본문 바로가기

벌새::Security

크롬(Chrome) 웹 브라우저로 네이버(Naver) 검색시 악성코드 노출 문제 (2014.4.17)

국내 최대 포털 사이트 네이버(Naver)에서 제공하는 검색 서비스를 구글 크롬(Google Chrome) 웹 브라우저를 통해 인터넷 검색시 악성코드에 노출될 수 있는 문제를 발견하였습니다.

 

해당 문제는 2014년 4월 15일 확인한 후 네이버(Naver)에 전달하여 2014년 4월 17일 수정이 이루어졌음을 밝힙니다.

최초 문제 확인은 구글 크롬(Google Chrome) 웹 브라우저를 이용하여 네이버(Naver)에서 특정 검색 키워드를 통해 인터넷 검색을 하는 과정에서 AhnLab V3 365 Clinic 보안 제품이 검색 결과 페이지에 노출된 바로가기 URL 값을 "불필요한 사이트(PUS) 접근 차단" 경고창을 생성하는 부분에서 원인을 찾기 시작하였습니다.

 

  <Right Security Blog> 악성코드로 진단되는 하우코덱(HowCodec) (2010.3.2)

 

  하우코덱(HowCodec) 설치로 인한 연관 추천 태그 광고 팝업창 주의 (2011.3.18)

 

참고로 인터넷 검색에서 사용한 하우코덱(HowCodec) 검색 키워드는 광고 기능을 필수적으로 포함한 통합코덱 프로그램으로 알려져 있습니다.

 

해당 문제의 원인을 찾기 위하여 Internet Explorer 웹 브라우저를 통해 네이버(Naver) 검색을 동일하게 진행할 경우에는 발생하지 않으며, 구글 크롬(Google Chrome) 웹 브라우저를 이용하여 타 인터넷 검색 서비스(※ 다음(Daum), 네이트(Nate), 구글(Google))에서는 문제가 발견되지 않았기에 웹 브라우저 문제보다는 네이버(Naver) 검색의 문제로 주목을 하였습니다.

네이버(Naver) 검색을 통해 검색 결과 페이지가 생성되는 과정에서 HTTP 트래픽을 모니터링해보면 바로가기에 표시된 URL 값을 자동으로 접속하는 동작을 확인할 수 있었습니다.

검색 결과 페이지의 소스를 통해 확인을 진행해보면 통합 검색 최상단에 노출되는 바로가기 URL 값에 스크립트를 추가하여 구글 크롬(Google Chrome) 웹 브라우저 사용자의 경우 해당 URL 주소로 "사전 렌더링(Prerender)" 하도록 설정되어 있는 부분을 발견할 수 있습니다.(※ 구글 크롬(Google Chrome) 웹 브라우저의 웹 페이지 로딩 속도를 위한 기능이 아닌가 생각됩니다.)

 

이로 인하여 사용자는 단순히 인터넷 검색을 통해 검색 결과만을 웹 브라우저 상으로 보고 있지만, 백그라운드 방식으로 바로가기 URL 주소를 자동으로 접속한 것과 동일합니다.

 

위와 같은 증상으로 인하여 구글 크롬(Google Chrome) 웹 브라우저 사용자가 네이버(Naver) 검색을 통해 실제로는 바로가기 URL 클릭을 통해 웹 사이트에 접속하지 않았지만, 해당 웹 사이트는 방문자가 접속한 것처럼 트래픽 상의 이득(?)을 상당 부분 보았을 것으로 추정됩니다.

 

위와 같은 문제가 유발할 수 있는 위험성으로는 만약 네이버(Naver) 검색을 통해 악성 스크립트가 추가되어 Exploit 방식의 악성코드 감염을 유발하는 웹 사이트 바로가기 URL 주소가 노출되는 경우입니다.

실제 테스트에서는 테스트 시점에서 악성 스크립트가 삽입된 특정 웹 사이트에 대하여 네이버(Naver) 검색을 시도하였을 경우 AhnLab V3 365 Clinic 보안 제품이 "악성 사이트 접근 차단" 경고창을 생성한 모습을 확인할 수 있습니다.

 

구글 크롬(Google Chrome) 웹 브라우저의 경우에는 자체 내장 Adobe Flash Player 플러그인을 통해 항상 최신 버전을 유지하고 있으며, Oracle Java 취약점으로도 쉽게 최종 파일을 받아오지 못하는 것으로 보이기에 최종 감염을 이루어지지 않았지만, 해당 문제가 수정되지 않은 상태로 지속될 경우 제로데이(0-Day) 취약점을 이용한 악성코드 유포시에는 네이버(Naver) 검색만으로도 손쉽게 시스템 감염이 발생할 수 있으리라 판단됩니다.

 

해당 문제가 언제부터 발생하고 있었는지는 알 수 없지만 때로는 특정 웹 브라우저의 특정 기능을 활용하는 과정에서 보안상의 위험에 노출될 수 있다는 점을 명심할 필요가 있으며, 개인적으로 구글(Google) 웹 검색 서비스처럼 국내 포털 사이트도 보안상 위험한 사이트의 경우에는 차단 서비스를 제공하는 것에 대해 진지하게 고민할 시기가 아닌가 싶습니다.

  • 허허 악성코드 요즘에 날리네요 -0-

  • NCSI 2014.04.18 10:36 댓글주소 수정/삭제 댓글쓰기

    prerender 기능은 applet, object 등의 미디어 관련 tag로 제대로 render하지 못합니다.(아래 참조문서 확인)
    이는 위의 태그를 사용한다고해서 지속유포되고 있는 IE, JRE, Flash 관련 취약점을 통한 exploit이 사용자 PC에서 일어나지 않음을 뜻합니다.
    감염될 수 있는 조건을 예상해보자면, IE11 or Chrome exploit같이 브라우져 취약점이 나오는 경우인데요. 아직 위와 같은 경우(0-day)는 현재 보고된 바 없고, 감염이 된 사례도 없습니다.
    네이버에서 해당 prerender 기능을 내린 이유는 벌새님께서 포스팅 하신대로, 백신탐지를 통한 사용자 불안감을 덜기 위한 조치 입니다.
    이 글을 보고 고객들이 네이버를 통해 악성코드가 배포되었다는 오해를 안샀으면 좋겠습니다. 네이버 서비스에 관심 가져주셔서 감사합니다.^^
    * 관련 문서 http://msdn.microsoft.com/ko-kr/library/ie/dn265039(v=vs.85).aspx https://developers.google.com/chrome/whitepapers/prerender?hl=ko

  • 감사합니다