관련종목▶
KISA, 브라우저 자동 로그인 기능 관련 사용주의 권고
구글 크롬, MS 엣지 등 글로벌 브라우저 권고 대상
토종 브라우저 웨일, 이중 암호화 등으로 사전 차단 중
구글 크롬, MS 엣지 등 글로벌 브라우저 권고 대상
토종 브라우저 웨일, 이중 암호화 등으로 사전 차단 중
[파이낸셜뉴스] 최근 브라우저 자동 로그인 기능을 악용한 계정 정보 탈취가 늘어나고 있어 주의가 요구되고 있다. 개인정보 유출 등을 예방하기 위해 자동 로그인 기능 비활성화 등 사용자들은 자체 점검을 철저히 해야 하는 한편, 브라우저 개발 및 운영사들이 보안 기술을 강화해 계정 정보 유출을 예방해야 한다는 지적도 나온다.
11일 업계에 따르면 최근 한국인터넷진흥원(KISA)은 브라우저 자동 로그인 기능에 대한 사용주의 권고를 발표했다. 사용자의 여러 로그인 정보가 브라우저를 사용하는 PC에 저장되므로, PC가 악성코드에 감염될 경우 로그인 정보가 한꺼번에 유출될 수 있어서다.
KISA 조사 결과에 따르면 구글 크롬, 마이크로소프트(MS) 엣지, 모질라 파이어폭스 등 브라우저 3종에서 사용자 계정 탈취가 쉽게 가능한 것으로 확인됐다. 이에 △사용 중인 PC에서 자동 로그인 기능을 비활성화하고 사용을 자제할 것 △사용하지 않는 브라우저 프로필을 삭제할 것 △홈페이지별 비밀번호를 주기적으로 변경하고 OTP 등 2차 인증을 설정해 보안성을 강화할 것을 권고했다.
KISA는 해당 브라우저 개발 업체들과 협력해 문제점을 보완하고, 사용자들이 안전하게 브라우저를 이용할 수 있도록 대응 방안을 논의할 예정이다.
또 브라우저 개발 및 운영사들이 보안 위험을 사전에 차단할 수 있도록 기술을 강화해야 한다는 목소리도 나오고 있다. 대표적으로 네이버가 개발한 웨일 브라우저는 이번 KISA의 주의 대상에 포함되지 않은 것으로 나타났다. 이와 같은 보안 위험을 사전에 차단하고 있어서다.
네이버에 따르면 웨일은 WBC(White Box Cryptography) 기술을 기반으로 브라우저에 저장된 계정 정보를 이중 암호화하고 있다. WBC는 암호 키와 암호 알고리즘을 외부에서 유추할 수 없도록 저장해, 중요한 정보를 효과적으로 보호할 수 있는 암호화 기술이다.
웨일 브라우저에 적용된 '웨일 세이프 브라우징(WSB)' 엔진과 '웨일 클라이언트 사이드 디텍션(CSD)' 엔진을 바탕으로 불법 사이트 차단과 온라인 피싱 방지에도 나서고 있다.
웨일 세이프 브라우징 엔진은 국내외 악성 사이트 데이터베이스(DB)와 사용자가 접속하려는 사이트 정보를 대조해 피싱 등을 탐지한다. 클라이언트 사이드 디텍션 엔진을 통해서는 DB에 없는 신종 피싱 사이트도 실시간으로 탐지한다. 사이트의 △URL △HTML 콘텐츠 △시각적 특성 등을 분석해, 피싱 가능성을 측정하고 접근을 사전 차단하는 방식이다.
이처럼 고도화한 보안 기술은 웹 플랫폼 전반으로 활용 범위를 넓힐 수도 있다. 기업·기관 전용 브라우저인 ‘웨일 엔터프라이즈’에서는 키보드 보안 및 화면캡쳐 방지 기능 등을 제공하고 있고 웨일 스페이스 등 교육용 플랫폼에서는 시험모드 및 청소년 유해 차단 등 맞춤형 기능 등을 지원하고 있다.
네이버 관계자는 "웨일은 ‘유저 퍼스트’ 브라우저로서 사용자들에게 안전하고 쾌적한 브라우저 경험을 제공할 수 있도록, 진화하는 피싱 트렌드를 꾸준히 연구하며 보안 기술을 고도화해 나갈 계획"이라고 전했다.
soup@fnnews.com 임수빈 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지