• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

마리오넷, 브라우저 탭 닫은 후에도 공격 지속시킬 수 있어 2019.02.27

HTML5 API와 자바스크립트의 기능만을 남용한 공격...호환성 좋아
악성 탭 닫은 후에도 공격 이어갈 수 있어...지속적이고 은밀한 공격

[보안뉴스 문가용 기자] 보안 전문가들이 브라우저 API를 남용해 브라우저 자원을 지속적으로 남용하고, 이를 통해 윈도우나 탭이 닫힌 후에도 악성 행위를 이어갈 수 있게 해주는 방법을 발견했다.

[이미지 = iclickart]


이 공격법을 발견한 건 그리스의 포스(FORTH, Foundation for Research and Technology)라는 단체와 미국 스토니브룩대학의 연구원들로, 공격을 시연하기 위해 마리오넷(MarioNet)이라는 프레임워크를 개발하기도 했다. 마리오넷은 제3자가 웹사이트 방문자의 브라우저를 제어함으로써 암호화폐 채굴, 비밀번호 크래킹, 디도스 공격 등을 할 수 있게 해준다.

연구원들은 공격법에 대한 세부적인 내용을 문서(https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_01B-2_Papadopoulos_paper.pdf)로 공개하기도 했는데, 여기에 따르면 마리오넷은 이미 널리 공개된 HTML5 API들만 있으면 사용이 가능하고, 추가 소프트웨어가 하나도 필요하지 않다고 한다. 이 말은 마리오넷을 사용한 공격이 대부분의 브라우저에서 통한다는 것이다.

마리오넷 공격은 지속적이면서 은밀하기도 하다. 사용자가 공격에 사용된 악성 웹사이트를 닫아도 이미 브라우저의 배경에서 공격을 활성화시키기 때문이다. 다만 브라우저 자체를 껐다가 키는 것에는 대처할 수가 없다.

“마리오넷을 통해 기존에 등장하지 않았던 방식의 지속 공격 및 은밀한 공격이 가능하게 되었습니다. 사용자가 브라우저를 통해 악성 웹사이트를 방문한 후, 그 사이트를 닫았다고 하더라도 공격자가 계속해서 브라우저를 통제할 수 있게 되기 때문입니다. 또한 브라우저 내 탐지 메커니즘 대부분을 우회할 수 있기 때문에 사용자가 눈치를 채는 게 거의 불가능하기도 합니다.”

마리오넷 프레임워크는 크게 두 부분으로 구성되어 있다. 하나는 브라우저 내 요소이고, 다른 하나는 원격 C&C 시스템이다. “일반적인 봇넷과 달리 마리오넷은 공격 표적이 되는 시스템의 구축 오류(implementation flaw)를 익스플로잇 하지 않습니다. 그저 자바스크립트와 HTML5 API가 가진 정상 기능들을 남용하는 것뿐이죠. 그렇기 때문에 대부분의 브라우저와 호환성도 좋습니다.”

사용자가 방문한 웹사이트들을 격리시키는 기술(isolation)이 유행하고 있다는 것도 이 공격 기법에 있어서는 호재다. 브라우저 통제를 통해 얻어가는 자원을 미세하게 제어할 수 있기 때문이다.

이 공격에 대한 완벽한 대처 방안은 아직 나오지 않고 있다. 다만 웹 브라우저가 실행하지 않는 상태에서도 브라우저 고유 기능을 배경에서 실행하는 서비스 워커(service worker)를 비활성화시키는 것이 한 방법이 될 수 있다. “서비스 워커의 등록과 활성화가 필요할 때마다 사용자의 허락을 받도록 옵션을 설정하는 것도 좋은 방법입니다.” 또한 한 번 인식이 되면 시그니처 기반 탐지 기법으로도 차츰 발견 가능성을 높일 수 있을 것으로 보인다.

이 공격은 악성 웹사이트, 침해된 도메인, 아이프레임의 동적 콘텐츠를 통해 실행이 가능하다. “즉 공격 실행의 난이도가 낮다는 뜻입니다. 공격자들이 늘 해오던 것과 크게 다르지 않아요.”

연구원들은 이번 발견의 의미를 ‘인터넷 구조 속 신뢰’에서 찾는다. “결국 현대 인터넷 구조에 깔린 ‘신뢰(trust)’를 다시 생각해보게 하는 연구 결과입니다. 현재 우리는 웹 퍼블리셔를 신뢰하는 구조로 인터넷을 사용하고 있습니다. 그래서 웹 퍼블리셔들은 클라이언트에서 코드를 실행할 수 있죠. 마리오넷 공격은 그 신뢰를 파고드는 것으로, 웹 퍼블리셔들의 코드 실행 권한을 다시 한 번 생각해주게 합니다.”

3줄 요약
1. 마리오넷 프레임워크, 사용자의 브라우저를 장악하게 하는 공격 기법.
2. 사용자의 브라우저 자원을 통해 각종 공격 이어갈 수 있음.
3. 공격에 사용된 악성 사이트(부모 탭)가 닫혀도 배경에서 공격 지속시키는 것도 가능.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>