본문 바로가기

벌새::Security

Mozilla Firefox 웹 브라우저의 확장 기능 보안 강화 정책 (2015.8.16)

반응형

Mozilla Firefox 웹 브라우저를 사용하는 과정에서 홈 페이지 변경 및 특정 웹 사이트로 자동 연결되는 등의 문제를 유발할 수 있는 보안 관련 문제에 대한 강화책으로 Mozilla Firefox 40.0 정식 버전부터 확장 기능에 대한 서명 정책이 도입되었습니다.

Firefox 부가 기능에 대한 보안 강화 정책은 2015년 2월경에 공식적으로 소개된 적이 있었으며, 다음과 같은 3단계를 통해 적용될 예정입니다.

  1. Firefox 40 : Firefox warns about signatures but doesn't enforce them.
  2. Firefox 41 : Firefox will have a preference that allows signature enforcement to be disabled (xpinstall.signatures.required in about:config).
  3. Firefox 42 : Release and Beta versions of Firefox will not allow unsigned extensions to be installed, with no override.

Mozilla Firefox 39.0.3 버전 및 하위 버전까지는 확장 기능에 추가되는 다양한 부가 기능에 대해 아무런 제재없이 동작할 수 있도록 허용하고 있었습니다.

하지만 웹 브라우저의 확장 기능(확장 프로그램)을 통한 광고 행위, 악성코드가 증가하면서 Chrome 웹 브라우저의 경우 다른 응용 프로그램에 의해 추가될 경우 "제3자에 의해 설치되었습니다."와 같은 메시지 표시와 Chrome 웹 스토어가 아닌 외부에서 설치되지 않도록 보안 정책을 변경하였습니다.

이런 추세에 맞추어 Mozilla Firefox 40.0 버전부터 AMO(addons.mozilla.org)를 통한 서명이 존재하지 않을 경우 추가된 확장 기능에 "○○○ 부가기능이 Firefox에서 확인될 수 없습니다. 주의해서 진행하세요."라는 경고성 메시지를 표시하도록 변경되었습니다.

차후 공개될 Mozilla Firefox 41.0 버전에서는 부가 기능에 추가된 확장 기능 중 서명이 존재하지 않을 경우 자동으로 "사용 안 함(Disable)"으로 설정이 변경되며, 사용자가 임시로 사용하도록 설정하려면 고급 환경 설정(about:config)에서 "xpinstall.signatures.required" 설정을 "false" 값으로 설정할 수 있도록 지원한다고 합니다.

 

하지만 Mozilla Firefox 42.0 Beta 버전 및 정식 버전부터는 더 이상의 Firefox 부가 기능에 추가되는 확장 기능 중 서명이 존재하지 않을 경우에는 사용할 수 없도록 최종적으로 정책이 전환됩니다.

 

단지 Chrome 웹 브라우저의 확장 프로그램 정책과의 차이점은 Chrome 웹 브라우저의 경우 현재 Chrome 웹 스토어에서 배포하는 확장 프로그램 외에는 설치 자체가 되지 않도록 제한을 둔 반면, Mozilla Firefox 웹 브라우저에서는 Mozilla 계정을 가진 개발자가 추가할 확장 기능을 AMO(addons.mozilla.org)에 제출하여 자동 시스템의 검토를 통해 몇 초만에 서명을 받을 수 있습니다.

 

특히 AMO(addons.mozilla.org) 이외에 개발자가 호스팅하는 웹 사이트를 통해서도 확장 기능을 배포할 수 있도록 했다는 점은 Chrome 확장 프로그램과의 가장 큰 차이라고 할 수 있습니다.

해당 확장 기능 정책 변경으로 인하여 HttpWatch 프로그램의 경우에는 Mozilla Firefox 41.0 버전부터는 더 이상 지원을 할 수 없다는 입장을 밝히는 경우도 있습니다.

 

그러므로 Mozilla Firefox 웹 브라우저를 사용하는 경우에는 새롭게 변경되는 확장 기능의 사용 여부를 잘 확인하여 검증되지 않은 프로그램으로 인해 웹 브라우저 사용시 보안상 문제가 되지 않도록 체크하시기 바랍니다.

728x90
반응형