세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
모질라, CSRF 공격 막기 위해 파이어폭스 60 강화
  |  입력 : 2018-04-30 10:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
동일 사이트 쿠키 값 확인해 사이트 간 요청 위조 공격 막을 수 있어
스트릭트와 랙스 모드 통해 사용자가 조절 가능


[보안뉴스 문가용 기자] 모질라가 지난 주 파이어폭스 최신 버전인 ‘파이어폭스 60’에 대해 발표했다. 이번 버전에서 가장 중요한 건 동일한 사이트의 쿠키 값을 지원해 이른 바 ‘사이트 간 요청 위조 공격’이라고 하는 CSRF로부터 사용자들을 보호하겠다는 것이다.

[이미지 = iclickart]


CSRF 공격이란 악성 행위자가 인증이 된 사용자를 특별하게 조작된 웹페이지로 들어오게 유도함으로써 웹사이트 상에서 인증이 된 사용자인 것처럼 행동하며, 승인 되지 않는 행위들을 하는 것이다. 웹사이트로 들어가는 모든 요청에는 쿠키가 포함되어 있고, 많은 웹사이트들이 인증을 위해 이 쿠키들을 활용한다는 걸 악용한 공격이다.

모질라는 현재 웹 구조 상 인증 원리가 불안정하다고 지적하며, “사실상 웹사이트로 들어오는 요청이 정상적인 것인지 아닌지, 합법적인 사용자가 보낸 것인지 누군가 그걸 흉내 내는 것인지 판별할 수가 없다”고 설명한다.

“현재의 구조를 보완하려면 동일 사이트 쿠키 값이 필요합니다. 지금 들어온 요청 속 쿠키가 원래의 그 동일한 사이트에서 온 쿠키인지 웹 애플리케이션이 브라우저를 통해 확인하는 것이죠.” 모질라의 보인 팀이 블로그를 통해 설명한 내용이다. “URL 주소창에 있는 주소와 요청이 발생한 URL이 다를 경우, 해당 요청에는 쿠키가 포함되지 않을 겁니다.”

파이어폭스 60은 5월 9일에 출시될 예정으로, 이러한 동일 사이트 쿠키 값 지원 기능을 통해 사용자들을 보호하되, 여기에는 사용자가 제어할 수 있는 옵션 두 가지가 함께 제공될 것이라고 한다. 바로 스트릭트(strict)와 랙스(lax) 모드다.

스트릭트 모드의 경우 사용자가 외부 사이트를 브라우징 하다가 인바운드 링크를 클릭했을 때 활성화된 세션이 발생한 상태라고 하더라도 인증되지 않은 것으로 처리한다. 쿠키들이 요청에 포함되지 않을 것이기 때문이다.

하지만 랙스 모드의 경우 사용자가 외부 웹사이트들을 돌아다니고 링크를 쫓아다녀도 쿠키를 함께 전송해준다. 도메인 간 하위요청들(예를 들어 이미지나 프레임에 대한 요청)의 경우는 쿠키가 전송되지 않는다. 랙스 모드는 스트릭트 모드와 호환이 되지 않는 애플리케이션을 위해 준비된 것이라고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#CSRF   #모질라   #파이어폭스   #60   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)