파이어폭스, 안전한 웹사이트 더 잘 가려낸다

일반입력 :2014/09/04 10:00

PC용 파이어폭스32 정식판이 유명 웹사이트로 위장해 정보를 탈취, 변조하는 해킹 수법에 노출된 사용자를 보호하기 위한 신기능을 품었다.

외신들은 지난 2일 조용히 공개된 파이어폭스32 버전이 중간자(MITM)공격이나 다른 해킹으로부터 사용자를 보호하는 '공개키 게시(pinning)' 기능을 품고 나왔다고 보도했다.

MITM공격은 해커가 사용자 기기와 웹서버 사이에 오가는 민감한 데이터를 가로채거나 조작하는 수법을 가리킨다.

보통 민감한 사용자 데이터는 통신 과정에 시큐어소켓레이어(SSL) 또는 전송계층보안(TLS)같은 프로토콜로 암호화되지만, 해커가 서버의 보안취약점을 파고들면 SSL/TLS용 인증서를 위조해 서버 행세를 할 수도 있다. 이 경우 사용자는 여전히 데이터를 가로채이거나 조작당할 수 있게 된다.

파이어폭스32 버전에 새로 탑재된 공개키 게시 기능은 브라우저가 특정 사이트 방문시 암호화된 서버측 신원(host's cryptographic identity) 정보를 일정시간 기억할 수 있도록 만들어졌다. 사용자 데이터를 가로채기 위해 유명 사이트로 위장한 가짜 서버로 인한 피해를 예방할 수 있을 것으로 보인다.

영국 IT미디어 더레지스터는 공개키 게시 기능에 대해 사용자가 웹사이트 인증서의 신뢰성을 계속 염두에 두고 있어야 하는 부담을 덜어 준다고 평했다.

공개키 게시 기능을 통해 안심하고 방문할 수 있는 사이트는 아직 제한적이다. 당장은 모질라 확장기능 사이트나 트위터를 지원하며, 구글 서비스도 지원 대상에 포함될 예정이다.

다만 구글을 지원하는 시기는 다른 여러 도메인을 함께 포함하는 파이어폭스33 버전 공개 때가 될 것이라고 IT미디어 더넥스트웹이 전했다.

모질라는 공개키 게시 기능을 TLS같은 보안 통신 프로토콜 구현 환경의 보안을 더욱 향상시켜줄 것이라 묘사했다. 파이어폭스와 함께 배포된 내장형 루트인증서 수백개 중 아무거나 골라 받는 게 아니라, 사이트 운영자가 그들의 서버를 위해 발급된 '유효 인증서'를 내준 발급기관(CA)을 명시하게 해준다는 설명이다.

이제 파이어폭스는 안심하고 방문할 수 있다고 파악된 사이트에 접속시 기존 TLS 기능에 딸린 주소창 자물쇠 아이콘을 정상적으로 표시한다. 하지만 그렇지 않은 사이트에 접속시, 즉 '안전한 CA에 포함되지 않는 곳에서 발급한 루트인증서 정보를 내세우는 사이트'에 접속하면 오류를 표시하고 접속을 거부하게 된다.

또다른 IT미디어 이위크는 지난 몇년간 '코모도'나 '디지트노타'같은 CA가 연루된 인증서 보안 사고를 포함해, 여러 형태로 CA의 보안성이 먹칠을 당했던 사안이 여럿 있었다며 공개키 게시 기능은 최신 웹브라우저에 사용되는 여러 메커니즘을 결합해 SSL인증서의 무결성과 신뢰성을 확실시하도록 돕는다고 설명했다.

그에 따르면 모질라는 파이어폭스에 공개키 게시 기능을 담기에 앞서 '온라인 인증서 상태 프로토콜(OCSP)'이라는 기술을 지원해 브라우저의 인증서 상태정보에 포함된 CA를 점검할 수 있도록 했고, 그 기술을 확장한 일명 'OCSP 고정(Stapling)' 기법으로 SSL 인증서 상태 점검 절차를 더 빨라지게 했다.

이밖에도 파이어폭스32 버전은 사용자의 체감성능을 높여 주는 'HTTP 캐싱' 기능을 기본 활성화 상태로 지원한다. 이는 웹사이트 접속시 사용자 브라우저에서 서버측에 보내는 자원 요청 우선순위를 최적화하는 기술이다. 대용량 콘텐츠를 불러오는 시간을 단축하고 안정성을 높여 준다는 설명이다.

관련기사

'비밀번호 관리자' 기능에서 웹사이트 로그인 정보에 대한 메타데이터를 눈으로 확인할 수 있게 바뀌었다. 검색 도구막대에 일치하는 항목 숫자가 표시된다. 개발자 도구 사용자인터페이스(UI) 기능이 맥북 레티나같은 고화질 디스플레이를 지원하며 마크업 리뷰 화면에서 숨겨진 노드 정보도 표시된다.

이날 모질라가 공개한 파이어폭스32 릴리즈노트를 통해 다른 상세 변화와 신기능에 관한 사항을 확인할 수 있다. 기존 파이어폭스 사용자들은 새 버전을 자동으로 업데이트 받을 수 있으며, 다른 브라우저 사용자들은 모질라 공식사이트에서 운영체제(OS)별 파이어폭스 최신 정식판을 내려받을 수 있다.