XSS Auditor라는 이름의 이 기능은 2010년 구글 크롬 v4의 출시와 함께 크롬에 추가되었다. 이름에서 알 수 있듯이 XSS Auditor는 웹 사이트의 소스코드에서 사용자 브라우저에서 악의적인 코드를 실행하려고 하는 교차 사이트 스크립팅(XSS) 공격의 패턴을 검색한다. 알려진 XSS 패턴이 발견되면 크롬에서 악성코드를 제거하거나 웹사이트가 완전히 로드되지 않도록 차단하여 오류를 표시한다. 출시 이후 이 기능은 애드온을 이용해 다른 브라우저에도 복제되었으며, 가장 유명한 기능은 NoScript 확장 기능으로 지금까지 몇 년 동안 XSS 보호 메커니즘으로 기능하고 있다.
그러나 7월 15일 월요일, 구글 엔지니어들은 크롬에서 XSS Auditor을 삭제할 계획을 발표했다.
엔지니어들은 기능 제거의 몇가지 이유를 설명했다. 첫번째는 지난 몇 년 동안 발견된 수많은 XSS Auditor 우회들이다. XSS Auditor이 출시된 이후 평판이 좋았지만, 이제는 우회를 찾을 때까지는 보안 연구원도 아니다라는 농담을 할 정도로 우회 방법이 많이 발견되었다.
게다가 모든 XSS Autitor 우회를 패치하면 크롬 자체에 구멍이 생긴다. 크롬 엔지니어인 토마스 세페즈(Thomas Sepez)는 XSS Auditor의 지원 중단을 알리는 구글 그룹스 토론에서 XSS Auditor이 많은 "교차 사이트 정보 유출"을 가져왔으며, "모든 정보 유출 문제를 해결하는 것은 어렵다"고 전했다.
또한 XSS Auditor가 오류탐지를 기반으로 합법적인 사이트에 대한 액세스를 차단하는 거짓양성(false positive) 문제도 있다. 이것이 크롬 74의 출시와 함께 구글이 기본 XSS Auditor의 모드를 '차단'에서 '필터'로 전환한 이유이다. 즉 XSS Auditor이 XSS 코드가 포함된 웹사이트에 대한 엑세스를 차단하지 않고 오히려 코드를 삭제하여 오탐(false positive)보고서 수를 줄이려고 시도했다.
XSS Auditor 컴포넌트 비추천작업이 작년 10월에 시작되었다. 구글은 크롬 릴리즈 XSS Auditor가 비활성화될 것을 명시하지 않았으며, 결국 크롬 코드베이스에서 제거되었다.
좋은 소식은 구글이 이미 교체 작업을 시작했다는 것이다. 지난 2월 구글은 자사 엔지니어들이 DOM 기반의 XSS 공격에 대한 새로운 방어책인 트러스티드 타입(Trusted Types) 브라우저 API를 개발했다고 발표하며, 그들은 "DOM XSS를 없앨 것"이라고 주장했다. 크롬 컴포넌트였던 XSS Auditor과는 달리 새로운 트러스티드 타입 API는 웹 표준이며 이론적으로 다른 브라우저에도 포함될 수 있다.
1월에 출간된 임퍼바(Imperva)보고서에 따르면 XSS 취약점은 2014, 2015, 2016, 2017년 웹공격에서 가장 일반적인 형태였다. 그들은 2018년에는 웹기반 공격에서 두번째로 흔한 형태였는데 SQL 주입 공격의 급상승으로 인해 한계단 하락했었다.
XSS 취약점은 사이트에 접속하는 사용자에게 직접적인 손상으로 이어지지는 않기 때문에 기업이나 보안 전문가들에 의해 경시되는 경우가 많다. 그러나 종종 더 많은 피해를 주는 해킹으로 이어지는 복잡한 루틴의 첫번째 단계가 된다. 많은 경우 XSS 공격을 제거하면 초기 단계가 없어 불가능한 공격들로부터 사용자를 보호할 수 있다.
크롬 외에 XSS 필터를 탑재한 다른 두 브라우저는 인터넷 익스플로어와 에지였다. 마이크로소프트는 작년에 에지에서 XSS 필터를 제거했다. 운영체제와 브라우저 제조업체는 웹사이트 수준에서 XSS 공격을 차단하는게 더 효율적일 수 있는 콘텐츠 보안정책과 같은 최신 표준의 존재에 대해 언급했다.
★정보보안 대표 미디어 데일리시큐!★