2008.12.15

크롬과 사파리, “패스워드 관리자 문제 있다”

Robert McMillan | IDG News Service

구글 크롬과 애플 사파리의 패스워드 관리 기능은 개선이 필요하다는 지적이 제기됐다.

 

채핀 인포메이션 서비스(Chapin Information Service)의 사장 로버트 채핀은 보고서를 통해 “사파리와 크롬은 주요 웹 브라우저 중에서 가장 나쁜 패스워드 관리자를 내장하고 있다”고 지적했다. 이번 보고서는 웹 브라우저가 사용자 이름과 패스워드 정보를 해커가 아니라 합법적인 웹 사이트에 안전하게 전송하는지 여부를 검사한 것이다.

 

채핀은 2년 전에도 파이어폭스에 내장된 범용적인 패스워드 관리자의 결함을 지적한 바 있다. 이 버그는 마이스페이스 사이트에서 해커가 가짜 로그인 페이지를 만들어 사용자 계정 정보를 훔치는 데 사용되기도 했다.

 

파이어폭스는 현재 패스워드 관리자 기능을 상당 부분 향상시킨 상태이지만, 아직 완벽한 상태는 아니라는 것이 채핀의 지적이다. 채핀은 “모든 패스워드 관리자를 100% 신뢰해도 되는가? 그렇지 않다”라고 강조했다.

 

현재 패스워드 관리자의 문제점은 다른 패스워드 인증서를 같은 웹 사이트의 다른 부분으로 보내도록 조작할 수 있다는 것이다. 이 방법이 바로 해커가 마이스페이스에서 이용한 것으로, 가짜 패스워드 입력 폼을 마이스페이스 페이지에 올리는 것이다. 가짜 로그인 폼과 진짜 로그인 폼 모두 마이스페이스 도메인에 있기 때문에 당시 파이어폭스 같은 브라우저는 로그인 정보를 사기꾼에게도 자동으로 전송하도록 조작할 수 있었다. 현재 파이어폭스는 버그를 수정했지만, 크롬이나 사파리는 여전히 유사한 공격에 취약한 상태이다.

 

또 하나의 문제점은 브라우저가 패스워드를 사용자에게 알리지도 않고 한 도메인에서 다른 도메인으로 전송할 수 있다는 것. 이는 브라우저 개발업체들이 패스워드를 요구하는 페이지를 기본적으로 신뢰할 수 있는 사이트로 가정하기 때문으로, 이로 인해 패스워드를 다른 도메인으로도 전송한다는 것이다.

 

채핀은 자신은 오페라의 패스워드 관리자를 사용하는데, 오페라는 특정 웹 페이지별로 패스워드를 저장하기 때문에 보안성이 더 높다는 것. 채핀은 일반 사용자가 패스워드 관리자의 보안성을 확인할 수 있는 온라인 테스트 페이지를 운영하고 있다.

 

웹 보안 컨설팅 업체인 SEcTheory의 CEO 로버트 한센은 보안 커뮤니티는 오래 전부터 브라우저의 패스워드 관리자가 안전하지 않다는 것을 알고 있었다고 전했다. 이는 기본적으로 브라우저 자체가 다양한 공격에 취약하기 때문이다. 한센은 “보안 관점에서 패스워드 관리자를 브라우저와 통합하는 것 자체가 그리 좋은 생각이 아니다”라며, “브라우저 자체는 패스워드 관리자 해킹을 가능케하는 대규모 취약점을 막을 수 있도록 설계된 것이 아니다. 이런 취약점이 없다면, 패스워드 관리자를 해킹하는 것은 쉽지 않다”고 설명했다.  bob_mcmillan@idg.com



2008.12.15

크롬과 사파리, “패스워드 관리자 문제 있다”

Robert McMillan | IDG News Service

구글 크롬과 애플 사파리의 패스워드 관리 기능은 개선이 필요하다는 지적이 제기됐다.

 

채핀 인포메이션 서비스(Chapin Information Service)의 사장 로버트 채핀은 보고서를 통해 “사파리와 크롬은 주요 웹 브라우저 중에서 가장 나쁜 패스워드 관리자를 내장하고 있다”고 지적했다. 이번 보고서는 웹 브라우저가 사용자 이름과 패스워드 정보를 해커가 아니라 합법적인 웹 사이트에 안전하게 전송하는지 여부를 검사한 것이다.

 

채핀은 2년 전에도 파이어폭스에 내장된 범용적인 패스워드 관리자의 결함을 지적한 바 있다. 이 버그는 마이스페이스 사이트에서 해커가 가짜 로그인 페이지를 만들어 사용자 계정 정보를 훔치는 데 사용되기도 했다.

 

파이어폭스는 현재 패스워드 관리자 기능을 상당 부분 향상시킨 상태이지만, 아직 완벽한 상태는 아니라는 것이 채핀의 지적이다. 채핀은 “모든 패스워드 관리자를 100% 신뢰해도 되는가? 그렇지 않다”라고 강조했다.

 

현재 패스워드 관리자의 문제점은 다른 패스워드 인증서를 같은 웹 사이트의 다른 부분으로 보내도록 조작할 수 있다는 것이다. 이 방법이 바로 해커가 마이스페이스에서 이용한 것으로, 가짜 패스워드 입력 폼을 마이스페이스 페이지에 올리는 것이다. 가짜 로그인 폼과 진짜 로그인 폼 모두 마이스페이스 도메인에 있기 때문에 당시 파이어폭스 같은 브라우저는 로그인 정보를 사기꾼에게도 자동으로 전송하도록 조작할 수 있었다. 현재 파이어폭스는 버그를 수정했지만, 크롬이나 사파리는 여전히 유사한 공격에 취약한 상태이다.

 

또 하나의 문제점은 브라우저가 패스워드를 사용자에게 알리지도 않고 한 도메인에서 다른 도메인으로 전송할 수 있다는 것. 이는 브라우저 개발업체들이 패스워드를 요구하는 페이지를 기본적으로 신뢰할 수 있는 사이트로 가정하기 때문으로, 이로 인해 패스워드를 다른 도메인으로도 전송한다는 것이다.

 

채핀은 자신은 오페라의 패스워드 관리자를 사용하는데, 오페라는 특정 웹 페이지별로 패스워드를 저장하기 때문에 보안성이 더 높다는 것. 채핀은 일반 사용자가 패스워드 관리자의 보안성을 확인할 수 있는 온라인 테스트 페이지를 운영하고 있다.

 

웹 보안 컨설팅 업체인 SEcTheory의 CEO 로버트 한센은 보안 커뮤니티는 오래 전부터 브라우저의 패스워드 관리자가 안전하지 않다는 것을 알고 있었다고 전했다. 이는 기본적으로 브라우저 자체가 다양한 공격에 취약하기 때문이다. 한센은 “보안 관점에서 패스워드 관리자를 브라우저와 통합하는 것 자체가 그리 좋은 생각이 아니다”라며, “브라우저 자체는 패스워드 관리자 해킹을 가능케하는 대규모 취약점을 막을 수 있도록 설계된 것이 아니다. 이런 취약점이 없다면, 패스워드 관리자를 해킹하는 것은 쉽지 않다”고 설명했다.  bob_mcmillan@idg.com



X