보안 전문가들이 마이크로소프트가 새로운 웹 기반 공격을 막기 위해 개발한 새로운 기술이 문제 해결에 도움이 되지 않는다고 지적했다.

마이크로소프트는 한창 기대를 모으고 있는 IE8 RC의 일부로 이 새로운 기술을 발표했는데, 마이크로소프트측의 주장은 클릭재킹 공격에 대한 “완제품” 보호장치를 개발했다는 것. 클릭재킹에서 공격자는 피해자가 알지 못하는 사이에 특정 버튼을 클릭하도록 하는 특수 웹 프로그래밍 기법을 사용한다. 때문에 매우 막기 어려울 뿐 아니라 주식거래를 실행하거나 파이어월 설정을 바꾸고 악성 소프트웨어를 다운로드하게 하는 등 피해 범위도 넓다.

이처럼 문제가 되는 영역이 광범위하기 때문에 보안 전문가들은 마이크로소프트의 접근 방법이 인터넷 익스플로러 사용자에게 잘못된 보안 인식 만을 남기고 끝날 우려가 크다고 분석하고 있다. 마이크로소프트의 기술은 웹 사이트 개발자가 웹 사이트 버튼이 악용되지 않도록 특수 태그를 추가했을 때에만 제대로 작동하기 때문이다.

보안 컨설팅 회사인 SecTheory의 CEO 로버트 한센은 “어떻게 봐도 클릭재킹에 대한 해결책은 될 수 없다. IE8을 사용하는 사람의 극소수에게만 애매하게 문제를 완화하는 정도이다”라며, “마이크로소프트가 이 기술을 진지하게 다루고 있다는 것이 흥미롭다”고 덧붙였다. 한센은 처음 클릭재킹 문제를 마이크로소프트에 알려준 사람 중 하나이다.

물론 일부 사이트의 경우 마이크로소프트의 기술을 사용해 자사 사이트를 방문하는 IE8 사용자들을 클릭재킹으로부터 보호할 수 있다. 하지만 그 외의 사이트, 다시 말해 HTML 코드를 업데이트할 것 같지 않은 웹 사이트나 라우터 관리자 웹 인터페이스, 마이크로소프트의 패치를 적용하지 않는 사이트 등이 너무 많은 것이 문제다. 한센은 “이 방법은 모든 사람들이 모여 이 방법이 가장 좋은 방법이라고 함께 결정한다 하더라도 제대로 적용하는 데 수년의 시간과 교육이 필요한 해결책”이라고 지적했다.

더 위험한 것은 일부 사용자는 자신들이 IE를 사용하는 것만으로 이런 위험으로부터 보호되고 있는 것으로 착각할 수 있다는 것이다. 파이어폭스 NoScript 플러그인 개발자인 조르지오 마오네는 “IE 팬들에게는 안된 일이지만, 포장만 뜯고 바로 사용할 수 있는 보안 기능 같은 것은 없다”고 강조했다. 마오네는 또 “사실 이 방식은 별도의 브라우저 애드온을 설치하지 않아도 된다. 하지만 대신에 모든 사이트가 이 새로운 기술을 적용해야 한다. 더구나 사용자는 이 사실을 확인할 방법도 없다”고 덧붙였다.

현재 클릭재킹을 포함한 수많은 웹 기반 공격에 대한 가장 확실한 방어책은 노스크립트라는 것이 일반적인 평가다. 하지만 마이크로소프트는 IE8 RC에서 다른 방안을 선택한 것이다.

문제 해결을 위해 마오네는 NoScript 사용자가 IE에서도 동일한 기능을 이용할 수 있도록 호환 기능을 개발하고 있으며, 파이어폭스의 다음 버전에 이 기능을 기본 탑재하려고 시도하고 있다.

한센과 마오네 또 마이크로소프트가 이 기술의 세부 사항을 공개하지 않고 있다는 점도 문제라고 지적한다 한센은 “심지어 기술을 도입해도 실제로 어떻게 사용해야 하는지에 대한 지침도 나와 있지 않다”고 강조했다. 이에 대해 마이크로소프트는 곧 이에 대한 블로그 포스트를 게재할 계획이며, IE8 RC1이 출시되기 전에 다른 주요 브라우저 업체와 공동 작업을 진행했다고 밝혔다.

화이트 햇 시큐리티의 CTO 제레미아 그로스먼은 “이 기능으로 사용자가 스스로를 보호하지는 못할 것 같다”고 평가했다.  bob_mcmillan@idg.com