브라우저 보안 취약점 해소를 위한 고려사항

우선 나쁜 소식부터 전하겠습니다. 브라우저 보안 취약점은 실제로 존재합니다. 그 규모는 커지고 있으며 점점 위험해지고 있습니다. 다층 방어 전략에도 불구하고 피싱과 랜섬웨어 공격은 여전히 급증하고 있습니다. 사후 탐지 및 대응 방식은 제로데이 피싱 공격 앞에서는 실패할 수밖에 없습니다. 이 문제가 심각한 이유는 현재 전체 피싱 공격의 80%가 제로데이 형태이며 기존 서명 기반 방어를 무력화하기 때문입니다. 
‍

이러한 공격은 HEAT 공격으로 알려져 있습니다. HEAT는 고도로 회피적이고 적응적인 위협(Highly Evasive, Adaptive Threats)을 의미합니다. 불행히도 브라우저와 브라우저가 처리하는 웹 트래픽은 회피적이고 적응적인 공격에 쉽게 악용될 수 있습니다.

이제 좋은 소식입니다. 브라우저 보안은 해결 불가능한 문제가 아닙니다.

이 글은 브라우저 보안 취약점을 해소하는 과정에서 조직과 이해관계자가 검토해야 할 다양한 고려사항을 다루는 시리즈의 첫 번째 편입니다. 이 시리즈에서 다룰 주제는 다음과 같습니다. 

• 아키텍처
• 브라우저 선택과 그 영향
• GenAI 보안의 중요성 증가
• 보안 애플리케이션 접근 및 VDI 의존도 감소
• 클라우드 기반 브라우저 보안 대 레거시 RBI

이 첫 번째 글에서는 아키텍처를 다룹니다. 먼저 보안 전선의 현황을 자세히 살펴보겠습니다.
‍

HEAT 공격

고도로 회피적이고 적응적인 위협(HEAT)은 탐지 회피와 기존 보안 체계 우회를 위해 동적 행위, 파일리스 공격, 지연 실행과 같은 정교한 기술을 활용하는 사이버 위협의 한 유형입니다. 이러한 위협은 탐지망을 피하도록 설계되어 있으며 보안 전문가조차 식별과 완화가 매우 어려운 유형입니다.

파일 전송 효율성을 높이기 위해 사용되는 HTTP 메서드인 청크 전송(스트리밍), 범위 요청(부분 콘텐츠), 자동 다운로드 기능으로 인해 가능해진 HTML 스머글링 HEAT 공격 사례를 살펴보겠습니다. 위협 행위자는 이러한 파일에 악성 코드를 삽입합니다. 그런 다음 JavaScript와 같은 활성 코드가 다운로드를 감지하고 악성 코드를 실행합니다. HTML 스머글링은 HTML을 통해 전송되는 파일의 전체 콘텐츠를 네트워크 기반 보안 시스템의 구조적 특성으로 인해 확인할 수 없다는 점을 악용하여 네트워크 기반 탐지를 무력화합니다. 악성 자바스크립트가 안티바이러스 엔진의 검사 전에 악성 코드를 실행할 경우 엔드포인트 탐지 기능 역시 무력화됩니다. 이와 관련된 보다 기술적인 설명은 MITRE의 자료에서 확인할 수 있습니다.

다음으로, AI를 통해 고도화된 피싱 공격을 살펴보겠습니다. 과거에는 문법 오류나 오타, 낯선 발신자에 대한 의심을 통해 피싱 이메일을 비교적 쉽게 구분할 수 있었습니다. 하지만 현재 공격자들은 GenAI의 기능을 활용해 문법과 문체를 자연스럽게 다듬어 이러한 단서로는 피싱 메일을 구별하기 어렵습니다. 과거에는 조잡한 피싱 캠페인도 실행까지 시간이 걸렸지만 이제는 GenAI 덕분에 공격자들이 몇 분 만에 공격을 개선하고 재시도할 수 있습니다.

마지막으로, 최근 빈번히 언급되고 있는 새로운 공격 형태 중 하나는 음성 피싱, 즉 비싱이 있습니다. 공격자들이 사용하는 비싱 시나리오는 무수히 많으며 그 양상 또한 끊임없이 변형되고 있습니다. 

다음은 그중 단순한 예시입니다.

1. 사용자가 노트북으로 스트리밍 서비스를 시청하고 있습니다.
2. 위협 행위자도 자신의 컴퓨터에서 동일한 스트리밍 서비스를 실행합니다.
3. 위협 행위자는 미리 조사한 정보를 이용해 자신이 사용자의 인터넷 서비스 제공자(ISP)의 직원인 것처럼 위장합니다. 이어 사용자에게 “서비스 점검을 위해 간단한 테스트를 진행하겠습니다. service/device_auth 페이지에 접속해 화면에 표시된 인증 코드를 전달해 주시기 바랍니다.”라는 안내를 전달합니다.
4. 이제 위협 행위자는 자신의 스트리밍 서비스 계정에 사용자의 로그인 정보를 사용합니다.

이 사례는 개인 소비자에게 국한된 피해처럼 보이지만 동일한 원리가 훨씬 더 큰 피해를 초래하는 공격에도 그대로 적용되고 있습니다. 실제로 Salesforce.com은 비싱 공격을 통해 탈취된 수십 개 고객사의 10억 건의 데이터 반환을 요구하는 협박에 대응하고 있습니다.

이제 이러한 위협을 완화하는 데 있어 사용자의 브라우저 보안 솔루션의 아키텍처가 어떤 역할을 하는지 살펴보겠습니다.
‍

아키텍처 선택

가장 간단히 말하자면, 브라우저 보안은 두 가지 장소 중 하나에서 발생합니다:

1. 엔드포인트 측면에서 구현되는 방식입니다. 일반적으로 브라우저 플러그인을 사용하거나 조직 내 주요 브라우저를 Island 또는 Palo Alto의 Prisma Browser와 같은 대체 브라우저로 교체하는 방식입니다.

2. 클라우드 기반 구현 방식입니다. Menlo Security의 솔루션은 사용자의 브라우저, 엔드포인트 또는 위치와 무관하게 모든 브라우징 세션을 클라우드에서 격리합니다. 
   

대체 브라우저는 잘못된 보안상의 안정감을 제공합니다.

기업 브라우저의 잠재적 단순성에 현혹되지 마십시오. 구조적으로, 귀하의 조직은 여러 가지 방식으로 노출될 수 있습니다, 특히:

1. 브라우저 자체는 제로데이 피싱 및 악성 코드 공격에 특히 취약하며 조직이 Chrome이나 Edge와 같은 주요 브라우저를 대체 브라우저로 교체하더라도 이러한 취약성은 지속됩니다. 즉, 근본적인 문제는 여전히 해결되지 않습니다. 대체 브라우저는 Chrome과 Edge를 구동하는 엔진인 Chromium을 기반으로 구축됩니다. 이는 Chrome 및 Chromium에 존재하는 모든 공통 취약점 및 노출(CVE) 정보는 Chromium 기반의 모든 브라우저에도 동일하게 존재한다는 의미입니다. 실제로 Chrome을 Island와 같은 다른 Chromium 기반 브라우저로 교체하면 위험이 줄어들기보다 오히려 증가한다는 점에는 충분한 근거가 있습니다. Chrome 팀에는 수천 명의 엔지니어가 코드 분석과 취약점(CVE) 패치를 신속히 수행하고 있습니다. 그러나 대체 브라우저 공급업체는 이러한 수준의 인력과 자원 투입을 따라갈 수 없습니다. 결국 패치 주기는 항상 지연되며, 이 지연 시간은 곧 고객에게 더 많은 보안 위험 노출로 이어집니다.

2. 관리되지 않는 엔드포인트로 인해 발생하는 심각한 취약점 또한 존재합니다. 관리되지 않았거나 손상된 엔드포인트에 관리형 브라우저 애플리케이션을 설치하면 권한을 가진 공격자가 세션 토큰을 탈취하거나 브라우저 메모리를 덤프할 수 있는 새로운 위협 벡터가 생겨 심각한 결과를 초래할 수 있습니다.

반대로, 클라우드 기반 브라우저 보안 아키텍처는 중앙 집중화된 구조를 통해 대체 브라우저나 플러그인이 감지하지 못하는 제로데이 위협을 완화할 수 있습니다.

• Chrome 및 Chromium 관련 CVE는 클라우드에서 패치되므로 기기 브라우저가 최신 상태가 아니더라도 관리형과 비관리형 엔드포인트의 모든 브라우저를 취약점 노출로부터 보호할 수 있습니다.  그 이유는 Menlo Secure Cloud에서 대리 브라우저 인스턴스를 통해 모든 브라우저 트래픽을 무해화하므로 엔드포인트가 취약성으로부터 보호되기 때문입니다.

• 클라우드 환경에서는 방어가 선제적으로 이루어질 수 있습니다. 어떻게 가능할까요? 클라우드에서는 대리 브라우저가 사용자 트래픽을 중계하여 위협이 엔드포인트에 도달하지 않도록 차단합니다. 클라우드 환경이 아닐 경우 위협은 엔드포인트에서 직접 실행됩니다.

• 클라우드에서는 데이터 유출 방지(DLP)와 같은 서비스가 민감한 데이터가 엔드포인트에 실제로 저장되기 전에 수행됩니다. 엔드포인트 보안 솔루션은 보안 체인에서 취약한 부분입니다. 엔드포인트 보안 솔루션은 사용자의 교육 수준과 행동에 달려 있으며, 사용자가 정책을 100% 준수하고 항상 올바른 판단을 내릴 것이라 기대하는 것은 비현실적입니다.

• 클라우드에서는 데이터가 중앙 집중화됩니다. 수백만 개의 브라우저 세션 로그는 머신러닝 기반 보안에 활용될 수 있습니다.

‍

AI가 도움이 될 수 있을까요?

클라우드 환경에서는 가능합니다. AI는 적절히 활용될 경우 제로데이 위협을 식별하고 무력화할 수 있으며, 이는 여전히 대체 브라우저 솔루션에게는 요원한 목표입니다.

먼저, AI가 악의적인 목적으로 활용되는 방식을 보여주는 보고서를 참고하세요. 여기에는 AI 기반 맞춤형 피싱, 스피어 피싱, 웨일링 공격 등의 사례가 포함됩니다. 

Menlo는 악성 사이트를 탐지하기 위해 다양한 머신러닝 기반 알고리즘을 개발했습니다. 그 주요 항목은 다음과 같습니다.

• 로고 감지(Menlo 고객은 고객의 고해상도 로고 이미지를 제출하여 부정 사이트 탐지용 로고 데이터베이스에 추가 가능)

• 페이지 구조(각 페이지의 DOM 이해에 기반) 

• 입력 필드

• 전체 URL 경로 분석

Google과의 협력은 이 영역에서도 지속적으로 성과를 내고 있습니다. 현재 Menlo HEAT Shield AI는 Google Vertex 플랫폼과 Gemini 모델을 활용하고 있으며, 이를 통해 피싱 사이트 탐지 능력을 대폭 강화했습니다.
‍

갈림길

앞서 논의했듯이, 클라우드 기반과 엔드포인트 기반 브라우저 보안 간의 근본적인 아키텍처 선택은 조직이 HEAT 공격의 기하급수적인 확산에 대응할 수 있는 역량에 커다란 영향을 미칩니다. 하지만 이 글의 서두에서 언급했듯이, 이 문제는 그것만으로 설명될 수 있는 단순한 사안이 아닙니다. 다음 글에서는 브라우저 선택의 중요성과 그것이 비즈니스와 사용자에게 생성형 AI 기능을 제공하는 역량에 어떤 영향을 미치는지 살펴보겠습니다.

‍

‍