되는 확장 프로그램은 다음과 같다.

- 구글 번역 : 웹 페이지 내용을 번역해 보여 준다.
- 어도비 아크로뱃 : 현재 웹 페이지를 어도비 PDF 파일로 변환한다.
- 탬퍼멍키(Tampermonkey) : 사이트에 기능을 추가하는 사용자 스크립트를 실행한다.
- 어베스트 온라인 시큐리티(Avast Online Security) : 어베스트 브라우저 보안 및 웹 평판 플러그인을 설치한다.
- 애드블록 플러스(Adblock Plus) : 동영상 및 SNS 광고를 차단한다.
- 애드블록유블록 오리진(uBlock Origin) : 웹 광고를 차단한다.
- 핀터레스트(Pinterest) 저장 버튼 : 웹을 돌아다니다가 나중에 다시 보고 싶은 아이디어가 있을 때 저장할 수 있다.
- 시스코 웹엑스(Cisco Webex) : 구글 크롬을 이용해 웹엑스 회의에 참석할 수 있다.
- 크롬용 그래멀리(Grammarly) : 의사소통을 위한 글쓰기 능력을 향상한다.

안타까운 것은 널리 사용되는 확장 프로그램 중 보안에 도움이 되는 애드-인이 없다는 것이다. 기업 환경에서 추천하는 보안 확장 프로그램은 다음과 같다.

- 라스트패스(LastPass) : 비밀번호를 관리한다.
- 고스터리(Ghostery) : 추적을 차단한다. 단, 앞으로 이 플러그인은 필요 없을 수도 있다. 엣지 크로미움에 ‘무제한,’ ‘중간,’ ‘제한’ 등 개인정보 보호 수준이 추가될 예정이기 때문이다. 마이크로소프트 엣지로 인터넷 서핑을 할 때 ‘무제한’은 웹사이트와 마이크로소프트의 데이터 수집을 정상적으로 허용하고 ‘중간’은 허용하는 데이터양이 적고 ‘제한’은 데이터 추적을 거의 허용하지 않는다.

새로운 엣지 브라우저에 대한 기업의 평가는 다소 시간이 지나야 알 수 있을 것이다. 현재 사용할 수 있는 것은 베타 버전이지만 안정성이 충분해 필자는 컴퓨터 중 한 대에서 기본 브라우저로 사용하고 있다. 기업 실무자라면 설치해 네트워크에 사용해 볼 것을 추천한다. 개발 채널 버전은 매우 안정적이고 사용하기 쉬웠다. 미리 익숙해지면 나중에 사내에 배치해야 할 때 더 수월하다. ciokr@idg.co.kr


2019.08.12

'크로미움' 엣지의 보안 옵션 집중 해부

Susan Bradley | CSO
아직 윈도우 7을 사용 중이라면 눈여겨봐야 할 새로운 브라우저가 나타났다. 엣지(Edge)는 아니다. '일종의' 엣지 브라우저지만, 일반적으로 생각하는 그 엣지가 아니다.



마이크로소프트는 스파르탄(Spartan) 엔진 기반의 기존 엣지 브라우저를 버리고 크로미움(Chromium) 기반의 엣지 브라우저를 새로 만들고 있다. 윈도우 7은 물론 다른 운영체제에서도 쓸 수 있다. 운영체제에 통합된 것이 아니므로 설치와 삭제가 가능하다. 인터넷 익스플로러(IE) 레거시 모드도 지원한다. 현재의 구현 방식에서는 IE 레거시가 별도의 브라우저에서 열리는 반면, 엣지 크로미움에서는 IE가 브라우저에 직접 포함된다. 크롬의 IE 탭 확장 프로그램과 작동 방식이 유사하다.

새 엣지 브라우저의 특징 중 하나는 개인정보 보호 제어 기능이다. 브라우저 세션에서 이루어지는 사용자 동작을 외부에서 추적할 수 없다. 엣지 크로미움은 기업용 제어 기능(그룹 정책, 이동 장치 관리자(MDM), 인튠(Intune)) 등으로 크롬 브라우저와 차별화된다. 현재 베타 버전을 설치하면 그룹 정책 ADMX 베타를 엔터프라이즈 랜딩 페이지에서 다운로드해 어떤 제어 기능을 테스트 중인지 확인할 수 있다.

드라이브 바이 공격 차단하기
마이터(MITRE) 웹사이트에 따르면, 드라이브 바이 침해 공격(Drive-by compromise attacks)은 다음과 같은 방식으로 시스템에 피해를 준다.

- 해커가 통제하는 콘텐츠를 호스팅하기 위해 사용되는 웹사이트에 사용자가 방문한다.
- 스크립트가 자동으로 실행된다. 브라우저 버전을 검색하고 잠재적으로 취약한 버전에 대한 플러그인을 찾아 작업이 진행된다.
- 이 과정에서 스크립트나 활성 웹사이트를 설정하고 경고 대화상자는 무시해 달라는 도움 요청이 사용자에게 가기도 한다.
- 취약한 버전에 검색되면 악용 코드가 브라우저로 전달된다.
- 악용이 성공하면 사용자의 시스템에 악의적인 코드가 실행된다. 단, 다른 방어 시스템이 없는 경우에 한한다.
- 첫 검색 후에 웹사이트에 두 번째로 방문해야 악용 코드가 전달되는 경우도 있다.


새로운 엣지 크로미움 브라우저에 'DefaultJavaScriptSetting'이라는 정책을 실행하면 이러한 드라이브 바이 악용을 막을 수 있다. 웹사이트의 자바스크립트 실행 가능 여부를 설정하는 정책으로, 모든 사이트에 허용하거나 차단할 수 있다. 이 정책을 구성하지 않으면 기본적으로 모든 사이트에서 자바스크립트를 실행할 수 있고, 사용자는 이 설정을 바꿀 수 있다. 그룹 정책 설정에서 (궁극적으로는 MDM과 인튠에서도) '1'을 설정하면 모든 사이트에서 자바스크립트를 실행할 수 있고 '2'를 설정하면 어떠한 사이트에서도 자바스크립트가 실행되지 않는다. 마이터 웹 페이지의 설명처럼, 광고 차단기는 애초에 해당 코드의 실행을 막고 스크립트 차단 확장 프로그램은 악용 과정에 흔히 사용되는 자바스크립트 실행을 방지한다.

엣지 크로미움 확장 프로그램 관리
이 버전의 엣지는 확장 프로그램이 허용되므로 이를 관리하면 시스템을 보호할 수 있다. 새로운 엣지 브라우저에 포함된 'ExtensionInstallAllowlist'라는 설정을 통해 기업에서 허가한 확장 프로그램을 설정할 수 있다. 단, 허용된 확장 프로그램을 검토해 미리 허용 계획을 세워야 한다. 실제로 크롬 기반 확장 프로그램 전체 중에서 절반이 설치 건수가 16건도 안 된다. 브라우저 확장 프로그램 생태계의 대부분에서 심사와 테스트가 제대로 이루어지고 있지 않다는 의미다. 현재 가장 널리 사용되는 확장 프로그램은 다음과 같다.

- 구글 번역 : 웹 페이지 내용을 번역해 보여 준다.
- 어도비 아크로뱃 : 현재 웹 페이지를 어도비 PDF 파일로 변환한다.
- 탬퍼멍키(Tampermonkey) : 사이트에 기능을 추가하는 사용자 스크립트를 실행한다.
- 어베스트 온라인 시큐리티(Avast Online Security) : 어베스트 브라우저 보안 및 웹 평판 플러그인을 설치한다.
- 애드블록 플러스(Adblock Plus) : 동영상 및 SNS 광고를 차단한다.
- 애드블록유블록 오리진(uBlock Origin) : 웹 광고를 차단한다.
- 핀터레스트(Pinterest) 저장 버튼 : 웹을 돌아다니다가 나중에 다시 보고 싶은 아이디어가 있을 때 저장할 수 있다.
- 시스코 웹엑스(Cisco Webex) : 구글 크롬을 이용해 웹엑스 회의에 참석할 수 있다.
- 크롬용 그래멀리(Grammarly) : 의사소통을 위한 글쓰기 능력을 향상한다.

안타까운 것은 널리 사용되는 확장 프로그램 중 보안에 도움이 되는 애드-인이 없다는 것이다. 기업 환경에서 추천하는 보안 확장 프로그램은 다음과 같다.

- 라스트패스(LastPass) : 비밀번호를 관리한다.
- 고스터리(Ghostery) : 추적을 차단한다. 단, 앞으로 이 플러그인은 필요 없을 수도 있다. 엣지 크로미움에 ‘무제한,’ ‘중간,’ ‘제한’ 등 개인정보 보호 수준이 추가될 예정이기 때문이다. 마이크로소프트 엣지로 인터넷 서핑을 할 때 ‘무제한’은 웹사이트와 마이크로소프트의 데이터 수집을 정상적으로 허용하고 ‘중간’은 허용하는 데이터양이 적고 ‘제한’은 데이터 추적을 거의 허용하지 않는다.

새로운 엣지 브라우저에 대한 기업의 평가는 다소 시간이 지나야 알 수 있을 것이다. 현재 사용할 수 있는 것은 베타 버전이지만 안정성이 충분해 필자는 컴퓨터 중 한 대에서 기본 브라우저로 사용하고 있다. 기업 실무자라면 설치해 네트워크에 사용해 볼 것을 추천한다. 개발 채널 버전은 매우 안정적이고 사용하기 쉬웠다. 미리 익숙해지면 나중에 사내에 배치해야 할 때 더 수월하다. ciokr@idg.co.kr


X