구글과 페이스북, 트위터 해킹 시도가 늘어나면서 세 회사가 보안 강화에 팔을 걷어붙였다. 4일 네트워크월드는 보안 컨설팅 업체 네오햅시스랩 분석을 인용해 최근 3사가 여러 측면에서 보안 장치를 강화했다고 보도했다.
우선 보안소켓계층(SSL) 프로토콜을 브라우저에 적용하기 위해 `HTTP 전송보안(HSTS)` 기술을 도입했다. 로그인 상태에서 해커가 데이터를 빼내가는 것을 막는 게 목적이다. 예를 들어 사용자가 브라우저에 `www.google.com`을 입력하면 이 요청은 자동으로 SSL을 통해 전달되고 제3자 침입을 방지한다.
`크로스 사이트 스크립팅(XSS)` 방어가 두 번째다. XSS는 보안에 취약한 웹페이지에 악성 코드를 게시해 사용자 PC 웹페이지를 깨지게 하거나 정보를 빼내가는 수법이다. 웹 취약성을 제거하는 게 최선의 방어책이다.
페이스북은 개발자들이 프로그래밍 단계부터 웹 취약성을 낮출 수 있도록 `콘텐츠 보안 정책(CSP)`을 시행한다. 보안에 취약한 특정 프로그래밍 언어를 사용하지 못하게 하고 취약점 분석 툴을 사용하는 게 핵심이다. 트위터와 구글 역시 개발자 대상 보안 교육을 강화했다.
사용자를 속여 특정 클릭을 유도하는 `클릭재킹` 공격 예방도 갖췄다. 사용자는 본인이 원하는 웹페이지나 버튼을 클릭했다고 생각하지만 실제로는 다른 페이지를 클릭하게 된다. XSS와 마찬가지로 웹페이지 취약성을 이용한 공격이다.
구글과 페이스북, 트위터는 해커가 원치 않는 사이트로 연결되는 프로그램을 심지 못하도록 `엑스프레임 옵션`이라는 기술을 도입했다. 이 기술은 3사뿐만 아니라 페이팔, 이베이, 라이브닷컴 같은 인터넷 기업들도 널리 활용한다.
스콧 베렌스 네오햅시스랩 대표는 “최근 트위터 계정이 잇따라 해킹되면서 글로업 인터넷 기업 사이에서 보안 우려가 더 커졌다”며 “트위터나 페이스북, 구글은 연계된 웹사이트와 서비스가 많기 때문에 특히 더 보안 강화에 힘써야 한다”고 말했다.
안호천기자 hcan@etnews.com
