Accuvant Labs의 리서치 자료 "Browser Security Comparison : A Quantitative Approach"를 인용 보도한 Help Net Security "Chrome is the most secure browser, claims new study" 라는 제목의 기사에 나와 있는 이미지 입니다.
어쩌면 보안의 첫 번째 문이라고 할 수 있는 브라우저들의 보안 수준을 분석, 보고, 발표한 것인데요.
위 그림에서 보시는바와 같이
크롬 : 1 등, 금메달
IE : 2 등, 은메달
파폭 : 3 등, 동메달
사실, MS가 욕을 많이 먹어서 그렇지 보안에 대한 노력은 인정해 줘야 합니다. 그 노력이 파폭을 제치고 2등 은메달로 나타난 것 같습니다. ^^
그럼 어떤 기준을 가지고 평가 했을까요. 다음의 그림을 보시겠습니다.
Criteria 부분이 "평가기준"이라고 할 수 있겠네요. ^^
각각의 의미는 다음과 같습니다.
① Sandboxing : 시스템 내에서 다양한 자원(Resources)에 대한 접근(Access)을 제어(Control)하기 위해 서로의 개체(Objects), 쓰레드(Threads), 프로세스(Processes)를 분리하는 메커니즘을 말 합니다. (다운받으신 파일의 p27 참조하시기 바랍니다.) 따라서 분리/분산 메커니즘 속에 혹시 존재할지 모르는 취약점의 분석이나 정합성 여부를 비교 판단 한 것이라고 생각됩니다.
② Plug-in Security : 각각의 브라우저에 보조적/선택적으로 사용되는 Plug-in 프로그램/소프트웨어들의 무결성(Integrity)을 의미하는 것 같습니다. ^^
③ JIT Hardening : 먼저 JIT는 Just In Time의 약자 입니다. 프로그래밍에서는 JIT Engine, JIT Compile이라고 함께 붙여서 사용하고요, 그것이 훨씬 이해가 쉬우실 겁니다.
역할은 스크립트의 실행 전에 Byte Code를 Machine Code로 변경해 Java Script를 실행하는 것 입니다. Machine Code로 변환/실행 하기 때문에 속도가 기존의 JS Engine보다는 훨씬 빨라지게 되는 것이지요. 일부의 보고에 따르면 10배 이상의 성능 효과가 있다고 합니다.
Hardening은 뭐냐면 보안의 홀이 생기지 않도록 미리미리 조치를 취해 두는 것을 의미합니다.
본 비교에 적용된 JIT Hardening의 자세한 사항은 문서의 p28를 참조하시기 바랍니다.
④ ASLR : Address Space Layout Randomization의 약자 입니다. 보통 해킹은 어느 특정한 주소/페이지가 어디인지 무엇인지 어떤 곳과 연결되는지를 탐색하는 과정을 거치고 그것이 길잡이 역할을 하는데요. ASLR은 그런 것이 유추되지 않도록 하는 것입니다. 따라서 이 비교는 그 랜덤의 기능이 잘 돌아가는지 취약점은 없는지를 판단한 것으로 보입니다.
⑤ DEP : Data Execution Prevention의 약자로서 해커에 의해서 임의의 코드가 실행되는 것을 방지할 수 있거나 취약점이 존재하는가의 여부를 판단하는 비교입니다. 해커에 의해서 shellcode 같은 것이 실행되면 상상도 하기 싫지만 걍~ 끝장이잖아요...^^
⑥ GS : Stack Cookies (/GS)를 의미하는 것입니다. 보통 Stack Overflow나 Buffer Overflow 취약점은 Overflow가 발생할 때 다음 주소번지를 취득할 수 있다거나 하는 취약점이 있는 tag를 사용해서 공격하는데요 이런 일이 발생하지 않도록 하는 /GS 메카니즘의 정합성 여부를 비교한 것입니다. ^^
여하간 제가 주로 사용하며 응원하는 크롬 브라우저가 보안 금메달이라고 하니 왠지 기분이 좋아지고요. 위에서 잠시 언급한 것과 같이 보안에 대한 내용이 많이 향상되고 있는 익스플로어에 박수를 보냅니다.
아쉬운 것은 속도의 대명사였던 파폭이 동메달....그러나 곧 명성에 걸맞는 수준으로 올라올 것이라고 믿고 응원의 박수를 또한 보냅니다.
이상입니다. ^^
ps : 소개기사 보기(문서 다운로드 가능) Help Net Security "Chrome is the most secure browser, claims new study"
ps : 문서와 데이터 받아보기 Accuvant Labs의 리서치 자료 "Browser Security Comparison : A Quantitative Approach"
'IT 와 Social 이야기 > Security' 카테고리의 다른 글
| Endpoint Security Survey 2011 Infographic과 APT 공격 (0) | 2012.01.16 |
|---|---|
| Web App. 취약점과 Malware 는 (0) | 2012.01.09 |
| 웹쉘 해킹 Web Shell Hacking의 빗장수비 SSiART ShellMonitor (1) | 2011.11.08 |
| 해커 Hackers 의 일상을 아시나요? ^^ (0) | 2011.10.18 |
| 마이크로소프트의 보안 보고서 Microsoft Security Intelligence Report(SIR) v11 (0) | 2011.10.18 |
