사이버 공간으로의 통로, 브라우저... “격리시켜야 할 때”
- 인터넷 사용자들이 처음 만지는 것, 브라우저
- 공격자들이 사용자에게 접근할 때의 주요 통로, 브라우저
- 전통 보안 기법으로는 최신 브라우저 공략법 못 막아
브라우저는 대부분의 인터넷 사용자들에게 있어 ‘사이버 공간으로의 진입 통로’다. ‘인터넷을 쓴다’고 했을 때 수반되는 행동은 브라우저를 여는 것이기도 하다. 하지만 모든 통로는 양방향이다. 사용자가 인터넷을 향해 가는 것처럼, 누군가도 인터넷으로부터 사용자를 향해 올 때 브라우저를 활용한다. ‘브라우저를 보호해야 한다’는 개념이 여기서부터 나온다.
보안 업체 멘로시큐리티(Menlo Security)는 최근 보고서를 통해 “브라우저를 보호하는 새로운 방식이 필요하다”고 주장했다. “기존 네트워크 및 엔드포인트 보안 장치들로는 이미 불충분합니다. 사용자의 브라우징 활동을 네트워크로부터 물리적으로 분리시키면서도 사용자의 경험을 유지시키는 기술이 도입되어야 합니다.” 이를 멘로는 ‘보안 클라우드 브라우징’이라고 부른다.
기존 브라우징 보안 기법들이 더 이상 충분하지 않다고 보는 이유는 브라우저 기반 사이버 공격이 빠르게 증가하고 있기 때문이다. 멘로가 조사한 바에 따르면 지난 12개월 동안 브라우저 기반 피싱 공격이 총 75만 2천여 건 있었다고 한다. 이는 전년 대비 140% 증가한 수치다. 여기에 최근 각광 받고 있는 인공지능 기술이 크게 한몫 하고 있다고 멘로는 설명한다.
“생성형 인공지능을 활용하는 공격자들이 늘어나고 있습니다. 인공지능 기술을 활용해 더 교묘한 공격을 하기도 하고, 정상 인공지능 서비스 플랫폼으로 가장한 가짜 웹사이트를 만들어 피해자들을 속이기도 합니다. 이렇게든 저렇게든 생성형 인공지능이 연루된 사이버 공격은 가파른 증가세를 보이고 있습니다. 이런 때에 기존 브라우징 보호 기술만으로 사용자와 데이터를 보호한다는 건 어불성설입니다.”
해커들, 어떻게 공격하나
브라우저를 기반으로 한 공격에는 어떤 것들이 있을까? “악성 광고가 대표적입니다. 멀버타이징이라고도 하는 이 기술은, 광고를 통해 사용자가 악성 사이트로 진입하게 합니다. 브라우저 기반 협업 도구를 통해 피해자에게 접근하는 사례도 점점 빈번해지고 있습니다. 슬랙(Slack)이나 팀즈(Teams) 등 유명 협업 도구들도 이 위험에서 자유롭지 못합니다. 심지어 슬랙이나 팀즈와 같은 유명 서비스를 흉내 낸 사이트들도 여러 개 발견되고 있습니다. 브라우저로 이런 곳에 잘못 접속하면 꼼짝없이 당합니다.”
브라우저 자체의 취약점을 악용하는 사례들도 많다고 멘로는 지적한다. “크롬, 파이어폭스, 에지와 같은 주요 브라우저들에서는 끊임없이 취약점들이 발견되고 있습니다. 특히 크롬은 요즘 가장 인기 높은 브라우저라 그런지 제로데이 취약점들도 자주 나오죠. 브라우저에 관심을 가지고 있는 공격자들이 주목할 수밖에 없는 소식이 됩니다. 취약점 문제는 모든 소프트웨어가 가지고 있는 거라, 완전 근절은 불가능할 것입니다.”
브라우저 취약점은 그 갯수나 종류가 너무나 많아 하나하나 열거하기 힘들다. 멘로는 보고서를 통해 대표적인 사례 몇 가지를 들었는데, 그 중 하나가 0.0.0.0데이(0.0.0.0 Day) 취약점이다. “2024년 발견된 것으로, 브라우저에서 로컬호스트 API를 악용할 수 있게 해 주는 취약점이었습니다. 브라우저가 네트워크 요청을 처리하는 방식에 존재하는, 매우 뿌리 깊은 취약점이라고 할 수 있습니다. 익스플로잇에 성공할 경우 공격자는 민감한 서비스에 접근할 수 있게 됩니다. 로컬 엔드포인트에 있는 브라우저가 그 근본에서부터 위험할 수 있다는 걸 보여줍니다.” 이 취약점은 올리고시큐리티(Oligo Security)라는 보안 업체가 발견하고 분석했었다.
브라우저가 기본적으로 ‘신뢰하도록’ 설정된 서비스들이 악용되는 사례 역시 현대 브라우저들의 근본적 문제를 드러낸다고 멘로는 강조한다. “구글 드로잉즈(Google Drawings)나 웹용 왓츠앱(WhatsApp for Web) 등 유명 서비스들은 브라우저들이 신뢰합니다. 공격자들이 이런 서비스들에 악성 링크나 파일을 호스팅하면, 브라우저들이 이 서비스 자체를 신뢰하기 때문에 링크와 파일을 검사하지 않을 때가 많습니다. 피해자들에게 이런 식으로 구성된 링크를 전달하면 브라우저가 거르지 못한다는 뜻입니다.”
그렇다고 사용자들이 잘 걸러내는 것도 아니다. “유명 서비스를 공격에 이용하면 브라우저만이 아니라 그 브라우저를 사용하는 사용자들도 잘 속습니다. 유명하기 때문입니다. 그래서 최근 공격자들은 대형 서비스나 플랫폼을 똑같이 복제한 피싱 사이트를 운영하고 있습니다. 사용자들의 눈을 무엇으로 속여야 하는지를 잘 이해하고 있는 것입니다.”
브라우저 통해 진입한 공격자들, 뭘 노리는가
브라우저가 공격자들의 통로가 되어주는 것도 알겠고, 그 브라우저가 몇 가지 근본적 결함을 가지고 있는 것도 알겠다면, 공격자들이 브라우저를 통해 들어오는 이유가 궁금해질 것이다. 공격자들의 목적은 다양한데, 멘로에 따르면 2024년에는 ‘크리덴셜 탈취’가 1위를 기록했다고 한다. “사용자들이 브라우저를 통해 입력하는 로그인 ID와 비밀번호만 알면 그 어떤 강력한 보안 장치들도 뚫어낼 수 있기 때문입니다. 마치 사용자처럼 정상 로그인 할 수 있게 되니, 대부분 보안 장치들은 경보를 울리지 않습니다.”
이를 막기 위해 여러 엔드포인트 보안 솔루션들이 등장하고 동원됐지만 큰 효과를 보지 못했다고 멘로는 주장한다. “브라우저가 운영되고 보호되는 방식을 근간에서부터 바꾸지 않으려 하고, 엔드포인트 자체에만 집중하니 비용과 복잡성만 증가했습니다. 돈을 투자하는 사람은 사람대로, 엔드포인트 사용자는 사용자대로 손해만 본 것입니다.” 모든 방법이 무용지물이었다는 게 아니라, 투자 대비 효율이 낮았다는 게 멘로 측의 설명이다.
“그런데다가 공격자들은 전통적 개념의 보안 장치들을 인공지능으로 교묘히 우회하고 있기도 합니다. 보안 업계에서 오래 전부터 우려했던 대로, 인공지능은 현재 공격자들에게 더 힘을 보태주고 있습니다. 인공지능은 보안이 취약한 웹사이트를 더 빠르게 파악해주고, 더 효과적인 공략법을 알려주며, 자동화 기술까지 마련해 공격자들이 같은 시간 동안 더 많은 표적을 공격할 수 있게 해 줍니다. 그리고 이런 상황을 전통의 보안 장치들은 놓치고 있습니다.”
특히 위협적으로 증가한 것이 ‘제로데이 공격’이라고 멘로는 지적한다. “기업을 대상으로 한 제로데이 공격이 한 해 동안 130% 증가했습니다. 제로데이 연구는 원래 난이도가 높은 것이었고, 실력 좋은 해커들만 수행할 수 있었습니다. 과거에는 국가가 지원하는 APT 조직들의 전유물 같은 것이었습니다. 하지만 요즘은 제로데이 연구 난이도가 낮아져 많은 해킹 조직들이 수행할 수 있게 됐습니다. 이 역시 인공지능의 발달과 무관하지 않은 현상입니다.”
제로데이 공격은 취약점이 발견되거나 패치되기 전에 실시하는 해킹 공격을 말한다. 방어자들이 자세를 잡기도 전에 ‘선빵’을 날리는 건데, 그렇기 때문에 ‘먼저 맞고 대응한다’는 개념을 가진 전통의 방어 도구들로는 대응이 되지 않는다. “브라우저를 공략하는 데에도 이런 제로데이 공격이 늘어나고 있다는 건 매우 나쁜 소식이라고 할 수 있습니다. 지금처럼 거의 모든 사람들이 24시간 내내 줄기차게 브라우저를 사용하고 있는 때에라면 더 그렇습니다.”
앞으로 어떤 일 있을까
멘로는 브라우저 보안의 근간이 근시일 내에 변하지 않을 거라고 보고 있으며, 따라서 공격자들은 지속적으로 브라우저를 공략할 거라고 예상한다. “브라우저를 노리는 피싱 키트가 더 정교하게 가다듬어질 것이고, 이를 구매해 활용하는 사이버 공격 단체가 늘어날 것입니다. 지금도 그렇지만 이 피싱 키트들은 유명 클라우드 업체를 사칭하거나 악용하는 패턴을 보일 것이고, 점점 더 많은 자동화 기능을 탑재해 사용자들(즉 사이버 범죄자들)이 더 편리하게 공격할 수 있도록 할 것입니다.”
인공지능 플랫폼을 사칭하는 공격 사례 역시 빠르게 증가할 것이라고 멘로는 보고 있다. “생성형 인공지능 플랫폼을 찾는 사람들이 늘어나고 있습니다. 이에 따라 정상 플랫폼을 흉내 낸 악성 플랫폼들이 다량으로 등장할 것으로 보입니다. 이미 지난 1년 새에만 600건에 달하는 사건이 가짜/악성 인공지능 플랫폼을 기반으로 일어났습니다.”
멘로는 브라우저 보호가 모든 사이버 공격의 단절을 의미한다고 말하지 않는다. 브라우저를 막는 게 지금으로서는 가장 효율이 좋은 방어법이라는 것 뿐이다. “공격자나 피해자나 전부 브라우저를 통해 사이버 공간을 드나듭니다. 그러니 너무나 명확하죠. 이 통로를 먼저 개선해야 현재의 상황에 긍정적인 변화가 있을 거라는 것이요. 브라우저 자체를 격리시키면서도 사용자의 브라우징 경험을 훼손하지 않는 기법이 좀 더 보편화 되어야 할 것입니다.”
Related Materials
- Browser Security 2023: The evolution of browser security strategies와 최신 보호 개념 - Omdia Market Radar, 2023년
- A Closer Look at Browser Security in 2024: 클라우드 연동 확장/확장 프로그램 기반 최신 보안 모델 - CIO Influence, 2024년
- A New Security Category Addresses Web-borne Threats: Browser Security Platform 개념 분석 - The Hacker News, 2023년
- The future of browser security: Innovations and trends, AI 탐지·프라이버시 중심 신개념 브라우저 보안 - BusinessCloud, 2024년
