크롬으로 네이버 검색 이용했더니...악성코드 노출?

구글 크롬 웹 브라우저를 통해 국내 최대 포털 사이트 네이버에서 제공하는 검색 서비스를 이용할 경우 악성코드에 노출될 수 있는 문제가 발견됐다. 

네이버 검색 결과 페이지가 생성되는 과정에서 HTTP 트래픽을 모니터링한 결과 바로가기에 표시된 URL값을 자동으로 접속하는 문제점이 확인됐다.

이는 ‘사전 랜더링(Prerendering)’ 기능이 설정되어 있기 때문인데, 구글 크롬 사용자의 경우 네이버에서 해당 URL 주소로 ‘사전 랜더링’ 하도록 스크립트가 설정되어 있다. 이 경우 사용자는 단순히 인터넷 검색 결과를 웹 브라우저 상으로 보고 있지만, 결과적으로는 백그라운드에서 바로가기 URL 주소에 자동으로 접속한 것과 같은 효과를 가져온다.

 

여기서 말하는 사전 랜더링 기능은 사용자 방문이 예상되는 사이트를 미리 불러와 해당 링크를 눌렀을 때 빠르게 해당 화면을 표시해주는 기능을 의미한다.  

 

만약 네이버 검색을 통해 악성 스크립트가 추가되면 익스플로잇(exploit) 방식의 악성코드 감염을 유발하는 웹사이트 바로가기 URL 주소에 노출될 수 있다.

구글 크롬 웹 브라우저의 경우에는 자체 내장 Adobe Flash Player 플러그인을 통해 항상 최신 버전을 유지하고 있고, Oracle Java 취약점을 통해 악성파일을 내려받을 가능성도 높지 않기 때문에 최종적으로 감염이 이루어질 확률은 희박하다. 그러나 해당 문제가 수정되지 않아 제로데이 취약점을 이용한 악성코드가 유포될 경우 네이버 검색만으로도 시스템이 손쉽게 감염될 수 있다.

▲ 실제 테스트 시 악성 스크립트가 삽입된 특정 웹사이트에 대해 네이버 검색을 시도한 경우 AhnLab V3 365 clinic이 ‘악성 사이트 접근 차단’ 경고창을 생성한 모습을 확인할 수 있다.

이를 발견한 파워블로거 ‘울지 않는 벌새’는 구글 크롬을 이용해 네이버에서 ‘하○코덱’이라는 특정 키워드 검색시 AhnLab V3 백신이 경고창을 띄운 것에 의문을 갖기 시작했다고 밝혔다. 검색결과 페이지에 노출된 바로가기 URL 값에 대해서 ‘불필요한 사이트 접근 차단’ 경고창이 나타났다는 것이다.

이어 그는 “인터넷 익스플로러를 통해 네이버 검색을 동일하게 진행할 경우에는 해당 문제가 발생하지 않았다”며, “구글 크롬을 통한 다음, 네이트, 구글 등 타 인터넷 검색 서비스 이용 시에도 문제가 발견되지 않았기에 웹 브라우저보다는 네이버 검색 문제에 주목하게 됐다”고 전했다.

덧붙여 그는 “해당 문제가 언제부터 발생하고 있었는지는 알 수 없지만 때로는 웹 브라우저의 특정 기능을 활용하는 과정에서 보안상 위험에 노출될 수 있다는 점을 명심할 필요가 있다”며, “국내 포털사이트도 구글처럼 보안상 위험한 사이트에 대한 차단 서비스를 제공하는 것을 진지하게 고민해야 할 때”라고 덧붙였다.

해당 문제점은  ‘벌새’가 지난 15일 확인한 후, 네이버 측에 전달하여 조치가 완료됐다. 이와 관련해 네이버 관계자는 “감염될 수 있는 조건을 예상해보자면 IE11과 구글 크롬 익스플로잇과 같이 브라우저 취약점이 나오는 경우인데, 이러한 제로데이 취약점은 현재까지 보고된 바 없다”며, “네이버에서 해당 ‘사전 랜더링’ 기능을 내린 이유는 백신 탐지를 통한 사용자 불안감을 덜기 위한 조치”라고 전했다.

이어 그는 “사용자들이 네이버를 통해 악성코드가 배포됐다는 오해를 사지 않았으면 좋겠다”고 덧붙였다.