마이크로소프트의 베타 채널 릴리즈 노트에 따르면, 새로운 보안 기능에는 제로데이 취약점 공격에 대비하기 위한 몇 가지 기술이 적용됐다. 제로데이 취약점은 개발자가 인지하지 못해 패치하지 않은 소프트웨어 혹은 네트워크상의 취약점을 뜻한다.
집 뒷문의 열쇠 잠금장치가 고장 나서 문고리를 흔들면 문이 열린다고 가정해 보자. 도둑은 이런 취약점을 찾아 집마다 돌아다니며 문이 열릴 때까지 문고리를 흔들 수 있다. 제로데이 취약점 공격도 같은 개념이다. 다만 사이버 공간에서 발생할 뿐이다.
기업의 IT 시스템은 점점 더 새로운 바이러스와 사이버 공격, 무차별 대입 공격을 받고 있다. 기업 시스템에 침투하기 가장 좋은 방법은 알려졌으나 아직 패치되지 않은 취약점을 이용하는 것이다. 최종 사용자의 기기처럼 기업 방화벽 외부에 존재하는 취약점일수록 좋다. IT 컨설팅 업체 J.골드 어소시에이트(J. Gold Associates)의 수석 애널리스트 잭 골드는 “개발자와 보안 관리자가 무엇을 찾아야 하는지 모르기 때문에 포착하기 어렵다는 것이 제로데이 취약점 공격의 명백한 문제”라고 말했다.
해커는 제로데이 취약점을 찾아내 판매한다. 화이트 해커는 기업의 보안 개선을 위해 해당 기업에 판매하며, 블랙 해커는 다른 악의적인 행위자에게 판매한다. 예컨대 코로나19 팬데믹 초기에는 화상회의 플랫폼 줌(Zoom)에서 발견된 윈도우 PC용 취약점과 맥OS용 취약점이 암시장에서 50만 달러에 거래됐다.
마이크로소프트의 엣지에 새로운 보안 기능이 추가됨에 따라 IT 관리자는 최종 사용자의 기기(윈도우, 맥OS, 리눅스)에 대한 특정 그룹 정책을 제로데이 취약점을 보호하도록 구성할 수 있다. 이 기능을 활성화하면 HSP(Hardware-enforced Stack Protection)와 ACG(Arbitrary Code Guard), CFG(Content Flow Guard)가 추가돼 사용자의 온라인 활동을 보호한다. 해당 그룹 정책은 ‘EnhanceSecurityMode’, ‘EnhanceSecurityModeBypassListDomains’, ‘EnhanceSecurityModeEnforceListDomains’다.
사용자의 브라우징 활동을 보호하는 가장 안전한 방법은 기기의 다른 부분과 브라우저와의 상호작용을 막는 것이다. 골드는 “기본적으로 가장 안전한 방법은 모든 브라우저 코드가 컴퓨터의 가상 섹션에 잠겨 다른 곳으로 이동할 수 없도록 브라우저를 일종의 금고에 넣는 것이다. 봉쇄 정책인 셈이다. 마이크로소프트는 엣지의 새로운 보안 기능으로 브라우저의 어떠한 요소도 앱 너머로 상호작용하거나 운영체제를 수정할 수 없도록 하려는 것이다”라고 설명했다.
골드에 따르면, HSP와 ACG는 브라우저에서 기기로 연결될 수 있는 제로데이 취약점 공격을 방지하며 CFG는 워드에서 감염된 문서를 여는 것처럼 악성코드가 앱과 상호작용하며 앱을 장악하는 것을 방지한다.
골드는 “잘못된 웹사이트를 브라우징하면서 기기가 악성코드에 감염되는 경우가 많다. 이를 예방할 수 있는 것은 훌륭한 기능이기 때문에, 마이크로소프트의 이번 보안 기능은 의미가 크다”라고 말했다.
하지만 그룹 정책을 설정하는 것은 최종 사용자가 자신의 기기에서 정당하게 사용할 수 있는 다른 앱이나 일부 운영체제 기능에 액세스할 수 없다는 의미다. 일상적인 인터넷 브라우징은 괜찮을지 모르지만, 가장 큰 문제는 브라우저 기반의 앱이 실행되지 않을 수 있다. 예컨대 꼭 필요한 팝업 화면이 나타나지 않는다.
골드는 “따라서 다른 보안 기술과 마찬가지로 특정 기능이 종료된다는 단점이 있다. 하지만 사이버 공격자가 제로데이 취약점을 통해 기기에 침입해 네트워크에 접속할 경우 입을 수 있는 손상을 생각하면 약간의 불편함은 감수할 만하다. 엣지는 ‘격리 실행’을 이미 도입한 서드파티 브라우저를 따라잡고 있다”라고 말했다.
엣지 베타 버전에 업데이트된 또 다른 보안 기능은 사용자 지정 기본 암호다. 엣지에서는 이미 웹 양식에서 비밀번호가 자동 입력되기 전에 이중 인증을 거치고 있지만, 사용자 지정 기본 암호가 추가되는 것은 보호 계층이 하나 더 생긴다는 의미다. 저장된 암호에 다른 사용자가 접근하는 것도 방지할 수 있다. 기본 암호를 설정한 사용자는 이를 입력해 본인인증을 거치고, 브라우저에 저장된 비밀번호를 웹 양식에 자동으로 입력할 수 있다.
보안 이외의 개선사항도 있다. 마이크로소프트는 기본 검색 브라우저를 제거할 수 없는 문제를 해결하고, 주소 표시줄을 클릭하면 즉시 검색 제안이 표시되도록 조정하고, 엣지로 PDF 열람 시 웹 캡처 기능을 추가했다.
또한 마이크로소프트는 엣지의 스크롤바 디자인을 투명한 오버레이 형태로 바꿨다. ‘edge://flags’에서 ‘overlay scrollbars’를 검색해 활성화하면 엣지 브라우저의 스크롤 막대가 기본적으로 표시되지 않으며, 사용자가 창 가장자리로 마우스를 갖다 대면 스크롤 막대가 나타난다.
editor@itworld.co.kr