2019.11.13

“클라우드 시대의 운영체제” 기업 IT 관리자를 위한 웹 브라우저 보안 가이드

Susan Bradley | CSO
브라우저. 이들 없이는 인터넷을 사용할 수 없지만, 컴퓨팅 환경에 위험하고 안정적이지 못한 것을 들이게 되는 통로이기도 하다. 브라우저는 클라우드 컴퓨팅의 운영체제라고도 할 수 있어 브라우저를 보호하는 것이 점점 더 중요해지고 있다.
 
ⓒ Getty Images Bank

바로 지난주 구글은 크롬의 제로데이 취약점을 수정한 패치를 배포했다. 카스퍼스키는 블로그를 통해 “이 공격은 한국어 기반의 뉴스 포털을 통해 워터홀(waterhole) 스타일의 침투 공격을 한다. 악성 자바스크립트 코드가 메인 페이지에 삽입하는데, 해당 코드는 방문자의 프로파일링 스크립트를 원격 사이트에서 로딩한다”고 설명했다. 해당 공격은 특정 브라우저 버전과 운영체제를 대상으로 하고 있다. 다른 많은 공격들과 마찬가지로 목적은 해당 컴퓨터에 잔존하는 것인데, 이번 경우는 이 악성코드가 윈도우 작업 스케쥴러에 설치된다.

새로운 엣지 기반의 새로운 마이크로소프트 브라우저나 지금의 크롬 브라우저 모두 계속해서 제로데이 취약점을 악용한 공격의 대상이 되고 있다. 기업에서는 사용자들의 브라우저 환경을 검토하고 점점 증가하는 위협을 감소하기 위한 조처가 필요한지 확인할 필요가 있다. 아주 민감한 장비에 대해서는 브라우저 사용을 금하는 극단적인 조처가 필요할 수도 있다.

브라우저의 자바스크립트 실행을 비활성화하거나 플러그인과 브라우저 스캐닝 툴을 이용하는 것도 도움이 될 수 있다.
 

브라우저의 자바스크립트 실행 비활성화하기

크롬에서 자바스크립트를 비활성화하려면 메뉴(오른쪽의 점 3개 아이콘) > 설정 > 고급 > 개인정보 및 보안 > 사이트 설정으로 이동한다. 권한 항목 중 ‘자바스크립트’를 찾아 클릭하고 ‘허용’ 토글을 비활성화한다. 

상당히 많은 웹사이트에서 자바스크립트를 사용하기 때문에 이 조처가 너무 극단적이라고 생각할 수도 있다. 반드시 자바스크립트를 사용해야 하는 웹사이트에서만 자바스크립트를 실행하도록 허용하는 것이 더 현명할 수도 있다. 같은 페이지에서 ‘허용’ 항목에서 ‘추가’ 버튼을 클릭하고 필요한 웹사이트 URL을 입력한다. 
 
ⓒ ITWorld


자바스크립트를 사전에 스캔하는 브라우저 확장기능인 스마트 스크린(Smart Screen) 기술을 사용할 수도 있다. 
 
ⓒ SUSAN BRADLEY

이 확장 프로그램은 사용자가 의심스러운 사이트를 보고할 수도 있도록 한다.
 
ⓒ SUSAN BRADLEY


브라우저 패치 및 최신 상태로 유지하기

최신 버전의 크롬은 사이트 격리 기능을 지원하기 때문에 반드시 모든 디바이스에 설치된 브라우저를 최신 상태로 유지하고 패치함으로써 취약점 수정뿐만 아니라 최신 보안 기술도 이용하는 것이 좋다. 마이크로소프트조차 크롬 마차에 올라타 크롬 엔진 기반의 새로운 엣지 브라우저를 내놓았다. 마이크로소프트는 최근 이그나이트 컨퍼런스에서 이 브라우저의 새로운 로고를 공개하고 엣지라는 이름의 사면초가에 몰린 브라우저를 ‘재부팅’할 계획을 공개했다. 

마이크로소프트는 새로운 엣지가 기업 사용자의 평가를 받을 준비가 되었으며 관리자들의 테스트를 촉구했다. 새로운 브라우저에는 그룹 정책(Group Policy) 템플릿이 있는데, 이는 구형 엣지의 그룹 정책 설정과 별도로 존재한다. 다음과 같은 여러 설정을 제어할 수 있다.

• 캐스트
• 콘텐츠 설정
• 기본 검색 엔진
• 확장 프로그램
• HTTP 인증
• 네이티브 메신저
• 암호 관리 및 보호
• 인쇄
• 프록시 서버
• 스마트스크린 설정

업데이트를 위해서 관리자는 애플리케이션과 환경 설정을 통제할 수 있고 그룹 정책 설정으로 프록시 서버를 설정할 수도 있다. 엣지는 운영체제와 별도로 업데이트할 수 있어서 관리자가 좀 더 유연하게 관리할 수 있다.

기업 내부의 웹사이트를 이용하는 데 인터넷 익스플로러 엔터프라이즈 모드를 여전히 사용 중이라면, 이제 크롬 기반의 엣지로 넘어갈 시점이다. 브라우저를 운영체제만큼이나 보호하고 방어해야 할 플랫폼으로 생각하고 접근해야 한다. editor@itworld.co.kr
 


2019.11.13

“클라우드 시대의 운영체제” 기업 IT 관리자를 위한 웹 브라우저 보안 가이드

Susan Bradley | CSO
브라우저. 이들 없이는 인터넷을 사용할 수 없지만, 컴퓨팅 환경에 위험하고 안정적이지 못한 것을 들이게 되는 통로이기도 하다. 브라우저는 클라우드 컴퓨팅의 운영체제라고도 할 수 있어 브라우저를 보호하는 것이 점점 더 중요해지고 있다.
 
ⓒ Getty Images Bank

바로 지난주 구글은 크롬의 제로데이 취약점을 수정한 패치를 배포했다. 카스퍼스키는 블로그를 통해 “이 공격은 한국어 기반의 뉴스 포털을 통해 워터홀(waterhole) 스타일의 침투 공격을 한다. 악성 자바스크립트 코드가 메인 페이지에 삽입하는데, 해당 코드는 방문자의 프로파일링 스크립트를 원격 사이트에서 로딩한다”고 설명했다. 해당 공격은 특정 브라우저 버전과 운영체제를 대상으로 하고 있다. 다른 많은 공격들과 마찬가지로 목적은 해당 컴퓨터에 잔존하는 것인데, 이번 경우는 이 악성코드가 윈도우 작업 스케쥴러에 설치된다.

새로운 엣지 기반의 새로운 마이크로소프트 브라우저나 지금의 크롬 브라우저 모두 계속해서 제로데이 취약점을 악용한 공격의 대상이 되고 있다. 기업에서는 사용자들의 브라우저 환경을 검토하고 점점 증가하는 위협을 감소하기 위한 조처가 필요한지 확인할 필요가 있다. 아주 민감한 장비에 대해서는 브라우저 사용을 금하는 극단적인 조처가 필요할 수도 있다.

브라우저의 자바스크립트 실행을 비활성화하거나 플러그인과 브라우저 스캐닝 툴을 이용하는 것도 도움이 될 수 있다.
 

브라우저의 자바스크립트 실행 비활성화하기

크롬에서 자바스크립트를 비활성화하려면 메뉴(오른쪽의 점 3개 아이콘) > 설정 > 고급 > 개인정보 및 보안 > 사이트 설정으로 이동한다. 권한 항목 중 ‘자바스크립트’를 찾아 클릭하고 ‘허용’ 토글을 비활성화한다. 

상당히 많은 웹사이트에서 자바스크립트를 사용하기 때문에 이 조처가 너무 극단적이라고 생각할 수도 있다. 반드시 자바스크립트를 사용해야 하는 웹사이트에서만 자바스크립트를 실행하도록 허용하는 것이 더 현명할 수도 있다. 같은 페이지에서 ‘허용’ 항목에서 ‘추가’ 버튼을 클릭하고 필요한 웹사이트 URL을 입력한다. 
 
ⓒ ITWorld


자바스크립트를 사전에 스캔하는 브라우저 확장기능인 스마트 스크린(Smart Screen) 기술을 사용할 수도 있다. 
 
ⓒ SUSAN BRADLEY

이 확장 프로그램은 사용자가 의심스러운 사이트를 보고할 수도 있도록 한다.
 
ⓒ SUSAN BRADLEY


브라우저 패치 및 최신 상태로 유지하기

최신 버전의 크롬은 사이트 격리 기능을 지원하기 때문에 반드시 모든 디바이스에 설치된 브라우저를 최신 상태로 유지하고 패치함으로써 취약점 수정뿐만 아니라 최신 보안 기술도 이용하는 것이 좋다. 마이크로소프트조차 크롬 마차에 올라타 크롬 엔진 기반의 새로운 엣지 브라우저를 내놓았다. 마이크로소프트는 최근 이그나이트 컨퍼런스에서 이 브라우저의 새로운 로고를 공개하고 엣지라는 이름의 사면초가에 몰린 브라우저를 ‘재부팅’할 계획을 공개했다. 

마이크로소프트는 새로운 엣지가 기업 사용자의 평가를 받을 준비가 되었으며 관리자들의 테스트를 촉구했다. 새로운 브라우저에는 그룹 정책(Group Policy) 템플릿이 있는데, 이는 구형 엣지의 그룹 정책 설정과 별도로 존재한다. 다음과 같은 여러 설정을 제어할 수 있다.

• 캐스트
• 콘텐츠 설정
• 기본 검색 엔진
• 확장 프로그램
• HTTP 인증
• 네이티브 메신저
• 암호 관리 및 보호
• 인쇄
• 프록시 서버
• 스마트스크린 설정

업데이트를 위해서 관리자는 애플리케이션과 환경 설정을 통제할 수 있고 그룹 정책 설정으로 프록시 서버를 설정할 수도 있다. 엣지는 운영체제와 별도로 업데이트할 수 있어서 관리자가 좀 더 유연하게 관리할 수 있다.

기업 내부의 웹사이트를 이용하는 데 인터넷 익스플로러 엔터프라이즈 모드를 여전히 사용 중이라면, 이제 크롬 기반의 엣지로 넘어갈 시점이다. 브라우저를 운영체제만큼이나 보호하고 방어해야 할 플랫폼으로 생각하고 접근해야 한다. editor@itworld.co.kr
 


X