세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
GDPR 지키면서 서드파티 스크립트 쓰려면?
  |  입력 : 2017-08-09 10:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
서드파티 스크립트, 기업의 통제 넘어서는 보안 위협 요소
메일 서버와 메일 수신함 사이 샌드박스 넣듯 ‘분리’시켜야


[보안뉴스 오다인 기자] 곧 대혼란이 일어날 것만 같다. 유럽 일반정보보호규정(GDPR)이 다가오고 있기 때문이다. 유럽연합(EU) 안팎의 기업들은 수많은 규칙들을 따르려고 재빨리 움직이는 중이다. 규칙 가운데는 사용자 정보에 접근하는 기업들이 어떤 수단을 쓰더라도 그 정보를 보호해야 한다는 규정이 있다. 기업들이 하지 않았든 못했든, 의무를 지키지 못하면 무거운 벌금을 현찰로 내야 한다. EU는 이 문제를 진지하게 받아들이고 있다. 지난 6월 구글이 정보 권력(data power)을 오용했다며 약 3조 원(27억 달러)의 벌금을 매긴 것만 봐도 알 수 있다.

[이미지=iclickart]

물론 기업들은 EU의 사이버 보안 규칙을 따르기 위해 할 수 있는 모든 것을 하고 있다. 정부, 은행, 규제자 등 관계 기관들 간에 공격과 방어 시스템에 대해 협업하고 정보를 공유하는 것부터 시작해서 직원들이 회사 네트워크에 멀웨어를 들여오는 일이 없도록 교육시키는 것, 사용자 정보가 안전하게 유지되는 일을 책임질 담당자를 임명하는 것까지 포함해서 말이다. EU 시민이 사이트를 통해 연결된다면 기업이나 조직이 세상 어디에 있든 전부 이 규칙을 적용받는다.

웹에서 사업하는 모든 기업은 지금 자사의 보안 시스템이 EU 기준을 충족하는지 확인하느라 분주하다. 그러나 자체적인 통제를 넘어서는 정보 이슈들도 있다. 서드파티 스크립트(third-party script)에 의해 정보가 수집되는 경우다. 이 정보들은 서드파티 스크립트 제공자의 데이터베이스 내에서 처리되고 저장된다. 기업들은 이런 스크립트를 제외하고선 사업을 하기 어렵다. 서드파티 스크립트는 사용자에게 익숙한 서비스를 제공하는 데다 소셜 미디어, 전자 상거래, 댓글 서비스, 광고, 콘텐츠 배포, 사이트 분석 등 웹 경험적 측면에서 사용자의 수요를 충족해준다. 이런 스크립트 없이 우리가 아는 월드 와이드 웹은 존재할 수 없다. 또, 이런 서비스 없이는 각 사이트에 사람들이 개입하는 정도가 현저하게 추락할 수밖에 없다.

보안 요소
이런 스크립트들이 얼마나 안전한지 미리 알 방법은 없다. 다만 사이버 공격자들이 서드파티 스크립트를 이용해 수많은 해킹을 화려하게 선보여 왔다는 사실은 알고 있다. 예컨대, 전 세계 수백만 대의 컴퓨터를 감염시킨 스테가노(Stegano) 익스플로잇이 있다. 스테가노는 적어도 2014년부터 활동한 것으로 보이는데, 작년 가을 “인기 있는 뉴스 사이트”의 독자들을 영악하게 공격하면서 새롭게 주목받았다. 스테가노의 세부사항을 최초로 보고한 곳은 보안 업체 ESET이다. 해커들은 광고 네트워크를 사용해 악성 스크립트를 전파했는데, 이미지의 보이지 않는 알파 채널을 통해 익스플로잇을 작동시켰다. 알파 채널은 정보를 저장하는 이미지의 한 겹을 말하는데, 이미지상에서는 시각적으로 나타나지 않는다.

스테가노가 배너 광고를 전혀 건드리지 않기 때문에 사용자 입장에선 뭔가 잘못됐다는 걸 느끼기가 불가능하다. 스테가노는 보안 소프트웨어나 샌드박스 같은 것들이 존재하는지 확인한 다음, 없다면 페이로드를 다운로드하는 특정 페이지로 리디렉션 한다. 그리고 regsvr32.exe 또는 rundll32.exe를 사용해 페이로드를 설치한다. 스테가노 익스플로잇의 핵심은 웹페이지 자체에서 사용자 정보를 훔쳐내는 멀웨어 설치다. 로그인 시 웹페이지 박스 안에 비밀번호 조합이나 신용카드 번호를 입력할 때 그대로 탈취하는 것, 또는 클릭 시 해커의 필요를 충족시키는 다른 서버로 이동시키는 것을 말한다.

사용자에게 미안한 말이지만, 둘 중 어느 경우든 사용자 정보는 침해된다. 침해된 뉴스 사이트들에도 감점 요인인 것이 분명하다. 그러나 GDPR이라는 새로운 규칙 아래에선 사이트가 침해됐다고 슬퍼하거나 평판에 금이 갔다고 걱정하는 건 맨 나중에 할 일이다. 더 큰 걱정거리가 있기 때문이다. 익스플로잇이 완전히 기업을 장악한 시기가 GDPR이 시행된 이후라면, 해당 뉴스 사이트들은 벌금을 물거나 기소될 가능성이 높다. EU의 규칙들은 그만큼 엄격하다. 서드파티 스크립트를 사용하는 거의 모든 사이트가 잠재적으로 벌금 또는 기소의 대상이 될 것으로 보인다.

그렇다면 기업들은 스스로를 보호하기 위해 무엇을 할 수 있을까? GDPR 시대를 맞기 전에 웹사이트의 주도권을 되찾아야 한다. 이런 맥락에서 기업들은 메일 서버를 운영하는 관리자와 비슷한 경험을 하게 된다. 사용자들은 악성 링크나 오염된 첨부파일을 클릭하도록 유도하는 피싱 이메일에 끊임없이 시달린다. 관리자들이 최선을 다해 노력할지라도, 의심스런 링크와 첨부파일을 클릭하지 말라고 사용자에게 입이 닳도록 말하고 윽박질러도 보고 협박하고 사정사정하더라도, 매년 이 문제는 더욱 심각해져만 왔다. 더 많은 공격과 더 많은 열린 메시지가 해커들에게 더 많은 성공을 안겨다 줬다.

입이 닳도록 말하고, 윽박지르고, 협박하고, 사정하는 게 효과가 없다면 도대체 무엇이 효과가 있다는 말인가? 한 가지 아이디어는 분리(separation)다. 샌드박스 같은 걸 메일 서버와 사용자 수신함 사이에 설치해서 메시지의 콘텐츠를 검사할 수 있게 만드는 것이다. 만약 첨부파일이든 메시지 자체든 의심스런 어떤 게 나타난다면, 해당 메시지의 나쁜 요소들을 “세척”하거나 그냥 폐기할 수 있다. 이런 방법이 이메일에 효과가 있었다면, 그리고 사실상 모든 웹 연결에서도 효과가 있었다면, 서드파티 스크립트에서는 안 되라는 법이 있을까? 샌드박스 유형의 솔루션을 갖고 기업들은 사용자가 요구하는 서드파티 서비스를 유지하면서 자사 웹사이트에 대한 통제권을 되찾아올 수 있다. 서드파티 스크립트가 내포한 알려지지 않은 위협으로부터 사이트를 보포한다면, 기업은 사용자 정보를 보호할 수 있을 뿐만 아니라 만에 하나 무엇이 잘못된 경우에도 EU의 거대한 벌금과 처벌로부터 스스로를 보호할 수 있을 것이다.

글 : 하다르 블루트릭(Hadar Blutrich)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)