국내 인터넷 브라우저 시장 점유율 1위인 인터넷 익스플로러의 일부 버전에서 CORS(Cross-Origin Resource Sharing)를 이용한 사용자 정보의 유출이 가능함을 확인하였다. 이는 이전의 방법과는 달리 악성 프로그램 등의 설치 없이도 로그인한 계정의 정보를 유출할 수 있으며, 이를 이용하면 보안 프로그램의 영향을 받지 않고서도 SNS와 포털 사이트의 사용자 정보 혹은 계좌 정보나 카드 사용내역까지 얻을 수 있다. 인터넷 익스플로러 뿐만 아니라 일부 모바일 브라우저에서도 CORS를 이용한 공격이 가능함을 보였다. 이 논문에서는 인터넷 익스플로러로 접속한 은행사, 카드사, SNS, 포털 사이트를 대상으로 한 CORS를 이용한 공격으로 사용자 정보의 유출은 물론 2차 공격으로 이어질 수 있는 가능성과 개선방안을 살펴본다.
국내 인터넷 브라우저 시장 점유율 1위인 인터넷 익스플로러의 일부 버전에서 CORS(Cross-Origin Resource Sharing)를 이용한 사용자 정보의 유출이 가능함을 확인하였다. 이는 이전의 방법과는 달리 악성 프로그램 등의 설치 없이도 로그인한 계정의 정보를 유출할 수 있으며, 이를 이용하면 보안 프로그램의 영향을 받지 않고서도 SNS와 포털 사이트의 사용자 정보 혹은 계좌 정보나 카드 사용내역까지 얻을 수 있다. 인터넷 익스플로러 뿐만 아니라 일부 모바일 브라우저에서도 CORS를 이용한 공격이 가능함을 보였다. 이 논문에서는 인터넷 익스플로러로 접속한 은행사, 카드사, SNS, 포털 사이트를 대상으로 한 CORS를 이용한 공격으로 사용자 정보의 유출은 물론 2차 공격으로 이어질 수 있는 가능성과 개선방안을 살펴본다.
Internet Explorer is the popular internet browser the most in domestic. In some version of Internet Explorer, user information could be leaked cause CORS(Cross-Origin Resource Sharing) Internet Explorer support. Different before, without setup a malicious program, attacker can get the user informati...
Internet Explorer is the popular internet browser the most in domestic. In some version of Internet Explorer, user information could be leaked cause CORS(Cross-Origin Resource Sharing) Internet Explorer support. Different before, without setup a malicious program, attacker can get the user information even account information, credit card usage list and user information with SNS or internet portal site logged in regardless of secure program. Not only Internet Explorer but also mobile browser, it could be. In this paper, we make study of the potential disclosure of user information by attack using CORS, second attack and the way to improvement of vulnerability of CORS.
Internet Explorer is the popular internet browser the most in domestic. In some version of Internet Explorer, user information could be leaked cause CORS(Cross-Origin Resource Sharing) Internet Explorer support. Different before, without setup a malicious program, attacker can get the user information even account information, credit card usage list and user information with SNS or internet portal site logged in regardless of secure program. Not only Internet Explorer but also mobile browser, it could be. In this paper, we make study of the potential disclosure of user information by attack using CORS, second attack and the way to improvement of vulnerability of CORS.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
더불어 공격이 불가능했던 웹페이지의 특징을 보면 추가적으로 사용자를 인증하려는 과정이 있었으며, 이는 공격을 계속 할 수 없었다는 점에서 의미를 갖는다. 뿐만 아니라 이 논문을 통해 CORS를 이용한 사용자 정보 유출의 피해를 예방하고 줄일 수 있도록 하는 개선 방안을 제안하였다. 이메일에서 개인 식별 코드까지의 어떠한 형태의 개인정보도 유출 후에는 악용의 소지가 있으며, CORS을 이용한 사용자 정보 유출 공격의 개선을 위한 적용방안의 필요성과 더불어 이를 보호하려는 개인 스스로의 노력 또한 절실하다.
앞의 실험은 사용자 PC의 IE를 대상으로 사용자 정보 획득을 목적으로 하는 공격이다. IE의 XDR 및 XHR 객체가 지원하는 CORS를 이용한 공격인데, 일부 모바일 브라우저에서도 위와 같은 공격이 가능함을 실험을 통해 알 수 있었다.
가설 설정
• 공격자에 의해 전달된 HTML 파일의 실행은 보안 프로그램의 영향을 받지 않는다.
로그인한 계정에는 실험의 결과 확인을 위해 임의의 사용자를 미리 차단해 두었다. 이후에 정상적인 명세서로 위장한 HTML 파일을 공격자로부터 전달 받았다는 가정 하에 같은 모바일 브라우저에서 실행 하였다. 실험의 결과를 통해 해당 모바일 브라우저는 CORS를 지원하는 것을 알 수 있다.
제안 방법
3장의 실험과 CORS가 가지는 한계를 바탕으로 CORS에 의한 사용자 정보 유출 피해를 줄일 수 있는 정책을 이용하는 개선 방안을 제안한다. 첫째, 서버의 추가적인 사용자 정보 요구에는 공격자가 답할 수 없다는 점을 이용할 수 있다.
이 논문에서는 2장 IE에서 CORS를 이용한 공격이 가능한 원인을 살펴보고, 3장 CORS를 이용해 유출이 가능한 정보를 실험을 통해 확인한다. 4장에서는 개선 방안을 모색한다.
대상 데이터
CORS를 이용해 IE에서 로그인한 웹페이지의 정보 획득이 가능한지 표 1의 목록을 대상으로 실험하였다. 실험에는 그림 2와 같이 사용자, 공격자, 은행 서버와 공격자가 사용자의 정보를 얻기 위해 설정한 서버로 환경을 구성하였다.
공격자는 사용자 정보를 수집하는 서버를 외부에 설정함으로서 공격자와 사용자가 동일한 네트워크에 위치하는지 여부에 관계없이 사용자 정보를 수집하며 공격을 계속할 수 있다. 실험에 사용한 사용자의 IE의 버전은 각각 8.0.7601.17514, 9.0.8112.16421, 10.0.9200.16660IC 이다.
메일 조회의 경우 서버와 사용자간의 패킷이 암호화 되지 않으므로 은행과 같이 별도의 암·복호화 스크립트가 불필요하며, 공격자가 메일의 내용을 획득함이 보다 수월하다. 실험에는 국내외 이메일 서비스를 제공하는 포털 사이트 각각 1곳을 대상으로 진행하였으며, 두 곳 모두 IE에 로그인된 웹페이지에서 이메일의 내용을 획득 할 수 있었다.
실험은 XecureWeb 암호화 방식을 사용하는 국내 은행 네 곳, 국내에서 서비스 중인 외국계 은행한 곳과 카드사 두 곳을 대상으로 진행하였다.
3절의 로그인된 SNS 계정에서 차단된 사용자 목록을 획득하는 공격과 같다. 실험은 안드로이드 마켓에서 천만회 이상의 다운로드가 된 모바일용 브라우저를 사용하였으며, 해당 모바일 브라우저는 web-kit 엔진을 사용하는 것으로 확인하였다. 실험에는 해당 SNS가 제공하는 전용 어플리케이션이 아닌 앞서 설명한 모바일 브라우저에서 로그인 하였다.
성능/효과
앞의 실험은 사용자 PC의 IE를 대상으로 사용자 정보 획득을 목적으로 하는 공격이다. IE의 XDR 및 XHR 객체가 지원하는 CORS를 이용한 공격인데, 일부 모바일 브라우저에서도 위와 같은 공격이 가능함을 실험을 통해 알 수 있었다. 실험은 3.
이러한 기업 또는 단체의 고객정보 유출 사고의 경우 대량의 개인정보가 불법 유통의 과정을 거처 유포되는데 반해 특정 소수를 목표로 하는 공격의 경우 이를 통해 이득을 취하려는 공격자의 의도가 보다 더 명확하며 피해로 드러나는 시간이 더 짧다. 개인이 목표가 되는 공격의 대부분은 사용자 모르게 악성 프로그램을 설치하거나 혹은 사용자가 가짜 웹페이지에 접속하도록 하는 방법으로 PC 혹은 스마트 폰에 저장되어 있는 정보를 획득하였지만, 이 논문에서는 악성 프로그램의 설치없이 인터넷 브라우저의 정책을 이용하여 사용자의 정보를 획득할 수 있는 가능성을 제시한다.
. 생성된 HTTP Request를 서버에 요청하면 서버의 응답에서 공격자는 사용자가 로그인한 웹페이지의 사용자 정보를 획득할 수 있음을 실험을 통해 확인하였다.
이로서 최소한 정상적인 사용자로 하여금 조회 또는 변경 사항에 대해 확인할 수 있게끔 할 수 있다. 셋째, 구글의 브라우저 크롬의 경우 CORS를 허용하지만 브라우저의 정책에 의해 공격을 성공 할 수 없다. 크롬 실행 시 웹 보안 비활성 옵션을 추가하여 실행함으로서 사용자 정보를 획득할 수 있지만 웹 보안 비활성 옵션을 추가하여 크롬이 실행하도록 하는 추가적인 스크립트 파일을 고려하면 공격자의 입장에서는 공격을 계속하기가 현실적으로 어렵고 까다로워진다.
실험은 CORS를 이용하여 구매한 물품의 배송지 정보를 변경할 수 있음을 확인한다. 포털 사이트가 제휴하는 인터넷 쇼핑몰은 구매한 물품의 배송이 시작되기 전까지는 물품의 배송지 정보를 변경할 수 있다는 것을 알고 실험을 위해 판매중인 상품을 임의로 선택해 주문하였다.
이후에 정상적인 명세서로 위장한 HTML 파일을 공격자로부터 전달 받았다는 가정 하에 같은 모바일 브라우저에서 실행 하였다. 실험의 결과를 통해 해당 모바일 브라우저는 CORS를 지원하는 것을 알 수 있다.
이는 피해자의 금전적인 부분 혹은 사생활과 직·간접적으로 연관되기 때문에 공격으로 인한 사용자 정보 유출의 피해 범위를 가늠할 수 없으며, 사용자 정보의 불법 유통과 유포 역시 무시할 수 없는 잠재적인 피해임에 틀림없다. 이전의 공격과 달리 이 논문에서는 IE의 정책을 이용하여 사용자 정보 유출을 HTML 파일 하나로 가능하게 했으며, 간단하지만 무시할 수 없는 결과를 낳는다. 더불어 공격이 불가능했던 웹페이지의 특징을 보면 추가적으로 사용자를 인증하려는 과정이 있었으며, 이는 공격을 계속 할 수 없었다는 점에서 의미를 갖는다.
3장의 실험과 CORS가 가지는 한계를 바탕으로 CORS에 의한 사용자 정보 유출 피해를 줄일 수 있는 정책을 이용하는 개선 방안을 제안한다. 첫째, 서버의 추가적인 사용자 정보 요구에는 공격자가 답할 수 없다는 점을 이용할 수 있다. 일부 민감한 개인정보의 경우, 사용자에게 추가적인 인증을 요구함으로써 CORS에 의한 사용자 정보 유출을 제한할 수 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
개인정보란?
개인정보는 개인을 식별할 수 있는 정보이며, 이는 주민등록번호뿐만 아니라 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의거 이메일 또는 출신학교 역시 개인정보의 범주에 포함된다. 개인정보는 개인을 식별하는 정보이므로 유출시 명의 도용에 이어 2차, 3차 피해를 야기하며, 매년 이와 같은 사고로 인한 막대한 규모의 피해가 발생하고 있다[1].
CORS가 위험한 점은?
국내 인터넷 브라우저 시장 점유율 1위인 인터넷 익스플로러의 일부 버전에서 CORS(Cross-Origin Resource Sharing)를 이용한 사용자 정보의 유출이 가능함을 확인하였다. 이는 이전의 방법과는 달리 악성 프로그램 등의 설치 없이도 로그인한 계정의 정보를 유출할 수 있으며, 이를 이용하면 보안 프로그램의 영향을 받지 않고서도 SNS와 포털 사이트의 사용자 정보 혹은 계좌 정보나 카드 사용내역까지 얻을 수 있다. 인터넷 익스플로러 뿐만 아니라 일부 모바일 브라우저에서도 CORS를 이용한 공격이 가능함을 보였다.
국내 인터넷 브라우저 시장 점유율 1위는?
국내 인터넷 브라우저 시장 점유율 1위인 인터넷 익스플로러의 일부 버전에서 CORS(Cross-Origin Resource Sharing)를 이용한 사용자 정보의 유출이 가능함을 확인하였다. 이는 이전의 방법과는 달리 악성 프로그램 등의 설치 없이도 로그인한 계정의 정보를 유출할 수 있으며, 이를 이용하면 보안 프로그램의 영향을 받지 않고서도 SNS와 포털 사이트의 사용자 정보 혹은 계좌 정보나 카드 사용내역까지 얻을 수 있다.
참고문헌 (6)
Korea Communications Commission, The number of consultation about abused personal information(2013), retrieved Sep., 15, 2013, from http://www.index.go.kr/egams/stts/jsp/potal/stts/PO_STTS_IdxMain.jsp?idx_cd1366&bbsINDX_001&clas_divA.
J. Lam and J. B. Ullrich, Cross Site Request Forgery: What Attackers Don't Want You to Know(2013), Retrieved Sep., 15, 2013, from http://www.sans.org/reading-room/whitepapers/application/appsec-cross-site-request-forgery-attackers-33108.
World Wide Web Consortium, Cross-Origin Resource Sharing(2012), Retrieved Sep., 15, 2013, from http://www.w3.org/TR/2012/WD-cors-20120403/.
StatCounter, Top 5 Browsers in South Korea on Dec 2012(2013), Retrieved Sep., 15, 2013, from http://gs.statcounter.com/?chart_typeline&statType_hiddenbrowser®ionWorldwide®ion_hiddenww#browser-KR-monthly-201212-201212-bar.
Korea Communications Commision, Wired and wireless communication service subscriber statistics(2013), Retrieved Sep., 15, 2013, from http://www.kcc.go.kr/user.do?modeview&pageA02060400&dc60400&dc&boardId1030&boardSeq36008.
KISA, A Study on Prevention of Infringement of Web Sites for Mobile Access Environment(2010), Retrieved Sep., 15, 2013, from http://www.kisa.or.kr/public/library/reportView.jsp?regno017161&pageIndex13&searchType&searchKeyword.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.