안티바이러스 프로그램 혹은 보안솔루션 상당수는 자체적인 브라우저 확장프로그램 설치를 유도하거나 권장한다업체 측에서는 이러한 툴바가 온라인보안에 도움이 된다고 주장하지만 실상 이러한 확장프로그램은 자사 수익창출수단이 되며 심지어는 보안취약점을 유발하기까지 한다. 안티바이러스 툴바는 안전한 검색엔진으로 포장되지만 사실 대부분이 Ask Toolbar 확장프로그램의 변형이다. 그리고 경우에 따라서는 의도치 않은 보안상 위험을 발생시키기까지 한다.

 

사례 1. AVG Web TuneUP: 크롬 보안기능 손상

AVG Web TuneUPAVG 안타바이러스 제품에 포함된 기능이다. AVG는 이 확장프로그램이 유해한 검색결과를 미리 알려준다고 주장한다. 하지만 201512월 구글 보안분석가 Tavis Ormandy는 이 확장프로그램이 다양한 자바스크립트 API를 크롬에 추가하며 이들 API 중 상당수가 취약하다는 점을 밝혀냈다. WebTuneUP 확장프로그램은 사용자가 방문하는 웹사이트에 브라우징 내역을 노출시킬 뿐 아니라 웹사이트 측에서 사용자 컴퓨터에 자체코드를 실행시킬 수 있는 보안취약점을 유발한다고 한다. 그는 AVG 측에 다음과 같이 알렸다. "AVG 보안소프트웨어가 900만에 달하는 크롬사용자의 웹보안기능을 손상시키며 있으며 이에 따라 검색설정과 새로운 탭 기능에 대한 해킹이 가능해진다. AVG 측에서 이 보안문제의 심각성을 인식하고 즉시 보완대책을 내놓아야 한다." 이후 AVG에서 패치를 배포했는데 Ormandy에 따르면 이 패치 역시 잘못됐다고 한다. 해당 패치는 두 종의 AVG 도메인에 대한 기능을 제한하지만 해당 도메인의 웹사이트는 그 자체적인 취약점을 안고 있어서 여전히 사용자를 공격에 노출시킨다고 한다. 현재 AVG 확장프로그램 개발팀이 변경됐고 AVG 기본 안티바이러스 개발팀은 신뢰할 수 있지만 이 사례는 안티바이러스 브라우저 확장프로그램이 무익하거나 위험하기까지 할 수 있음을 보여준다.

 

사례 2. McAfee Norton: 마이크로소프트 에지 브라우저가 자사 애드온을 지원하지 

않는다는 이유로 에지가 위험하다고 판단


마이크로소프트가 윈도10 전용으로 개발한 에지(Edge) 브라우저는 인터넷익스플로러보다 안전하다고 알려져 있다에지는 자체적인 샌드박스 내에서 구동되며 액티브X와 같은 취약한 플러그인 지원을 없애고 바이너리주입에 대한 방어기능을 도입하는 등 여러 면에서 개선됐다. 그런데 McAfee 보안솔루션의 경우 오히려 에지를 삭제하고 인터넷익스플로러를 사용하라고 권장하는데 이는 순전히 인터넷익스플로러가 McAfee 확장프로그램을 지원하고 에지는 그렇지 않다는 이유에서다. Norton 역시 자체 확장프로그램을 지원하는 인터넷익스플로러를 사용하라고 권장하여 McAfee와 비슷한 모습을 보인다. 설령 이러한 브라우저 확장프로그램이 실제로 보안에 도움이 된다 해도 자체 보안기능이 대폭 향상된 에지를 쓰는 게 훨씬 낫다.

 

사례 3. Avast: Online Security 확장프로그램에 광고 및 트래킹을 삽입한 전력

Avast의 경우 Online Security라는 확장프로그램을 제공하며 업데이트를 통해 SafePrice라는 기능을 추가한 바 있다. 이 기능은 온라인 쇼핑 추천기능을 가지고 있었으며 이는 클릭을 통해 Avast 수익창출을 유도하는 기능이었다. 이 기능은 사용자에게 고유한 트래킹ID를 부여하여 사용자가 방문하는 웹페이지를 Avast 서버에 제공하는 식으로 작동한다. Avast가 사용자의 웹브라우징을 전면 추적하고 이를 이용하여 광고를 열람시켰다는 것이다. 다행히도 SafePrice 기능은 이후 삭제됐으나 이는 안티바이러스 업체들이 보안 확장프로그램을 실제 보안이 아닌 사용자 웹브라우저에 침투하여 광고나 제품추천을 열람시키는 수단으로 사용할 수 있음을 보여주는 사례라고 할 수 있다.

 

브라우저 확장프로그램 외에 다른 연동기능도 위험하거나 불필요

확장프로그램 외에 다른 브라우저 연동기능도 보안상 허점을 발생시킬 수 있다. 안티바이러스 프로그램은 네트워크 트래팩을 전량 모니터링하고자 시도하지만 기본적으로 이는 암호화에 막혀 차단된다. 이 경우 몇몇 안티바이러스는 자체적인 "중간자공격(man in the middle, MITB)"을 실행하여 암호화트래픽 내부를 들여다보고자 한다. 이러한 모니터링은 인증서를 안티바이러스 자체 인증서로 대체하는 방식으로 이루어지는데 이는 사실 Superfish 맬웨어와 상당히 비슷하다. 이러한 기능은 브라우저 확장프로그램과는 별개인 안티바이러스 자체 선택기능이긴 하지만 분명 짚고 넘어갈 부분이다. AvastSSL 추적코드의 경우 악성서버가 악용할 수 있는 보안허점을 안고 있었다. Avast는 보안업체로서 제품을 사용자에게 판매하기 전에 이러한 취약점을 미리 고쳤어야 한다. 이러한 식의 중간자공격은 브라우저의 공격노출면을 넓히는 결과를 야기한다. 개발자 측에서 좀더 조심한다 해도 브라우저를 임의로 개량하는 기능은 그 이점에 비해 위험이 너무 크다. 오늘날 웹브라우저는 대부분 맬웨어차단 및 피싱차단 기능을 갖추고 있으며 구글이나 빙과 같은 검색엔진 역시 악성웹사이트를 자체적으로 검열하기 때문이다.

 

확장프로그램 등 브라우저 연동기능은 불필요하기 때문에 중지하는 게 바람직

안티바이러스 프로그램은 대체로 악성웹사이트나 유해한 검색결과를 차단하여 온라인보안을 실현한다고 주장한다. 하지만 구글과 같은 검색엔진은 이미 이러한 기능을 자체적으로 갖추고 있으며 크롬, 파이어폭스, 인터넷익스플로러 등 주요 웹브라우저들은 피싱/맬웨어 웹페이지 필터링 기능을 갖추고 있다. 별도의 확장프로그램이 필요 없다는 의미다. 그러니까 어떤 안티바이러스를 쓰든 브라우저 확장프로그램은 쓰지 않는 게 좋다. 만약 이미 설치된 경우라면 확장프로그램/애드온/플러그인 설정을 통해 보안솔루션 관련 확장프로그램을 모두 중지시킬 수 있다. "브라우저 연동"과 같은 기능으로 기본 SSL 암호화 작동을 방해하는 부분이 있다면 해당 기능 역시 중지시켜야 한다.

 

각종 안티바이러스 제품의 보안취약점을 밝혀낸 Tavis Ormandy는 정작 마이크로소프트의 윈도디펜더(Windows Defender) 사용을 권장한다. 그는 윈도디펜더가 "그리 나쁜 제품은 아니며 나름 훌륭한 보안인력 지원을 받는다고" 평가하고 있다. 윈도디펜더도 물론 약점이 없지는 않으나 적어도 브라우저에 추가기능을 끼워 넣지는 않는다는 것이다. 물론 윈도디펜더보다 강력한 안티바이러스를 쓸 수도 있겠지만 브라우저 기능까지 사용할 이유는 없다. 정상적인 안티바이러스 제품을 사용한다면 웹브라우저 연동 없이도 악성파일 다룬로드나 웹브라우저 공격을 막을 수 있다.

 

* 본문의 원문은 20161월 작성됐으며 현재 사실관계와 다른 부분이 있을 수 있습니다.

 

 

 

Chris Hoffman, Don’t Use Your Antivirus’ Browser Extensions: They Can Actually Make You Less Safe, 1. 26. 2016.

http://www.howtogeek.com/239950/dont-use-your-antivirus-browser-extensions-they-can-actually-make-you-less-safe/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 5. 13. 15:02

위로가기