5대 웹 브라우저 보안 기능 집중 분석
웹이 악성 프로그램들로 넘쳐나고 있다. 그리고 브라우저를 통해 하드웨어로 숨어드는 악성 프로그램의 수 또한 전에 없던 속도로 증가하고 있다.
문제의 핵심은 ‘브라우저의 선택이 하드웨어의 감염 여부에 영향을 미치는가?’하는 것이다. 단순하게 보면 그 어떤 브라우저보다도 많은 악성 프로그램의 타깃이 되고 있는 인터넷 익스플로러의 사용을 피하는 것이 맞을 것이다.
일리 있는 말이지만 그 정도로 안심할 수는 없다. 이에 가장 많이 사용되고 있는 5가지 브라우저, 인터넷 익스플로러, 파이어폭스, 오페라, 사파리, 크롬의 보안 기능을 자세히 점검해 봤다.
웹에서 가장 많이 감염된 사이트들을 열자 제어, 체크박스, 슬라이더 창들이 모두 나타났다. 결국 어떤 브라우저를 선택하느냐보다는 사용자들의 현명한 행위와 지속적인 보안패치 업데이트가 보안에 더욱 영향을 미침을 알 수 있었다.
가장 악질적인 악성 프로그램들은 공범자를 필요로 한다. 그리고 여기서 말하는 공범자란 바로 일반 사용자들이다. 대부분의 사용자들은 잘 알려지지 않은 웹사이트를 방문해 어떤 프로그램을 다운로드할 것이냐는 질문을 받을 경우, 정답은 ‘No’라는 것을 알고 있다고 생각하기 쉽다. 그러나 세상에는 순진한 사람들이 한없이 많은 것 같다. 아이러니하게도 악성 프로그램의 상당수는 최종 사용자가 미끼를 물거나 가짜 안티바이러스 스캠(즉, ‘당신은 바이러스에 감염됐습니다. 다음의 안티바이러스 프로그램을 다운로드 하십시오.’)에 속아 넘어갈 때 감염된다. 그 어떤 브라우저도 이러한 어리석은 행동으로부터 보호받을 수는 없다.
희소식은 이 같은 실수를 저지르지 않고 보안 패치들을 지속적으로 업데이트하는 영리한 사용자들은 두려워할 것이 거의 없다는 사실이다. PC월드는 100개 이상의 해롭기로 유명한 웹사이트들을 대상으로 보안 기능을 실험해 봤다. 그 결과, 모든 브라우저들은 해로운 웹사이트에 접근했을 때 브라우저를 잠그고 필요 시에는 시스템을 중단하고 재부팅하도록 해 자기도 모르는 새에 악성 프로그램에 감염되는 일은 없도록 하고 있음을 확인할 수 있었다.
명심해야 할 점은 악성 프로그램과의 전쟁을 치루고 있는 것이 비단 브라우저만이 아니라는 점이다. 웹 기반의 악성 프로그램은 브라우저를 통해 운영체제와 플래시, 자바, 퀵타임 등의 브라우저 플러그인도 감염시킬 수 있다. 따라서 브라우저뿐만 아니라 이들 역시 철저하게 보안패치가 업데이트되어야 한다.
또 다른 희소식은 웹이 스스로 업데이트를 한다는 점이다. 이번에 점검한 5개 브라우저들을 비롯해 오늘날 시중에 나와 있는 유명 소프트웨어들은 대부분 자동 업데이트 기능이 제공되고 있다.
5개 브라우저의 장단점 비교
브라우저들은 개인정보 보호 기능은 물론, 최종 사용자들이 악성 프로그램에 감염되는 일이 없도록 많은 보안 기능을 갖고 있다.
이들 5개의 브라우저들은 팝업 차단, 안티 피싱 필터링, 패스워드 보안 기능을 갖고 있으며, 오페라를 제외하고는 모두 사용자의 온라인 이동 경로를 추적하는데 사용될 수 있는 그 어떤 기록, 다시 말해 브라우징, 즐겨찾기, 임시 인터넷 파일 등도 저장되지 않도록 하는 프라이빗 브라우징(private session browsing) 모드도 지원한다.
그러나 최종 사용자로 하여금 웹사이트의 신뢰도에 따라 보안 수준을 조절할 수 있도록 하는 보안영역 기능(configurable security zones)을 지원하는 브라우저는 인터넷 익스플로러와 파이어폭스 단 둘뿐이었다.
예를 들어, 최종 사용자는 정보가 없고 수상쩍어 보이는 웹사이트의 경우 브라우저가 가장 강력한 보안 조치들, 다시 말해 악성 프로그램 배포에 이용되곤 하는 자바스크립트 기능을 무려화하는 등의 조치를 시행할 수 있도록 보안 영역(zone)을 설정할 수 있다. 또한, 파이어폭스와 인터넷 익스플로러에서는 사파리, 오페라, 크롬 등과 달리 애드온(add-on)을 사용하지 않도록 하는 것도 가능하다.
이들 브라우저 보안 기능들은 최종 사용자의 안전을 수호하는데 중요한 역할을 한다. 하지만 각 브라우저별로 보안 기능은 상당한 차이를 보인다. 일부는 특정 보안 기능들을 갖고 있지만, 나머지는 그렇지 못하다. 또한, 단순히 다른 브라우저에 비해 보안 기능이 우수한 브라우저도 있다. 따라서 5개 브라우저의 특성을 각각 비교해 보기로 한다.
마이크로소프트 Internet Explorer 8 beta 2
장점 : 익스플로러는 1,300개 이상의 보안 제어 기능을 갖고 있는 가장 강력한 브라우저로, 2위인 파이어폭스(150개)와의 격차가 상당하다. 익스플로러는 쉽게 확장 가능한 5개의 보안 영역(security zone)을 갖고 있으며, 자바스크립트와 애드온을 사용하지 않도록 할 수 있다. 게다가, 보호자 제어(parental control) 기능을 제공하는 유일한 브라우저이다.
단점 : 높은 인기로 인해 해커들의 주요 타깃이 되고 있다. 게다가 익스플로러 만의 액티브X는 악성 프로그램이 컴퓨터에 감염되는 경로가 되기도 해 여타 브라우저들에게는 없는 보안 위험이 있다.
결론 : 월등한 보안 제어 기능을 갖고 있는 것은 사실이나 세상에서 해커들의 공격을 가장 많이 받는 브라우저라는 사실 역시 감안해야 한다.
모질라 파이어폭스 3.12
장점 : 악성 프로그램 차단 기능으로 높은 평가를 받고 있다. 보안 영역을 갖고 있으며, 사용자로 하여금 손쉽게 애드온과 자바스크립트를 사용하지 않도록 하는 내장 애드온 관리자를 갖고 있다
.
단점 : 보안 영역을 설정하는 것이 쉽지 않다.
결론 : PC 사용자들에게 훌륭한 브라우저 선택이다. 다단계 보안 및 제어 선택에 관해서는 익스플로러에 이어 두 번째로 우수한 브라우저이다.
애플 사파리 3.2.1
장점 : 가장 정확한 안티피싱 필터링 기능을 자랑하며, 파일을 다운로드하기에 앞서 항상 사용자에게 확인해 준다. 크롬과 마찬가지로 원치 않는 즐겨찾기를 차단하는 기능이 우수하다.
단점 : 보안 영역 및 애드온 제한 기능이 없다.
결론 : 우수한 디자인의 브라우저이지만 보안 측면에서는 다소 부족한 감이 있다. 그럼에도 불구하고, 보안 패치를 철저히 업데이트한다면, 그리고 보안패치가 철저하게 업데이트된 시스템에서 구동된다면 안전한 환경이 될 수 있다.
오페라 9.63
장점 : 광범위한 보안 제어 기능과 함께 우수한 ‘서비스 거부’ 공격 제어 기능을 갖고 있다.
단점 : 보안 영역, 애드온 제한, 프라이빗 브라우징 모드 기능을 제공하지 않는다. 게다가, 주요 윈도우의 보안 특성을 지원하지 않아 버퍼 오버플로(buffer overflow) 공격 위험에 상대적으로 많이 노출될 수 있다.
결론 : 우수한 브라우저이지만 아직까지는 지속적인 악성 프로그램의 공격에 노출된 적이 없다. 윈도우의 DEP(Data Execution Prevention)와 ALSR(Address Layout Space Randomization)을 지원하게 되기 전까지는 크게 추천하고 싶지 않다.
구글 크롬 1.0
장점 : 자바스크립트가 가상 머신 내에서 구동되기 때문에 악성 프로그램을 어느 정도 차단할 수 있다는 장점이 있다. 또한, 원치 않는 즐겨찾기를 차단하는 기능이 우수하다.
단점 : 자바스크립트를 무력화시킬 수 없다. 자바스크립트가 일부 가장 유해한 웹 악성 프로그램 감염에 관련되어 있다는 사실을 감안할 때, 이는 큰 문제라고 할 수 있다. 게다가, 패스워드 입력 시 패스워드가 그대로 드러나 지나가는 사람들에게 노출될 염려가 있으며, 상대적으로 단순한 버퍼 오버플로 문제에도 이상을 겪어왔다.
결론 : 지향하는 보안 모델은 훌륭하지만, 구글이 브라우저용으로 선택한 보안 모델은 실수였음이 드러났다. 더욱 큰 문제는 크롬에서 발견된 취약점들은 구글이라면 손쉽게 피했어야 할 간단하고 보편적인 것들이었다는 점이다. tom_kaneshige@infoworld.com