세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사 > 외신
모질라, “곧 파이어폭스에도 사이트 격리 기능 추가된다”
  |  입력 : 2019-02-11 17:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
스펙터와 멜트다운 취약점 발견된 이후 도입되기 시작한 사이트 격리 기능
파이어폭스, 2월말까지 1단계 완성할 예정...하지만 전체 완료일은 미정


[보안뉴스 문가용 기자] 파이어폭스 브라우저의 제조사인 모질라(Mozilla)가 파이어폭스에 ‘사이트 격리(Site Isolation)’ 기능을 곧 추가함으로써 사용자들의 안전을 한층 더 강화시킬 예정이라고 발표했다.

[이미지 = iclickart]


사이트 격리 기능을 추가하는 사업을 모질라에서는 ‘퓨전 프로젝트(Project Fusion)’라고 부르고 있다. 사이트 간 아이프레임(cross-site iframe)을 부모 프레임(parent frame)과는 별개의, 다른 프로세스로 나누는 것을 목표로 하고 있다. 이는 파이어폭스에 있어 굉장히 큰 변화다.

모질라의 개발자인 니카 레이젤(Nika Layzell)에 의하면 “퓨전 프로젝트의 목표는 알려진 취약점들에 대해서 방어책을 마련하는 것만이 아니라, 미래에 있을지도 모르는 잠재적 취약점들에 대한 안전 장치를 마련하는 것”이라고 한다.

퓨전 프로젝트가 시작된 이유는 스펙터(Spectre)와 멜트다운(Meltdown)이라는 CPU 보안 취약점이 발견됐기 때문이다. 이 취약점은 작년 초에 발견돼 전 세계 IT 업계를 들썩이게 한 바 있다. 사실상 현대 모든 컴퓨터에 있는 취약점이라고 봐도 무방한 것이었으며, 각종 민감한 정보가 위험에 처하게 되었다.

공격 타이밍을 잘 계산하면 이 취약점을 통해 브라우저들에 심대한 타격을 입히는 것도 가능하다고 알려졌다. 웹 페이지들이 여러 개 도메인들로부터 자바스크립트를 다량으로 받아와 실행하기 때문이다. 그것도 한 프로세스 내에서 여러 출처의 자바스크립트가 실행되는 건 공격의 여지를 남기는 것과 다름이 없는 것이라고 레이젤은 설명한다.

“모질라는 이 두 가지 취약점에 대한 리스크를 곧 완화할 수 있었습니다. 그러나 어디까지나 ‘완화’지, ‘해결’은 아닙니다. 즉 미래에 또 다른 관련 취약점이 나타난다면 브라우저를 통해 민감한 정보를 훔치는 게 가능하다는 겁니다. 왜냐하면 현대의 컴퓨팅 환경이 그런 구조로 만들어졌기 때문입니다. 새로운 구조를 가진 컴퓨터가 나오기 전까지 이 취약점은 늘 우리 곁에 있을 겁니다.”

그래서 브라우저 제조사들이 낸 해결책은 사이트를 각각의 프로세스로 고립시키는 것이다. 그것이 사이트 고립 혹은 사이트 격리라고 부르는 기술이다. 이미 구글은 크롬에 2017년부터 이러한 기능을 도입했다. 퓨전 프로젝트도 이러한 브라우저 제조사들의 움직임을 좇는 것이라고 볼 수 있다.

“앞으로 몇 주 혹은 몇 달 정도 파이어폭스 내부의 모든 팀들은 이 격리 코드를 브라우저 아키텍처에 적용하는 데에 시간을 투자하게 될 것입니다. 모질라로서는 대단히 큰 프로젝트이며, 전사적인 변화와 움직임을 필요로 할 것으로 보입니다. 결국 경쟁과 흐름에서 뒤처지지 않기 위해 움직이는 건데, 일이 상당히 커졌습니다.”

모질라는 이 대단위 프로젝트를 단계별로 찬찬히 진행할 예정이다. 1단계는 ‘사이트 격리’에 필요한 기능들을 전부 모으고, 그 기능들을 향상시키고 강화하는 것인데, 2월 말까지 완료할 예정이라고 한다. 파이어폭스 사용자에게 공개될 일자는 아직 정확히 발표되지 않고 있다. 레이젤은 “아직 가늠하기가 힘들다”고 덧붙였다.

3줄 요약
1. 스펙터와 멜트다운이라는 CPU 부채널 취약점 발견된 이후로 브라우저 제조사들은 ‘사이트 격리’ 기능 개발 및 장착 중.
2. 구글 크롬은 2017년말에 이미 구축했고, 파이어폭스도 개발 중에 있음.
3. 파이어폭스는 “가까운 미래에 구현 예정”이라고 했으나 정확한 날짜는 미정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 공공 및 민간의 클라우드 컴퓨팅 도입이 더욱 활발해질 것으로 보입니다. 보안성과 효율성을 고려할 때 자사의 클라우드 도입시 가장 우선적으로 검토할 기업 브랜드는?
아마존웹서비스(AWS)
마이크로소프트 애저(MS Azure)
IBM 클라우드
오라클 클라우드
NHN엔터테인먼트 토스트 클라우드
NBP 네이버 클라우드 플랫폼
기타(댓글로)