Q. 웹 표준화가 오히려 사용자의 불편함과 보안 취약성을 가중시킨다는 문제점도 제기된다고 들었다. 실제 웹 표준 환경에서 보안이 더 취약한건지, 그렇다면 그 이유는 무엇인지 궁금하다.

가장 대표적인 예가 웹 표준과 보안 사이에 있는 ActiveX라고 할 수 있다. 여러 가지 이유에 의해 표준과는 거리가 먼 ActiveX가 보안을 위해 많이 사용돼 왔지만, 이로 인한 문제점들이 많이 도출되면서 ActiveX는 보안의 큰 골칫덩이가 되었다.

(조민재 쿠팡 보안아키텍처팀)

A-2.  웹 표준 환경의 문제점은 2 팩터(Factor) 인증을 수행하지 않을 경우 웹 브라우저 스스로의 보안 기능에 의존하게 된다는 것이다. 문제는 웹 브라우저를 개발하는 기관은 보안업체가 아니기 때문에 키로깅, HTML Code Injection, 메모리 해킹, 역공학 등의 공격에 취약할 수 밖에 없다.

(김선종 이니텍 차장/seonjong.kim@initech.com)

A-3. 웹 표준화 기술 HTML5를 사용한다고 가정하자. HTML5를 사용하면 별도의 플러그인 없이 자체적으로 3D, 동영상 등 고급 기능을 구현할 수 있고, HTML5 표준을 준수하는 웹 브라우저를 이용하면 기기 또는 플랫폼에 관계없이 구동이 가능하다. 이러한 가운데, 2012년 Blackhat에서 HTML5에 대한 취약점 유형 10가지를 제시했는데 다음과 같다.

1. CORS(Cross-Origin Resource Sharing) 공격 및 CSRF(Cross-Site Request Forgery)

2. ClickJacking, CORJacking 및 UI 취약점 공격

3. HTML5 태그, 애트리뷰트 및 이벤트를 이용한 XSS

4. Web Storage 및 DOM 정보 추출

5. SQLi 및 Blind 열거

6. Web Messaging 및 Web Worker 인젝션

7. HTML5 및 Messaging을 이용한 DOM 기반 XSS

8. 서드파티 / 오프라인 HTML 위젯 및 가젯

9. Web Socket 공격

10. HTML5를 이용한 프로토콜/스키마/API 공격

이처럼 웹 표준을 준수한다는 것은 웹 브라우저/기기 차별 없이 누구든지 웹 콘텐츠를 사용하도록 하는 것이지 웹 표준을 사용한다고 해서 보안성이 좋아지는 것은 아니라고 생각한다.

ActiveX도 Windows에서만 구동할 수 있다는 제약만 없었더라면 웹 표준이 될 수 있었을 지도 모른다. 편의성에 대해서 말하자면, 특정 웹사이트가 모든 웹 브라우저·기기에서 실행되는 HTML5 기술이 아닌 특정 운영체제·기기·웹 브라우저에서만 실행되는 ActiveX 등 비 웹 표준 기술이 편리하다고 생각하지 않는다.

(전승준 한국산업기술보호협회 관제운영팀 연구원/sjun@kaits.or.kr)

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>