반응형 웹 기술을 통한 해커들의 공격 방식에 대하여 (주)리투인 소프트웨어의 제작된 백서를 통하여 자세한 내용을 전달 드리고자 합니다.
요약 (Summary)
RESS(Responsive Design and Server Side Components)를 이용한 웹 서비스는 사용자의 단말기 환경에 따라 서로 다른 컨텐츠를 전송 할 수 있습니다.
현재 기업 환경에서 사용 되는 웹 서비스는 PC와 모바일 모두 제공하고 있으며 특히 이메일의 경우 본문을 HTML로 전송하거나 URL을 추가하여 웹 서비스 연결을 유도합니다.
악성 컨텐츠를 배포하는 웹 서비스의 경우 RESS를 통해 웹 보안 검사를 우회하고 사용자의 단말기에 악성 컨텐츠를 전달 할 수 있습니다. 사용자의 개인정보, 금융정보, 기업 정보 등을 탈취하고 알려진 PC 또는 모바일 어플리케이션을 위장한 랜섬웨어(악성코드)를 설치하여 심각한 피해를 발생 시킬 수 있습니다. RESS를 이용한 악성 웹 컨텐츠 대응을 위해 다양한 사용자 환경을 응용 할 수 있는 웹 컨텐츠 보안 검사 기술 도입이 필요합니다.
등장 : RESS - Responsive Design + Server Side Components
RESS(Responsive Design and Server Side Components)는 웹 사이트(서버)가 웹 데이터를 요청하는 클라이언트의 정보를 확인하고 각 클라이언트에 따라 다른 웹 소스를 전달하는 웹 개발 방법입니다.
2010년대에 들어와서 다양한 단말기(갤럭시, 아이폰, 아이팟, 아이패드, 넷북, Kindle 등)이 시장에 쏟아져 나오면서 그 에 따른 화면 해상도와 비율이 다양해 졌습니다. 특히 Android 계열은 어플리케이션 개발사의 개발 방향에 따라 해상도를 자유롭게 설정할 수 있도록 제약 없는 개발 환경을 제공합니다.
웹 서비스를 제공 하는 운영사는 이런 새로운 변화에 수동적으로 대처하기에는 어려움이 있었습니다.
이에 발을 맞추어 반응형(Responsive) 웹 개발 방법이 많이 사용 되었지만 반응형 웹 개발 방법은 웹 서버로부터 많은 양의 데이터를 한꺼번에 수신 하여 각 단말기의 화면 구성에 따라 웹 페이지를 로딩 합니다. 이 반응형 웹은 단말기가 수신하는 데이터 양이 많을수록 웹 페이지를 로딩 하는 시간이 길어지는 단점을 가지고 있었습니다. 로딩 시간이 길어지는 불편함을 해결하는 방법이 필요했습니다.
2011년 9월 12일 Luke Wroblewski는 RESS: Responsive Design + Server Side Components라는 기사를통해 RESS 웹개발 방법을 제안합니다. 그가 제안한 웹 개발 방법은 웹 디자인 커뮤니티에서 뜨거운 이슈로 다뤄지면서 RESS 웹 개발방법으로 운영하는 서비스가 점점 늘어났습니다.
클라이언트 따라 수신되는 내용을 다르게 구성하는 웹 (RESS)
RESS로 운영하는 웹 사이트는 각 클라이언트에 따라 전송하는 데이터가 다릅니다. 사이트는 클라이언트 의 웹 환경 정보를 읽어서 가장 최적의 웹 데이터를 전송하여 사용자에게 높은 질의 서비스를 제공할 수 있습니다. 특히 복잡한 페이지로 구성하거나 대량의 컨텐츠를 제공하는 웹 서비스라면 반응형 웹보다 RESS를 방식의 웹 서비스를 사용합니다.
보안검사 우회 - 악성 웹 컨텐츠
웹 컨텐츠 보안 검사는 악성 컨텐츠를 탐지하고 제거하기 위해 일련의 검사 과정을 수행합니다. 이과정은 특정한 네트워크 정보(URL, IP, etc.)를 통해 연결되는 데이터를 검사하며 대부분 보안 검사와 동일한 시간에 제공되는 웹 컨텐츠가 검사 대상이 됩니다.
보안 검사는 최초 웹 컨텐츠를 수신하여 악의적인 코드를 검사하지만 RESS를 통해 구성된 악성 웹 서비스는 보안검사에 사용되는 단말기의 사용자 에이전트(User agent)에는 정상적인 웹 컨텐츠를 전송하고 이외의 사용자 에이전트에는 해킹 공격을 위한 웹 컨텐츠를 전송 할 수 있습니다.
모바일보다 PC환경을 위한 보안 서비스가 활성화가 되어있기 때문에 보안 검사에 사용되는 단말기의 사용자 에이전트는 PC 환경 일 가능성이 높고 이를 이용한 보안 검사우회가 쉽게 이루어 질 수 있습니다.
악성 웹 컨텐츠 위험성 및 정밀 탐지 기술 도입
2010년의 기점으로 기존 PC에서 모바일까지 빠르게 추가 확장되었습니다. 현재 대부분의 웹 사용환경은 PC와 모바일을 지원하고 있으며 기업의 비즈니스 및 업무 환경을 웹 서비스를 통해 제공하는 경우가 많습니다. 특히 이메일과 같이 PC와 모바일 구분하지 않고 본문을 HTML로 전송하거나 URL을 추가하여 웹 서비스로 자연스럽게 연결을 유도합니다.
사용자가 연결한 URL이나 웹 서비스가 RESS를 통해 악성 컨텐츠 를 받을 경우 개인정보, 금융 정보, 기업정보 등을 탈취할 수 있고 잘 알려진 PC 또는 모바일 어플리케이션을 위장한 랜섬웨어(악성코드)를 설치하도록 유도할 수 있습니다.
RESS의 사용자 단말기에 따른 선택적 컨텐츠 제공이 가능함에 있어서 단일환경(User agent)에 대해서 보안검사를 수행하는 것을 지양하고 다양한 사용자의 단말기 환경과 동일하게 수신되는 웹 컨텐츠를 대상으로 보안검사할 수 있는기술을 도입해야 합니다.
실시간 지능형 차세대 이메일 보안 시스템(SPAM Prism)는 RESS 공격에 확실하게 대응합니다. 메일이 수신되면 이메일 본문과 첨부파일 내부의 웹 페이지 링크(URL)를 SPAM Prism 웹보안 서버 링크로 변경하고 사용자의 메일함에 전송합니다.
사용자가 화면 터치를 통해 모바일 RESS 공격을 위한 웹 페이지 링크를 클릭하더라도 실제 사용자 단말기의 사용자 에이전트(User agent)로 수신되는 웹 컨텐츠를 SPAM Prism이 실시간으로 보안검사 합니다. 사용자는 안전하게 정상 웹 컨텐츠를 제공 받으면서 의도치 않게 악성 컨텐츠 링크로 연결하더라도 SPAM Prism 웹 보안 서버에서 악성 컨텐츠를 탐지하고 경고와 함께 차단합니다.
