본문 바로가기 주메뉴 바로가기 검색 바로가기
새로 등장한 사이버 공격, 어느 브라우저에서나 익명의 사용자 신원 밝혀낸다
상태바
새로 등장한 사이버 공격, 어느 브라우저에서나 익명의 사용자 신원 밝혀낸다
미국 사이버 보안 연구팀이 웹의 기본 기능으로 해킹 감지를 피하면서 웹사이트 접속자 신원을 밝혀낼 방법을 발견했다.
By LILY HAY NEWMAN, WIRED US

광고 기업과 마케팅 기업부터 정부 지원을 받는 해커 조직과 스파이웨어 개발사까지 모두가 웹 전체 영역에 걸쳐 사용자 정보 확인과 활동 추적을 원한다. 경악할 정도로 많은 인프라가 설치된 가운데, 사용자 신원과 웹 활동 추적이라는 여러 기업과 해커 조직의 입맛을 맞출 수 없다는 사실이 입증됐다. 이를 염두에 둔 뉴저지공과대학 연구팀은 해커 세력이 웹사이트 접속자 신원을 밝히고, 피해자의 디지털 삶을 이루는 여러 구성요소를 연결하려 악용할 수 있는 새로운 공격 수법을 경고했다.

뉴저지공과대학 연구팀이 2022년 8월, 보스턴에서 개최되는 보안 분야 학술 대회인 Usenix Security Symposium에서 발표할 해당 공격 수법 발견 사항은 누군가를 속여 악성 웹사이트를 실행하도록 유도하는 해커 세력이 이메일이나 SNS 계정 등 웹사이트 접속자의 특정 공공 식별 정보 제어 여부를 결정하도록 한다. 따라서 접속자와 잠재적인 특정 개인 데이터를 연결한다.

웹사이트에 접속하면, 웹 페이지가 접속자의 IP 주소를 확인하지만, 사이트 소유주에게 무조건 접속자 신원을 개인적으로 식별할 정보를 건넬 필요는 없다. 대신, 웹사이트에서 손에 넣은 사용자 정보는 잠재적인 정보 유출 피해자의 브라우저 활동 중 미묘한 기능을 분석해, 유튜브와 드롭박스(Dropbox)부터 트위터, 페이스북, 틱톡에 이르기까지 다양한 서비스에 로그인한 상태인지 판단한다. 게다가 익명성에 초점을 맞춘 토르(Tor)를 포함한 거의 모든 브라우저의 방어 기능에 맞서 사용자 신원 확인 공격을 개시한다.

해당 연구 논문 저자 중 한 명인 레자 커트모라(Reza Curtmola) 뉴저지공과대학 컴퓨터 과학 교수는 "평범한 인터넷 사용자라면, 임의의 웹사이트에 접속할 때 프라이버시 보호 수준을 깊이 신경 쓰지 않을 것이다. 그러나 정치적 성격의 시위 주도자나 참석자, 언론인, 소수 집단을 위해 협력하는 이들 등 특정 인터넷 사용자 집단이 사용자 정보 식별 공격으로 더 심각한 타격을 받을 수 있다. 이러한 공격은 눈치 채기 어려워지도록 하면서 갑작스럽게 개시돼 위험하다. 사용자가 웹사이트에 방문할 때는 데이터 노출 사항을 알 길이 없다"라고 설명했다.

정부 지원 해커 조직과 사이버 공격 중개 조직이 웹 사용자의 익명성을 해제하려 시도한 사례는 단순한 이론적인 문제가 아니다. 여러 연구팀이 무차별적으로 악용된 여러 익명성 해제 공격 수법을 연구 논문을 통해 밝혀냈다. 공격 경로는 분명하지 않지만, 사이버 공격 세력이 개인 사용자 정보를 손에 넣은 사례도 여러 차례 발견됐다.

그동안 발표된 이론적 인터넷 사용자 익명성 해제 방법도 뉴저지공과대학 연구팀이 고안한 이론과 비슷하다. 다만, 과거에 진행된 공격 수법 조사 대부분 특정 서비스가 다른 웹사이트에 특정 작업을 요청할 때, 웹사이트 간 유출된 데이터를 손에 넣는 과정에 초점을 맞추었다. 익명성 해제 방법을 찾아내려는 과거의 연구 작업 결과로 브라우저 개발자와 웹사이트 개발자 모두 콘텐츠 실행 시 데이터 보호 고립과 제한이 발생하는 과정을 개선해, 잠재적인 공격 경로를 사용하기 더 어려워지도록 했다. 사이버 공격 세력이 사용자 정보 식별 수법을 찾게 되는 동기를 알아냈으나 연구팀은 추가로 더 많은 사용자 정보 접근방식을 모색하고자 한다.

커트모라 교수는 "음지의 극단주의 세력이나 운동가 세력 포럼을 운영한다고 가정해보자. 이때, 법률 집행 기관은 비밀리에 해당 포럼을 통제할 것이다. 포럼 사용자 신원도 밝혀내고자 할 것이다. 그러나 사용자가 가명을 사용하므로 사용자 신원 확인이 쉽지 않을 것이다. 반대로 법률 집행 기관이 수사하고자 하는 포럼 사용자가 소유한 것으로 보이는 페이스북 계정 목록을 수집할 수도 있다. 그렇다면, 모든 포럼 페이지 접속자를 특정 페이스북 계정의 신원 정보와 상호연결하여 볼 수 있다"라고 말했다.
 
[사진=Pixabay]
[사진=Pixabay]

익명성 해제 공격 개시 방법을 설명하기 어렵지만, 공격 개시 맥락을 파악했을 때는  공격 개시 방법을 상대적으로 쉽게 설명할 수 있다. 해커 세력이 익명성 해제 공격을 개시하려면, 통제하는 웹사이트와 해당 웹사이트 방문 시 신원 정보를 밝혀내고자 하는 사용자와 관련된 계정 목록, 공격 표적이 된 계정 목록을 보유한 플랫폼에 숨겨둘 악성 콘텐츠이다. 콘텐츠는 공격 표적이 된 계정이 콘텐츠를 보았는지 혹은 차단했는지 확인하도록 한다. 두 가지 방식을 모두 이용해 특정 사용자 신원을 밝혀낼 수 있다.

다음 단계에서는 사이버 공격 세력이 앞서 언급한 콘텐츠를 악성 웹사이트에 심어둔다. 그리고 콘텐츠를 클릭할 때를 기다린다. 공격 표적이 된 사용자 중 익명성 해제 공격을 펼치려는 웹사이트에 접속하는 이가 있다면, 사용자가 보거나 볼 수 없는 악성 삽입 콘텐츠를 분석하여 해당 사용자 정보를 알 수 있다. 

익명성 해제 공격은 대다수 사용자가 받아들일 확률이 높은 다양한 요소를 최대한 이용한다. 유튜브부터 드롭박스까지 상당수 주류 서비스는 사용자가 미디어를 호스트하고는 서드파티 웹사이트에 삽입하도록 지원한다. 서비스를 주기적으로 사용하는 이들은 보통 고유 서비스 계정을 보유했다. 그리고 중요한 점은 종종 스마트폰이나 컴퓨터를 통해 서비스에 로그인한다. 마지막으로 주류 서비스는 사용자가 업로드할 콘텐츠 접근성을 제한하도록 한다. 영상을 지정된 사용자 단 한 명 혹은 소수 사용자에게만 공유하도록 드롭박스 계정을 설정하는 것을 예시로 언급할 수 있다. 혹은 페이스북에 전체 공개 상태로 영상을 게재한 뒤 특정 사용자가 해당 영상을 볼 수 없도록 차단하는 것도 언급할 수 있다.

'차단'과 '허용'의 관계는 연구팀이 신원 공개 사실을 확인하는 방법 중 중요한 요소이다. 특정 콘텐츠를 보도록 허용할 때, 해커 세력은 잠재적인 피해자의 지메일 주소와 함께 구글 드라이브에 몰래 사진을 공유할 수 있다. 그리고 해당 사진에 악성 웹페이지에 삽입한 뒤 잠재적 피해자가 해당 웹페이지에 접속하도록 유도한다. 여러 브라우저 접속자가 구글 드라이브를 통해 해당 사진을 실행하려 한다면, 해커 세력은 공격 개시에 동원된 이메일 주소 제어 여부 등 접속자의 콘텐츠 접근 허용 여부를 정확하게 추론할 수 있다. 

주요 플랫폼의 기존 프라이버시 보호 기능 덕분에 해커 세력은 웹사이트 접속자의 콘텐츠 실행 여부를 직접 확인할 수는 없었다. 그러나 뉴저지공과대학 연구팀은 피해자의 브라우저와 작업 요청 시 피해자 기기의 행동과 관련, 접근할 수 있는 정보 분석이 콘텐츠 요청 승인 혹은 거부에 개입할 수 있다는 사실을 확인했다.

해당 공격 수법은 '부채널 공격(side channel attack)'이라고 알려졌다. 연구팀은 우회 경로 공격 수법이 머신러닝 알고리즘을 훈련해, 피해자의 브라우저와 기기 요청 처리 과정과 관련성이 없는 듯한 데이터를 분석하는 방식으로 정확하면서 안정적으로 콘텐츠 승인과 거부를 판단할 수 있다는 사실을 확인했다. 사용자 신원 정보를 밝혀내려 특정 사이트에 삽입한 콘텐츠를 특정 사용자가 본 사실을 해커 세력이 알게 되면, 해당 사이트 접속자의 익명성을 해제할 수 있다.

연구팀이 설명한 공격 수법이 복잡한 것처럼 들린다. 연구팀은 해커 세력이 사전 공격 준비 작업을 시행하는 것이 간단하다고 경고한다. 단 몇 초 만에 악성 웹사이트 접속자 개인의 신원 정보를 모두 밝혀낼 수 있다. 그리고 익명성 해제 공격을 의심하지 않는 사용자가 공격을 감지하는 일은 사실상 불가능하다고 덧붙여 전했다. 연구팀은 익명성 해제 공격을 무력화할 브라우저 확장 프로그램을 개발했다. 크롬과 파이어폭스에서 사용할 수 있는 확장 프로그램이다. 다만, 연구팀은 확장 프로그램을 사용한다면, 웹 브라우저 실행에 영향을 미칠 수 있다는 점과 모든 브라우저에 보호 기능을 지원하지 않는다는 점을 공지했다.

연구팀은 여러 웹 서비스와 브라우저, 웹 표준 기구의 주요 공개 과정을 통해 익명성 해제 공격을 포괄적으로 해결할 방안을 논의하기 시작했다고 밝혔다. 연구팀의 익명성 해제 공격 연구 결과 발표 당시에는 크롬과 파이어폭스 모두 공식 대응을 발표하지 않았다. 커트모라 교수는 칩 단위에서 익명성 해제 공격을 다루기 위해 프로세서 설계 방식의 근본적으로 어려운 변화가 필요하다고 주장했다. 커트모라 교수는 여전히 월드 와이드 웹 콘소시엄(World Wide Web Consortium)이나 다른 포럼의 협동 논의가 궁극적으로 광범위한 해결책을 마련할 수 있을 것이라고 말한다.

이어, "칩 공급사가 익명성 해제 공격 문제를 해결할 가치가 있는지 확인하려 한다. 문제 해결을 위해 투자할 정도로 심각한 문제라는 사실을 설득해야 한다"라고 전했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
A New Attack Can Unmask Anonymous Users on Any Major Browser
이 기사를 공유합니다
RECOMMENDED