마이크로소프트, 방침 전환… Edge가 비밀번호를 메모리에 로드하지 않게】
Microsoft는 Edge 웹 브라우저를 업데이트하여, 이전에 “설계상 의도된 동작”이라고 밝힌 바 있었던 시작 시 저장된 비밀번호를 평문으로 프로세스 메모리에 로드하지 않도록 하고 있습니다.
이 동작은 5월 4일 보안 연구원 Tom Jøran Sønstebyseter Rønning이 공개했으며, 그는 Edge 내장 비밀번호 관리자를 통해 저장된 모든 자격 증명이 실행 시 복호화되어 사용 중이 아니어도 메모리에 남아 있다는 것을 **시연**했습니다.
Rønning은 또한 **Proof‑of‑Concept (PoC) 도구**를 공개했는데, 이 도구를 사용하면 관리자 권한을 가진 공격자가 다른 사용자의 Edge 프로세스에서 비밀번호를 덤프할 수 있습니다(관리자 권한이 없을 경우, 동일 사용자에 의해 실행된 Edge 프로세스에만 접근 가능).
그는 이 문제를 Microsoft에 보고했으며, Microsoft는 해당 동작이 “설계상 의도된 것”이라고 답변했지만, 그는 이를 공개했습니다.
“내가 테스트한 Chromium 기반 브라우저 중 Edge만이 이런 방식을 보입니다. 반면 Chrome은 프로세스 메모리를 단순히 읽는 것만으로 저장된 비밀번호를 추출하기 훨씬 어렵게 설계되어 있습니다.” — 연구원 트윗
초기에는 “이것은 애플리케이션의 예상 기능이다”라며 문제 해결을 거부했지만, Microsoft는 수요일에 향후 Edge 버전에서는 시작 시 저장된 비밀번호를 메모리에 로드하지 않을 것이라고 발표했습니다. 이는 보고된 시나리오가 기존 위협 모델(이미 장치에 대한 관리 권한을 가진 공격자를 제외) 내에 포함되지만, 방어 깊이를 강화하기 위한 조치입니다.
“이 방어‑깊이 변화는 Edge의 모든 지원 버전(Stable, Beta, Dev, Canary 및 기업 고객이 사용하는 Extended Stable 채널)에 적용될 것이며, 배포를 최우선으로 진행하고 있습니다.” — Microsoft Edge 보안 책임자 Gareth Evans 블로그 포스트
“Secure Future Initiative와 고객 피드백에 대한 우리의 약속에 따라, 우리는 보다 넓은 관점에서 접근하고 있습니다. 이는 보안 이슈 여부만을 판단하는 것이 아니라, 방어‑깊이 개선을 통해 노출을 줄일 수 있는 부분을 찾는 것을 의미합니다. 이번 경우, 메모리 내 비밀번호 노출을 줄이는 것이 실질적인 단계가 됩니다.”
이 수정은 이미 Edge Canary 채널에 적용되어 있으며, 다음 업데이트(빌드 148 이상)부터 모든 지원되는 Edge 릴리스에 포함될 예정입니다.
작년에도 Microsoft는 **악성 사이드로드 확장 프로그램을 차단하는 새로운 Edge 보안 기능**을 도입했으며, 해커들이 Chakra JavaScript 엔진의 제로데이 취약점을 이용해 대상 장치에 접근하기 시작하면서 **Edge의 Internet Explorer 모드 접근을 제한**했습니다.
검증 격차: 자동화된 펜테스팅이 한 가지 질문에 답합니다. 당신은 여섯 가지가 필요합니다.
자동화된 펜테스팅 도구는 실제 가치를 제공하지만, “공격자가 네트워크를 횡단할 수 있는가?”라는 한 가지 질문에만 답하도록 설계되었습니다. 이 도구들은 여러분의 방어가 위협을 차단하는지, 탐지 규칙이 작동하는지, 클라우드 설정이 올바른지 등을 테스트하도록 만들어지지 않았습니다.
이 가이드는 실제로 검증해야 할 6가지 영역을 다룹니다.