0xNews - CNAME 클로킹 기술을 통한 온라인 정보 수집 정보 공개
0xNews - CNAME 클로킹 기술을 통한 온라인 정보 수집 정보 공개
개인적으로 모인 정보보안 전문가 그룹에서 공개
CNAME Cloaking 명명
웹 사이트의 자사 쿠키와 타사 쿠키의 구분을 모호하게 하는 관행은 사용자의 동의없이 민감한 개인정보를 유출할 뿐만 아니라 웹 보안 위협을 증가시킬 수 있음
연구팀은 이번 문제를 논문으로 발표
논문 제목 The CNAME of the Game: Large-scale Analysis of DNS-based Tracking Evasion
https://arxiv.org/abs/2102.09301
이 추적체계는 하위 도메인의 CNAME 레코드를 활용하여 포함하는 웹 사이트와 동일한 사이트가 되도록 함
결과적으로 제3자 쿠키를 차단하는 방어 효과가 없음
해당 연구 결과는 PETS 2021 제 21회 개인 정보 보호 강화 기술 심포지엄 Privacy Enhancing Technologies Symposium 발표 예정
몇년 동안 구글 크룸을 제외한 모든 주요 브라우저에서는 타사 트래커를 억제하기 위한 대책이 꾸준히 업데이트
애플은 2017년 6월 ITP Intelligent Tracking Protection 라는 사파리 Safari 기능에 추가
쿠키 및 기타 웹 사이트 데이터를 더욱 제한하여 교체 사이트 트래커를 줄이기 위해 데스크톱과 모바일에 새로운 개인 정보 보호 표준을 설정
2019년 아이폰 제조업체는 온라인 광고를 비공개로 만들기 위해 개인 정보 보호 광고 클릭 어트리뷰션 Privacy Preserving Ad Click Attribution 이라는 별도의 계획을 수립
2019년 애플의 온라인 광고의 개인 정보 보호 발표 관련 뉴스 사이트 링크
모질라 Mozilla 는 2019년 9월 ETP Enhanced Tracking Protection 라는 기능을 통해 기본적으로 파이어폭스 Firefox 에서 타사 쿠키 차단 시작
2020년 1월 MS 크로니움 기반 에지 Edge 브라우저도 해당 정책 실행
https://docs.microsoft.com/en-us/microsoft-edge/web-platform/tracking-prevention
2020년 3월 애플은 로그인 지문을 방지하기 위해 완전한 타사 쿠키 차단 기능을 ITP를 추가 업데이트
구글은 2020년 프라이버시 샌드 박스 privacy sandbox 라는 새로운 프레임워크를 도입
크롬에서 제3자 쿠키와 트래커를 단계적으로 제거할 계획을 발표
하지만 2022년까지는 적용되지 않을 것으로 예상
그 동안 검색 엔진과 검색 포털 사이트에서는 웹에서 개인화된 광고를 제공하기 위해 프라이버시 중심 기술을 사용
교차 사이트 트래커가 제공하는 기능을 대체할 것으로 보이는 Dovekey 라는 대체 제안에 대해 광고 기술 회사와 적극적으로 협력
프라이버시를 강화하기 위한 이러한 쿠키 장벽에 직면한 광고회사는 사이트 트래커에 대해 브라우저 제작자가 취하는 행동에서 피할 수 있는 대안을 찾기 시작
웹 사이트에서 트래커 차단기를 우회하기 위해 DNS 구성의 CNAME 레코드를 통해 타사 트래커 도메인의 별칭으로 자사 하위 도메인을 사용하는 표준 이름 CNAME Cloaking 클로킹을 입력
DNS 의 CNAME 레코드를 사용하면 도메인이나 하위 도메인을 다른 도메인으로 맵핑할 수 있으므로 자사 하위 도메인을 가장하여 트래커 코드를 들여오는 이상적인 수단
이러한 것은 사이트 소유자자 sub.blog.example 와 같은 하위 도메인 중 하나를 구성하여 thirdParty.example 로 확인한 후 IP 주소로 확인할 수 있음을 의미
이는 웹 구조 아래 발생하며 CNAME 클로킹이라 지칭
thirdParty.example 도메인은 sub.blog.example 로 클로킹됨으로 자사와 동일한 권한을 가짐
결과적으로 CNAME 클로킹은 트래커 코드를 자사 도메인과 다른 CNAME 을 통해 확인하는 리소스를 사용하여 실제는 아니지만 자사처럼 보이게 만듬
광고회사는 이와 같은 연계로 인해 지난 22개월 동안 21% 성장
연구팀은 이런 기술을 10474개 웹 사이트 대상 조사
이런 트래커 서비스를 제공하는 13개 제공업체를 발견
상위 1만개 웹 사이트 중 9.98%에서 사용된다는 사실 발견
광고 기술 회사 중 한 곳에서는 브라우저의 개인 정보 보호를 우회하기 위해 특별히 CNAME 클로킹으로 전환한 애플 사파리 브라우저의 표적 처리 확인
애플인 이미 CNAME 클로킹에 대한 방어 기능을 출시했지만 이번 연구로 통해 애플 iOS 14, macOS BigSur 을 실행하지 않은 기기에서는 반영되지 않음을 확인
가장 문제가 되는 것은 CNAME 트래커를 사용한 7797개 사이트 중 7377개 사이트 95%에서 쿠키 데이터 유출이 발견되었다는 것을 의미
이 사이트 모두는 전체 이름, 위치, 이메일 주소, 사용자의 명시적 확인 없이 다른 도메인의 트래커에 대한 인증 쿠키 제공
HTTPS 가 아닌 HTTP를 통해 포함된 많은 CNAME 트래커를 통해 연구원들은 분석 데이터를 트래커로 보내는 요청이 MitM Man-in-the-Middle 공격에서 공격자에 의해 노출되고 악용될 가능성이 높음
또한 트래커를 동일한 사이트로 포함하여 공격 표면이 증가하면 웹 사이트 방문자의 데이터가 세션 고정 session fixation 이나 교차 사이트 스크립팅 공격에 노출될 수 있음
모잘리 파이어폭스는 CNAME 클로킹을 즉시 금지하지 않음
사용자는 uBlock Origin 과 같은 추가 기능을 다운로드하여 트래커 차단 가능
덧붙여서 각 웹 사이트의 모든 쿠키를 별도의 쿠키 항아리에 보관하여 교차 사이트 트래커를 방지하는 Total Cookie Protection 기능을 추가한 Firefox 86 공개
애플의 iOS 14 나 macOS BigSur 에서는 타사 CNAME 클로킹을 보호하기 위해 ITP 기능을 기반으로 하는 추가 보호 장치가 제공
트래커 도메인을 마스킹하고 처음부터 바로 차단할 수 있는 기능은 제공하지 않음
ITP 는 타사 CNAME 클로킹 요청을 감지 후 HTTP 응답에서 설정된 모든 쿠키 만료일을 7일로 제한
브레이브 브라우저 Brave Browser 는 긴급 수정 공지
광고 기능 차단 업데이트
공용 인터넷 DNS resolver 보다는 토르 노드를 통해 .onion 도메인에 대한 쿼리를 추가 전송하는 것을 막음
구글 크롬은 기본적으로 CNAME 클로킹을 차단하지 않음
파이어폭스와 달리 요청이 전송되기 전에 CNAME 레코드를 가져와서 타사 확장 프로그램이 DNS 쿼리를 쉽게 해결할 수 있도록 하지 않음
이번 연구를 통해 새로운 CNAME 트래커 기술은 추적 방지 조치를 회피
이는 심각한 보안과 개인 정보 보호 문제를 야기
사용자 데이터는 사용자의 인식이나 동의없이 지속적이고 일관되게 유출
이는 GDPR 과 ePrivacy 관련 조항에 걸리려 문제를 야기할 가능성이 높음
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.