[디지털투데이 홍진주 기자] 웹사이트가 브라우저 안에서 SSD 활동을 분석해 사용자가 보고 있는 다른 사이트와 실행 중인 앱까지 추정할 수 있는 새로운 웹 추적 기법이 공개됐다. 

27일(현지시간) IT 매체 아스테크니카에 따르면, 연구진은 ‘프로스트(Frost)’라는 이름의 새로운 측면채널(side-channel) 공격 기법을 제시했다. 사용자가 공격 코드가 포함된 웹사이트를 열기만 해도 작동할 수 있다는 점에서 보안 업계의 관심이 쏠리고 있다.

프로스트는 SSD의 입출력(I/O) 지연시간 변화를 활용하는 경합 기반 공격이다. 연구진은 브라우저 내부 저장공간인 OPFS(Origin Private File System)를 이용해 대용량 파일에 반복적으로 접근하는 자바스크립트를 실행한 뒤, SSD 접근 과정에서 발생하는 미세한 지연 차이를 측정했다. 이후 이 데이터를 사전 학습된 합성곱 신경망(CNN) 모델로 분석해 사용자가 어떤 웹사이트를 열고 있는지, 심지어 다른 브라우저나 애플리케이션에서 어떤 프로그램을 실행 중인지까지 추정할 수 있다고 설명했다.

연구진은 최근 브라우저가 단순 웹페이지 뷰어를 넘어 복잡한 애플리케이션 실행 환경으로 진화한 점에 주목했다. 실제로 구글과 마이크로소프트, 어도비 등은 브라우저 기반 오피스 도구와 편집 프로그램, 통합개발환경(IDE) 등을 제공하고 있다. 연구진은 이런 기능 확대가 웹 애플리케이션 활용 범위를 넓히는 동시에 브라우저 공격 표면도 크게 키웠다고 지적했다.

이번 기법의 특징은 운영체제 권한 탈취나 별도 악성코드 설치 없이, 브라우저 내부 기능만으로 공격이 가능하다는 점이다. OPFS는 사이트별로 분리된 저장공간이라 원칙적으로 다른 사이트나 시스템과 격리돼 있지만, 자바스크립트는 이 저장공간과의 입출력 상호작용 자체는 측정할 수 있다. 연구진은 공격자가 대용량 OPFS 파일에 무작위 읽기 작업을 반복하면 SSD 경합 현상이 지연시간 차이로 드러나고, AI 모델이 이를 분석해 시스템 활동 패턴을 식별할 수 있다고 설명했다.

다만 실제 대규모 악용에는 여러 제약도 존재한다. 우선 OPFS 파일 크기가 매우 커야 한다. 연구진은 공격 효율을 위해 최소 1GB 이상의 파일이 필요할 가능성이 높다고 봤다. 이는 사용자가 저장공간 증가를 눈치챌 가능성이 있다는 의미다. 또한 OPFS 파일이 사용자의 기본 SSD와 동일한 저장장치에 위치해야 하며, 별도 SSD를 사용하는 앱은 탐지하기 어렵다.

대응 방안으로는 사용하지 않는 탭을 즉시 닫는 방법이 제시됐다. 숙련된 사용자는 브라우저가 생성한 OPFS 파일의 용량과 생성 여부를 직접 점검할 수도 있다. 연구진은 브라우저 업체 차원에서 OPFS 파일 최대 크기를 제한하는 방식도 완화책이 될 수 있다고 제안했다.

실험은 애플 M2 기반 맥 환경에서 전체 공격 시나리오를 구현하는 방식으로 진행됐다. 연구진은 리눅스에서도 SSD 접근 지연 측정 자체는 가능하다는 점을 확인했으며, 원칙적으로 안정적인 SSD 접근 패턴이 존재하는 시스템 활동이라면 어떤 작업이든 학습 대상으로 활용할 수 있다고 설명했다. 다만 윈도우 11 환경에서는 아직 테스트가 이뤄지지 않았다.

현재까지 프로스트 기법이 실제 환경에서 악용됐다는 증거는 확인되지 않았다. 연구 결과는 오는 7월 보안 학회 DIMVA에서 발표될 예정이다. 업계에서는 브라우저가 점점 고성능 애플리케이션 플랫폼으로 진화하면서, 저장장치와 입출력 같은 하드웨어 수준 신호까지 악용하는 새로운 웹 추적 기법에 대한 경계가 필요하다는 지적이 나오고 있다.

• 아마존, 쇼핑 AI 구축 패키지 공개…소매업체 도입 기간 60일로 단축
• 中, AI 인재 '출국 제한' 강화…기술 패권 지키기 총력전
• 짐 크레이머 “주가 급등만 보고 매수 포기하는 건 실수”
• 부산디지털자산거래소, 가상자산거래소 플라이빗과 동맹
• 크립토랩, KT와 협력...'암호화 AI'로 의료 보험심사 자동화 솔루션 공동 개발