2021.10.21

‘제2의 운영체제’ 브라우저 보안 강화하는 신기능 가이드

Susan Bradley | CSO
클라우드 컴퓨팅 사용이 활발해지면서 사용자의 브라우저가 운영체제 역할을 하고 있다. 기업 사용자는 운영체제 업데이트가 배포됐을 때 부작용 여부를 확인하기 위해 패치를 미루곤 한다. 하지만 이렇게 하면 위험하다. 예를 들면 최근 구글이 크롬 제로데이 공격 2건을 감지했는데, 엣지 브라우저는 크롬과 마찬가지로 크로니움 기반으로 작동하기 때문에 크롬이 제로데이 공격을 받으면 엣지 브라우저에도 영향이 있음을 염두에 둬야 한다.
 
ⓒ Getty Images Bank


엣지의 새로운 업데이트 옵션

현업 애플리케이션에 미칠 부작용을 우려하며 브라우저 업데이트를 미루고 있다면, 보안 문제를 해결하는 또 다른 방법이 있다. 마이크로소프트는 엣지 94부터 업데이트 배포 채널을 다양화했다. 지난 3월에는 엣지 브라우저 개발 주기를 4주로 단축했다. 4주마다 한 번씩 새로운 기능이 추가되는 것이다.

마이크로소프트는 엣지 업데이트 주기를 8주로 늦출 수 있는 옵션도 지원한다. ‘안정(Stable)’ 채널을 선택하면 브라우저 업데이트가 4주마다, ‘확장된 안정(Extened Stable)’ 채널을 이용하면 8주마다 설치된다. 베타 채널은 4주마다 업데이트되며, 그 외에 데브(Dev)와 카나리아(Canary) 채널도 있지만 공식적으로 지원하지는 않고 테스트 플랫폼에서만 사용된다.

엣지 브라우저의 그룹 정책에서 브라우저 패치 주기를 선택해 ‘확장된 안정’ 옵션을 사용할 수 있다. 마이크로소프트 엣지 그룹 정책 편집기(gpedit.msc)를 설치한 뒤, ‘그룹 정책 편집기 → 컴퓨터 환경 설정 → 정책 편집기 → 마이크로소프트 엣지 업데이트 → 애플리케이션 → 마이크로소프트 엣지’ 경로로 가서 ‘대상 채널 재정의(Target Channel override)’를 선택해 보자. 활성화 버튼을 누르면 옵션 하단의 정책 리스트에서 ‘확장된 안정’을 선택할 수 있다. 일반적인 업데이트 배포 주기를 늦춰 데스크톱의 안정성을 확보할 필요가 있을 때 사용하는 것을 추천한다. 


엣지의 ‘엄청나게 강력한 보안 모드’

엣지 브라우저는 ‘엄청나게 강력한 보안 모드(Super Duper Secure Mode)’라는 새로운 기능을 테스트하고 있다. V8 처리 파이프라인에서 JIT(just-in-time) 컴파일을 제거해 공격 지점을 줄이는 것이다. 이 기능을 활성화하려면 베타 채널을 이용해야 한다. 엣지 인사이더 채널에서 베타 채널을 다운로드한 다음, edge://flags/#edge-enable-super-duper-secure-mode 경로에서 이 기능을 제어할 수 있다. 활성화한 다음에는 브라우저를 재시작해야 한다. 


크롬의 ‘향상된 보호 모드’

크롬은 ‘향상된 보호 모드(Enhanced Safe Browsing mode)’라는 새로운 보안 기능을 발표했다. 크롬 브라우저 설정에서 ‘개인정보 및 보안 → 보안’ 항목으로 접속하면 '세이프 브라우징' 하단에 있는 '향상된 보호 모드'를 선택할 수 있다. 

향상된 보호 모드 하에서는 URL과 페이지, 다운로드 항목, 확장 프로그램 활동, 시스템 정보 표본을 전송해 새로운 보안 위협을 탐지한다. 사용자가 다른 구글 앱에 로그인하면 그 데이터를 구글 계정과 일시적으로 연결해 해당 앱에서도 사용자를 보호한다. 즉, 향상된 보호 모드를 사용하면 사용자의 브라우저 활동을 더욱 상세하게 추적할 수 있다. 


브라우저 보안 관리 규정

구글 크롬용 윈도우 보안 기술 시행 가이드(Security Technical Implementation Guide, STIG)도 살펴봐야 한다. 이 가이드는 미국 국방부의 정보 시스템 보안을 강화할 목적으로 지난 7월 업데이트됐다. 요구 사항은 미국표준기술연구소 가이드 800-53 및 관련 문서에서 파생됐다. 또 브라우저가 TLS 규격만 준수하는지도 중요하다.

이런 규정을 설정하는 방법이 있다. 크롬 주소 입력창에 ‘chrome://policy’를 입력해 ‘SSLVersionMin’ 설정이 ‘tls 1.2’인지 확인하면 된다. 정책을 레지스트리로 관리하고 싶다면 ‘레지스트리 편집기(regedit) 시작하기’ 버튼을 누르고 ‘HKLM\Software\Policies\Google\Chrome\’경로로 들어가 ‘SSLVersionMin’ 값이 존재하거나, 데이터 값이 ‘tls1.2’인지 확인해보자. 해당 레지스트리 값이 없다면, 그 컴퓨터는 보안 검사를 통과할 수 없다. STIG가 해당 컴퓨터를 보안 취약점으로 인식하기 때문이다.

윈도우 그룹 정책에서도 보안 규정을 관리할 수 있다. 그룹 정책 편집기를 열고 ‘정책 방향(Policy Path) : 컴퓨터 환경 설정 → 정책 편집기 → 구글 → 구글 크롬’ 경로로 들어가 ‘Policy Name: Minimum SSL version enabled’를 ‘Policy State: Enabled’로 변경하고, 정책 값을 ‘TLS 1.2’로 설정하면 된다. 
 
엣지 브라우저를 위한 STIG도 있다. 크롬과 마찬가지로, ‘Computer Configuration/Administrative Templates/Microsoft Edge/Minimum TLS version enabled’ 정책 값을 ‘TLS 1.2’로 변경하면 된다. 물론 파이어폭스용 보안 준수 사항도 있다. 

운영체제에 설치된 모든 브라우저의 보안을 위해서, 설치된 확장 프로그램의 종류와 해당 프로그램을 제한하거나 차단할 필요가 있는지 검토해야 한다. 가끔은 설치 프로그램을 제한/차단해 선도적으로 위험을 예방하는 것이 브라우저 보안을 지키는 현명한 방법이다.

미국 CISA(Cybersecurity Intrastructure Security Agency)는 메일 첨부파일을 열거나 P2P 파일을 공유할 때, 온라인 메신저를 사용할 때 항상 조심하도록 사용자를 교육하는 것이 중요하다고 조언했다. 사용자가 무엇을 보고, 클릭하는지 스스로 인식해야 장기적으로 시스템을 안전하게 지킬 수 있다. editor@itworld.co.kr


2021.10.21

‘제2의 운영체제’ 브라우저 보안 강화하는 신기능 가이드

Susan Bradley | CSO
클라우드 컴퓨팅 사용이 활발해지면서 사용자의 브라우저가 운영체제 역할을 하고 있다. 기업 사용자는 운영체제 업데이트가 배포됐을 때 부작용 여부를 확인하기 위해 패치를 미루곤 한다. 하지만 이렇게 하면 위험하다. 예를 들면 최근 구글이 크롬 제로데이 공격 2건을 감지했는데, 엣지 브라우저는 크롬과 마찬가지로 크로니움 기반으로 작동하기 때문에 크롬이 제로데이 공격을 받으면 엣지 브라우저에도 영향이 있음을 염두에 둬야 한다.
 
ⓒ Getty Images Bank


엣지의 새로운 업데이트 옵션

현업 애플리케이션에 미칠 부작용을 우려하며 브라우저 업데이트를 미루고 있다면, 보안 문제를 해결하는 또 다른 방법이 있다. 마이크로소프트는 엣지 94부터 업데이트 배포 채널을 다양화했다. 지난 3월에는 엣지 브라우저 개발 주기를 4주로 단축했다. 4주마다 한 번씩 새로운 기능이 추가되는 것이다.

마이크로소프트는 엣지 업데이트 주기를 8주로 늦출 수 있는 옵션도 지원한다. ‘안정(Stable)’ 채널을 선택하면 브라우저 업데이트가 4주마다, ‘확장된 안정(Extened Stable)’ 채널을 이용하면 8주마다 설치된다. 베타 채널은 4주마다 업데이트되며, 그 외에 데브(Dev)와 카나리아(Canary) 채널도 있지만 공식적으로 지원하지는 않고 테스트 플랫폼에서만 사용된다.

엣지 브라우저의 그룹 정책에서 브라우저 패치 주기를 선택해 ‘확장된 안정’ 옵션을 사용할 수 있다. 마이크로소프트 엣지 그룹 정책 편집기(gpedit.msc)를 설치한 뒤, ‘그룹 정책 편집기 → 컴퓨터 환경 설정 → 정책 편집기 → 마이크로소프트 엣지 업데이트 → 애플리케이션 → 마이크로소프트 엣지’ 경로로 가서 ‘대상 채널 재정의(Target Channel override)’를 선택해 보자. 활성화 버튼을 누르면 옵션 하단의 정책 리스트에서 ‘확장된 안정’을 선택할 수 있다. 일반적인 업데이트 배포 주기를 늦춰 데스크톱의 안정성을 확보할 필요가 있을 때 사용하는 것을 추천한다. 


엣지의 ‘엄청나게 강력한 보안 모드’

엣지 브라우저는 ‘엄청나게 강력한 보안 모드(Super Duper Secure Mode)’라는 새로운 기능을 테스트하고 있다. V8 처리 파이프라인에서 JIT(just-in-time) 컴파일을 제거해 공격 지점을 줄이는 것이다. 이 기능을 활성화하려면 베타 채널을 이용해야 한다. 엣지 인사이더 채널에서 베타 채널을 다운로드한 다음, edge://flags/#edge-enable-super-duper-secure-mode 경로에서 이 기능을 제어할 수 있다. 활성화한 다음에는 브라우저를 재시작해야 한다. 


크롬의 ‘향상된 보호 모드’

크롬은 ‘향상된 보호 모드(Enhanced Safe Browsing mode)’라는 새로운 보안 기능을 발표했다. 크롬 브라우저 설정에서 ‘개인정보 및 보안 → 보안’ 항목으로 접속하면 '세이프 브라우징' 하단에 있는 '향상된 보호 모드'를 선택할 수 있다. 

향상된 보호 모드 하에서는 URL과 페이지, 다운로드 항목, 확장 프로그램 활동, 시스템 정보 표본을 전송해 새로운 보안 위협을 탐지한다. 사용자가 다른 구글 앱에 로그인하면 그 데이터를 구글 계정과 일시적으로 연결해 해당 앱에서도 사용자를 보호한다. 즉, 향상된 보호 모드를 사용하면 사용자의 브라우저 활동을 더욱 상세하게 추적할 수 있다. 


브라우저 보안 관리 규정

구글 크롬용 윈도우 보안 기술 시행 가이드(Security Technical Implementation Guide, STIG)도 살펴봐야 한다. 이 가이드는 미국 국방부의 정보 시스템 보안을 강화할 목적으로 지난 7월 업데이트됐다. 요구 사항은 미국표준기술연구소 가이드 800-53 및 관련 문서에서 파생됐다. 또 브라우저가 TLS 규격만 준수하는지도 중요하다.

이런 규정을 설정하는 방법이 있다. 크롬 주소 입력창에 ‘chrome://policy’를 입력해 ‘SSLVersionMin’ 설정이 ‘tls 1.2’인지 확인하면 된다. 정책을 레지스트리로 관리하고 싶다면 ‘레지스트리 편집기(regedit) 시작하기’ 버튼을 누르고 ‘HKLM\Software\Policies\Google\Chrome\’경로로 들어가 ‘SSLVersionMin’ 값이 존재하거나, 데이터 값이 ‘tls1.2’인지 확인해보자. 해당 레지스트리 값이 없다면, 그 컴퓨터는 보안 검사를 통과할 수 없다. STIG가 해당 컴퓨터를 보안 취약점으로 인식하기 때문이다.

윈도우 그룹 정책에서도 보안 규정을 관리할 수 있다. 그룹 정책 편집기를 열고 ‘정책 방향(Policy Path) : 컴퓨터 환경 설정 → 정책 편집기 → 구글 → 구글 크롬’ 경로로 들어가 ‘Policy Name: Minimum SSL version enabled’를 ‘Policy State: Enabled’로 변경하고, 정책 값을 ‘TLS 1.2’로 설정하면 된다. 
 
엣지 브라우저를 위한 STIG도 있다. 크롬과 마찬가지로, ‘Computer Configuration/Administrative Templates/Microsoft Edge/Minimum TLS version enabled’ 정책 값을 ‘TLS 1.2’로 변경하면 된다. 물론 파이어폭스용 보안 준수 사항도 있다. 

운영체제에 설치된 모든 브라우저의 보안을 위해서, 설치된 확장 프로그램의 종류와 해당 프로그램을 제한하거나 차단할 필요가 있는지 검토해야 한다. 가끔은 설치 프로그램을 제한/차단해 선도적으로 위험을 예방하는 것이 브라우저 보안을 지키는 현명한 방법이다.

미국 CISA(Cybersecurity Intrastructure Security Agency)는 메일 첨부파일을 열거나 P2P 파일을 공유할 때, 온라인 메신저를 사용할 때 항상 조심하도록 사용자를 교육하는 것이 중요하다고 조언했다. 사용자가 무엇을 보고, 클릭하는지 스스로 인식해야 장기적으로 시스템을 안전하게 지킬 수 있다. editor@itworld.co.kr


X