• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

어도비 플래시의 대체재로 각광받던 HTML5도 공략 당하고 있다 2018.05.28

풍부한 콘텐츠를 안전하게 제공한다던 HTML5, 최근 21개 사건 일으켜
HTML5의 강력함이 도리어 멀웨어를 감추는 데 이용돼

[보안뉴스 문가용 기자] 어도비 플래시를 통한 사이버 공격이 들끓던 때가 있었다. 사이버 보안 전문가들 사이에서는 최악의 소프트웨어로 꼽히던 플래시지만, 이 플래시에 기반을 둔 웹 콘텐츠가 너무 많아서 안 쓸 수는 없었다. 말 그대로 울며 겨자 먹기의 상황이었는데, HTML5가 플래시를 대체하기 시작하면서 숙원 사업이었던 플래시 차단하기가 가능해졌다.

[이미지 = iclickart]


그런데 이 HTML5도 그다지 믿을만하지 못하다는 분석 발표가 보안 업체 미디어 트러스트(Media Trust)에서 나왔다. HTML5에서의 멀웨어 사고가 이미 수차례 발생했다는 내용이었다.

미디어 트러스트는 자사 블로그를 통해 “HTML5를 공략하는 멀웨어가 이미 최소 21개의 사고를 일으켰고, 특히 전 세계 디지털 미디어 발행사들과 광고 네트워크가 피해를 입었다”고 밝혔다. 또한 자바스크립트 기반의 명령을 사용하면서 탐지를 피해간다는 기술적 분석 내용도 담았다.

“피해 상황이 심각한 정도로, HTML5가 보안의 측면에서는 어도비 플래시보다 훨씬 괜찮다는 기존의 선입견을 타파할 수 있을 것으로 보입니다. 이는 또한 사이버 공격자들이 기존 인터넷 인프라를 공격하기 위해 얼마나 많은 노력을 기울이는지가 드러나는 장면이기도 합니다.”

HTML5는 멀티미디어 콘텐츠를 컴퓨터와 모바일 기기에서 편안하게 재생 가능하도록 해, 사용자 경험을 높여주는 마크업 언어로 등장부터 각광받아왔다. 하지만 얼마간은 시각 디자인 업계에서만 활발하게 쓰이던 것이 플래시 플러그인에서 자꾸 사고가 터지면서 광범위하게 퍼지기 시작했다. 특히 2015년, 플래시가 각종 보안 사고의 가장 큰 구멍임이 드러나면서 보안 업계는 HTML5의 대체를 강력하게 주장하기도 했다.

미디어 트러스트는 “지난 5년 동안 개발자들과 미디어 발행인들, 브라우저 제공업체들은 다 함께 플래시로부터의 탈출을 위해 지속적인 노력을 기울여왔다”며 “HTML5는 플래시에 대한 완벽한 대체제로서 기대를 받아왔고 안전하고 풍부한 사용자 경험을 제공해줄 것이라는 약속이 난무했었다”고 썼다.

미디어 트러스트의 멀웨어 분석 팀에 의하면 “인기가 높은 포맷으로 만들어진 콘텐츠를 제공하는 HTML5의 강력함과 안전함은 ‘외부 플러그인’이 필요치 않다는 것에 있다.” 그런데 이 특성을 사이버 범죄자들이 멀웨어를 숨기는 데 활용하기 시작했다고 한다. “멀웨어를 자잘하게 조각냄으로써 탐지를 힘들게 만들 수 있습니다. 이 작은 조각들은 특정 조건들이 성립할 때 하나로 맞춰집니다.”

물론 HTML5 환경을 공략하는 멀웨어가 처음 발견된 건 아니다. 하지만 이번에 미디어 트러스트가 발견한 공격 방법은 사용자가 어떠한 행위를 하지 않아도 시스템을 감염시킬 수 있다는 차이점을 가지고 있다. 또한 멀웨어 탐지가 매우 어렵게 만들어졌다는 것도 큰 특징이다. 미디어 트러스트는 “지난 과거에 등장한 HTML5 멀웨어 중 백신에 제대로 탐지된 것은 하나도 없었다”고 강조한다. 미디어 트러스트의 긴 결론은 다음과 같다.

“이번에 발견된 HTML5 멀웨어는 팝업 광고를 통해 사용자가 정보를 입력하도록 하고, 이 정보가 디지털 마케팅 및 미디어 생태계로 빠르게 퍼져갈 때부터 작동합니다. 그리고 표적으로 삼고 있는 기기의 사용자가 나타나는 순간 개인식별정보를 수집하기 시작합니다. GDPR이 시행된 이 때 이러한 멀웨어를 빨리 제거하는 건 대단히 중요한 일이 될 겁니다. 다만 GDPR의 벌금 때문만이 아니라, 온라인 프라이버시 보호의 강화가 세계적인 트렌드로 굳어졌기 때문입니다. 이런 멀웨어가 내 웹사이트에서 개인식별정보를 모으고 있는데, 나는 몰랐다는 말이 통하지 않을 때가 금방 올 겁니다.”

그래서 미디어 트러스트는 다음과 같은 권장 사항을 말미에 붙였다.
1) 디지털 자산에 대한 스캐닝과 검사를 지속적으로, 실시간으로 할 것.
2) 파트너사들과 계약을 체결할 때, 프라이버시 관련 정책을 공개하고 공유할 것.
3) 침해 사고가 발생할 경우, 혹은 파트너사의 위반 사례가 나타날 경우, 어떤 조치를 어떤 과정을 통해 취할 것인지 상세하게 준비할 것.
4) 감독 기관의 요청이 있을 경우를 대비해 항상 정보의 저장, 관리, 사용, 흐름에 관한 현황을 파악하고 있을 것.

특이하게도 미디어 트러스트는 해당 멀웨어에 대한 이름을 붙이거나 공개하지 않고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>