cs.CR 2011-08-16 0

구글 데스크톱 검색의 통합 기능을 이용한 원격 데이터 유출 공격

** 구글 데스크톱 검색이 웹 검색 결과에 로컬 파일 스니펫을 삽입하는 과정에서, 악성 자바 애플릿이나 자바스크립트를 이용해 로컬 검색 결과를 원격 서버로 전송할 수 있는 두 가지 공격 방법을 제시하고, 이에 대한 방어 방안을 논의한다. **

저자: Seth James Nielson, Seth J. Fogarty, Dan S. Wallach

** 본 논문은 구글이 제공하는 로컬 인덱싱 도구인 Google Desktop Search(GDS)의 통합 검색 기능이 어떻게 원격 공격에 악용될 수 있는지를 상세히 분석한다. GDS는 사용자가 웹 브라우저에서 Google.com에 검색을 수행하면, 동일한 검색어를 로컬 인덱스에도 적용하고, 그 결과를 웹 검색 페이지에 30~50자 정도의 스니펫 형태로 삽입한다. 이 과정은 로컬 웹 서버(127.0.0.1)와 네트워크 스택을 통해 이루어지며, 외부에서 직접 로컬 서버에 접근하는 것을 차단하도록 설계되었다. 그러나 GDS는 모든 외부로 향하는 HTTP 트래픽을 감시하고, 패킷을 분석해 Google.com에 대한 요청을 식별한다. 따라서 로컬 검색 결과를 삽입하는 트리거는 “아웃바운드 HTTP 요청”이며, 이는 브라우저뿐 아니라 자바 애플릿, 스크립트, 프록시 등 다양한 클라이언트에서 발생할 수 있다. 논문은 두 가지 구체적인 공격 시나리오를 제시한다. 첫 번째는 자바 애플릿을 이용한 공격이다. 자바 애플릿은 샌드박스 제한으로 로컬 파일에 직접 접근하지 못하지만, 자신이 로드된 원본 서버와는 자유롭게 TCP 연결을 할 수 있다. 공격자는 악성 애플릿을 포함한 웹 페이지를 피해자에게 방문하게 만든 뒤, 애플릿이 원본 서버에 제어 채널을 열어 두고, 서버가 전달하는 검색어를 받아 Google.com에 프록시 요청을 수행하도록 만든다. GDS는 이 프록시 요청을 정상적인 웹 검색으로 인식하고 로컬 스니펫을 삽입한다. 삽입된 HTML은 애플릿이 수신한 뒤 그대로 원본 서버로 전송되므로, 공격자는 실시간으로 로컬 파일의 민감한 조각을 획득한다. 두 번째는 자바스크립트 기반 공격이다. 현대 웹사이트는 자바스크립트를 광범위하게 사용하므로, 플러그인 차단 정책이 적용되지 않은 경우가 많다. 공격자는 악성 스크립트를 포함한 페이지를 제공하고, 사용자가 해당 페이지를 열면 스크립트가 자동으로 Google.com에 검색 요청을 보낸다. GDS는 이 요청을 감시하고 로컬 결과를 삽입한다. 삽입된 결과는 페이지 DOM에 그대로 노출되므로, 스크립트가 이를 읽어 AJAX 호출이나 이미지 요청 등으로 외부 서버에 전송할 수 있다. 또한 논문은 중간자 공격(MITM) 시나리오를 탐구한다. 공격자는 무선 LAN(예: 공항, 카페)에서 동일 네트워크에 접속한 상태에서 DNS 스푸핑이나 ARP 스푸핑을 이용해 악성 프록시 서버를 강제로 연결시킨다. 이렇게 하면 사용자는 원래 의도한 외부 애플릿이나 스크립트를 다운로드하지 못하고, 공격자가 제어하는 악성 코드가 로드된다. 이 경우 방화벽이나 전통적인 네트워크 필터링으로는 차단이 어렵다. VPN이나 전용 SSL/TLS 연결을 사용하면 이러한 MITM 공격을 방어할 수 있지만, 일반 사용자에게는 적용이 어려운 현실적인 제약이 있다. 보안 대책으로 저자들은 다음을 제안한다. 첫째, 사용자는 GDS 설정 화면에서 “웹 검색과 로컬 검색 결과 통합” 옵션을 비활성화해야 한다. 이는 가장 간단하면서도 효과적인 방어 수단이다. 둘째, 기업 환경에서는 로컬 네트워크 방화벽에서 127.0.0.1을 제외한 모든 로컬 웹 서버 접근을 차단하고, GDS가 감시하는 포트(예: 4665)에 대한 외부 트래픽을 제한한다. 셋째, GDS 자체 설계 개선이 필요하다. 로컬 검색 트리거를 “아웃바운드 HTTP 요청”이 아닌 “브라우저 내에서 직접 발생한 Google.com 검색”으로 제한하고, 삽입된 HTML에 nonce와 CSP(Content‑Security‑Policy)를 적용해 외부 스크립트가 결과를 읽지 못하도록 한다. 넷째, 자바와 플래시 같은 플러그인 사용을 최소화하고, 최신 보안 패치를 적용한다. 결론적으로, 구글 데스크톱 검색의 통합 기능은 사용 편의성을 크게 향상시켰지만, 네트워크 레이어에서 로컬 데이터를 자동으로 삽입하는 설계 결함으로 인해 원격 공격자가 로컬 파일의 민감 정보를 손쉽게 탈취할 수 있다. 논문은 이러한 위험성을 실험적으로 입증하고, 사용자와 개발자 모두가 취할 수 있는 구체적인 방어 방안을 제시함으로써 향후 로컬 검색 도구 설계 시 보안‑프라이버시 균형을 고려해야 함을 강조한다. **

원본 논문

고화질 논문을 불러오는 중입니다...

댓글 및 학술 토론

Loading comments...

의견 남기기