[기사 링크] "MS IE서 '쿠키하이재킹' 보안결점 발견"
IE?
뜬금없게 IE라는 용어에 대해 한번 이야기 해 봅시다. 모르는 사람도 의외로 많아요.
지식이 없는 일반 사용자들은 인터넷을 쓴다 하면 보통 IE를 쓴다는 의미더군요. 웹브라우저 라는 용어도 잘 모르는 경우가 태반이지요.
쿠키(Cookie)
기사에서도 간략하게 설명되어 있지만, 쿠키는 웹사이트에서 보내주는 특정 정보를 사용자의 웹브라우저가 받아서 PC에 저장하기 위한 기술입니다. 그리고 추후 필요할 때 웹브라우저 읽어서 서버에 보내주거나 하는 등 일정 시간 동안 사용자의 PC에 특정 정보를 보관해 두기 위해 많이 쓰이는 기술입니다.
일반적으로 많이 쓰이는 곳은
- 로그인 정보: 로그인 시 로그인 되었다는 정보 및 관련 인증 기록
- 비회원제 서비스의 특정 정보: 쇼핑몰 등의 카트 등, 구글의 환경설정 등
이 외에도 많은 응용 분야가 있을 수 있습니다.
기사 내용에 대한 약간의 딴지
비밀번호도 쿠기로 저장된다라는 식으로 기사에 나와있습니다만, 사실 비밀번호를 쿠키로 보관하는 행위는 미친 짓입니다. 이걸 쿠키로 보관시키는 웹사이트가 있다면 즉시 폐쇄시켜야 합니다. -_-;;
보통은 비밀번호가 아니라 인증 기록을 남깁니다. 회원 ID 등이 남을 수도 있구요. 하여간 회원제 서비스의 경우 서버에도 회원의 인증(로그인) 기록을 남기자만 클라이언트(웹브라우저)에도 인증 기록을 남겨서 둘 사이의 연관에 따라 로그인 여부를 판단하는 방법을 많이 사용합니다.
일단, 비밀번호 자체가 쿠키로 남기는 서비스는 거의 없으리라 생각되고 따라서 크게 염려하지는 않아도 될 거라 생각합니다.
PC에 기록되는 쿠키 데이터도 웹브라우저만 인지할 수 있는 형태로 암호화되어서 저장됩니다.
로그인 시 비밀번호를 저장할 것이냐 라고 물어보는 기능은 웹브라우저 자체가 따로 제공하는 기능이고 쿠키로 저장하지는 않습니다. 따라서 비밀번호 저장 기능과는 관계가 없다고 보입니다.
결함의 위험성?
일단 원문으로 유추되는 페이지를 찾아서 링크를 겁니다.
http://news.softpedia.com/news/IE-Bug-Facilitates-Session-Cookie-Hijacking-Attacks-202388.shtml
동영상도 있으니 한번 보세요. 그림을 끌어다 놓는 순간 스크립트가 쿠키를 가로챌 수 있게 됩니다.
원문내용에도 IE 버전이 명시되어 있지 않지만 동영상에서 IE9으로 시연하는 것 보니 IE9에서만 발생하는 문제일 수도 있습니다.
드래그 앤 드랍(끌어다 놓기)를 했을 때 발생하는 이벤트를 이용해 쿠키 정보를 가로채는 것 같습니다. 대표적인 예로 페이스북에서 옷벗기기 게임이라는 걸 언급하고 있네요. 남자들은 잘 걸릴 만한 내용 같습니다...;;
하지만 앞에서도 언급했다 싶이, 쿠키에는 아주 중요한 정보를 남기지는 않습니다. MS에서도 크게 위협적인 보안 결함은 아니라고 이야기 했다는데 저도 동감입니다. 하지만 만에 하나라는 요소가 있으니 대비하는게 좋을 것 같습니다.
대비책
끌어다 놓기를 유도하는 서비스는 가급적 이용하지 않는게 대비하는 첫걸음 이겠군요.
하지만 가장 좋은 방법은 문제가 해결되가 전 까진 다른 브라우저를 이용하는 것 같습니다. 이 참에 Firefox 나 Google Chrome이나 Safari나 Opera 등의 다른 좋은 브라우저를 한번 사용해 보세요.
