본문 바로가기
벌새::Security

크롬(Chrome) 웹 브라우저로 네이버(Naver) 검색시 악성코드 노출 문제 (2014.4.17)

벌새 2014. 4. 17. 13:47
반응형

국내 최대 포털 사이트 네이버(Naver)에서 제공하는 검색 서비스를 구글 크롬(Google Chrome) 웹 브라우저를 통해 인터넷 검색시 악성코드에 노출될 수 있는 문제를 발견하였습니다.

 

해당 문제는 2014년 4월 15일 확인한 후 네이버(Naver)에 전달하여 2014년 4월 17일 수정이 이루어졌음을 밝힙니다.

최초 문제 확인은 구글 크롬(Google Chrome) 웹 브라우저를 이용하여 네이버(Naver)에서 특정 검색 키워드를 통해 인터넷 검색을 하는 과정에서 AhnLab V3 365 Clinic 보안 제품이 검색 결과 페이지에 노출된 바로가기 URL 값을 "불필요한 사이트(PUS) 접근 차단" 경고창을 생성하는 부분에서 원인을 찾기 시작하였습니다.

 

  <Right Security Blog> 악성코드로 진단되는 하우코덱(HowCodec) (2010.3.2)

 

  하우코덱(HowCodec) 설치로 인한 연관 추천 태그 광고 팝업창 주의 (2011.3.18)

 

참고로 인터넷 검색에서 사용한 하우코덱(HowCodec) 검색 키워드는 광고 기능을 필수적으로 포함한 통합코덱 프로그램으로 알려져 있습니다.

 

해당 문제의 원인을 찾기 위하여 Internet Explorer 웹 브라우저를 통해 네이버(Naver) 검색을 동일하게 진행할 경우에는 발생하지 않으며, 구글 크롬(Google Chrome) 웹 브라우저를 이용하여 타 인터넷 검색 서비스(※ 다음(Daum), 네이트(Nate), 구글(Google))에서는 문제가 발견되지 않았기에 웹 브라우저 문제보다는 네이버(Naver) 검색의 문제로 주목을 하였습니다.

네이버(Naver) 검색을 통해 검색 결과 페이지가 생성되는 과정에서 HTTP 트래픽을 모니터링해보면 바로가기에 표시된 URL 값을 자동으로 접속하는 동작을 확인할 수 있었습니다.

검색 결과 페이지의 소스를 통해 확인을 진행해보면 통합 검색 최상단에 노출되는 바로가기 URL 값에 스크립트를 추가하여 구글 크롬(Google Chrome) 웹 브라우저 사용자의 경우 해당 URL 주소로 "사전 렌더링(Prerender)" 하도록 설정되어 있는 부분을 발견할 수 있습니다.(※ 구글 크롬(Google Chrome) 웹 브라우저의 웹 페이지 로딩 속도를 위한 기능이 아닌가 생각됩니다.)

 

이로 인하여 사용자는 단순히 인터넷 검색을 통해 검색 결과만을 웹 브라우저 상으로 보고 있지만, 백그라운드 방식으로 바로가기 URL 주소를 자동으로 접속한 것과 동일합니다.

 

위와 같은 증상으로 인하여 구글 크롬(Google Chrome) 웹 브라우저 사용자가 네이버(Naver) 검색을 통해 실제로는 바로가기 URL 클릭을 통해 웹 사이트에 접속하지 않았지만, 해당 웹 사이트는 방문자가 접속한 것처럼 트래픽 상의 이득(?)을 상당 부분 보았을 것으로 추정됩니다.

 

위와 같은 문제가 유발할 수 있는 위험성으로는 만약 네이버(Naver) 검색을 통해 악성 스크립트가 추가되어 Exploit 방식의 악성코드 감염을 유발하는 웹 사이트 바로가기 URL 주소가 노출되는 경우입니다.

실제 테스트에서는 테스트 시점에서 악성 스크립트가 삽입된 특정 웹 사이트에 대하여 네이버(Naver) 검색을 시도하였을 경우 AhnLab V3 365 Clinic 보안 제품이 "악성 사이트 접근 차단" 경고창을 생성한 모습을 확인할 수 있습니다.

 

구글 크롬(Google Chrome) 웹 브라우저의 경우에는 자체 내장 Adobe Flash Player 플러그인을 통해 항상 최신 버전을 유지하고 있으며, Oracle Java 취약점으로도 쉽게 최종 파일을 받아오지 못하는 것으로 보이기에 최종 감염을 이루어지지 않았지만, 해당 문제가 수정되지 않은 상태로 지속될 경우 제로데이(0-Day) 취약점을 이용한 악성코드 유포시에는 네이버(Naver) 검색만으로도 손쉽게 시스템 감염이 발생할 수 있으리라 판단됩니다.

 

해당 문제가 언제부터 발생하고 있었는지는 알 수 없지만 때로는 특정 웹 브라우저의 특정 기능을 활용하는 과정에서 보안상의 위험에 노출될 수 있다는 점을 명심할 필요가 있으며, 개인적으로 구글(Google) 웹 검색 서비스처럼 국내 포털 사이트도 보안상 위험한 사이트의 경우에는 차단 서비스를 제공하는 것에 대해 진지하게 고민할 시기가 아닌가 싶습니다.

728x90
반응형

티스토리툴바