F O C U S 5 인터넷사이트쿠키 (Cookie) 의주요이슈및취약점분석 FOCUS 김윤현 *, 이태승 ** 인터넷서비스의편리성, 효율성증대를위하여사용되는쿠키에대하여살펴보고, 쿠키관련 국내외법률, 보안위협등을통해올바른쿠키사용방법에대하여논의하기로한다. Ⅰ. 서론 Ⅱ. 쿠키의개념및구조 1. 쿠키의개념 2. 쿠키의구조 3. 쿠키의종류 Ⅲ. 쿠키관련국내외법률및분쟁사례 1. 국외쿠키관련법률 2. 국내쿠키관련법률 3. 쿠키관련분쟁사례 Ⅳ. 쿠키의정보보안측면의문제점 1. 쿠키보안취약점 2. 쿠키의개인정보침해위험 Ⅴ. 결론 ** 한국인터넷진흥원개인정보침해점검팀선임연구원 (yoonhyun82@kisa.or.kr) ** 한국인터넷진흥원개인정보침해점검팀팀장 (tslee@kisa.or.kr) 79
Ⅰ. 서론 쿠키는인터넷사용자가웹사이트를방문할때, 사용자의컴퓨터에자동으로설치되는작은임시파일이다. 웹사이트는쿠키파일을이용하여사용자의활동기록들을수집하고, 사용자가다시웹사이트에접속하면쿠키정보를이용하여사용자에게맞춤형광고등을제공한다. 이렇게수집된정보는사용자의소비패턴, 관심분야등의정보들을조합하여, 사용자의행태정보를추측할수도있다. 인터넷서비스이용자의편의성및사용자에맞는서비스제공을위하여사용되고있는쿠키가근래에는사용자개인정보의노출, 개인행태정보수집등과같은문제유발과개인정보관련분쟁을유발하고있다. 이에본고에서는인터넷서비스의편리성, 효율성증대를위하여사용되는쿠키에대하여살펴보고, 쿠키관련국내외법률, 보안위협등을통해올바른쿠키사용방법에대하여논의하기로한다. Ⅱ. 쿠키의개념및구조 1. 쿠키의개념 쿠키는웹서버와브라우저간을이동하는요청및페이지에포함된작은텍스트비트이다. 쿠키에는사용자가사이트를방문할때마다웹응용프로그램에서읽을수있는정보가포함되어있다. 예를들어사용자가사이트에페이지를요청하면응용프로그램에서는페이지뿐만아니라날짜, 시간을포함하는쿠키도보내고, 사용자의브라우저에서페이지를가져오면사용자하드디스크의폴더에저장된쿠키도가져온다. 나중에사용자가다시사이트에페이지를요청하는경우 URL을입력하면브라우저는로컬하드디스크에서이 URL과관련된쿠키를확인한다. 쿠키가존재할경우브라우저에서는페이지요청과함께이쿠키를사이트에보낸다. 그러면응용프로그램에서사용자가마지막으로사이트를방문한날짜및시간을확인할수있다. 이정보를사용하여사용자에게메시지를표시하거나만료날짜를확인할수있다. 쿠키는특정페이지가아니라웹사이트와관련되므로브라우저와서버는사용 80 INTERNET & SECURITY FOCUS August 2014
자가사이트에요청하는페이지에관계없이쿠키정보를교환하게된다. 사용자가여러사이 트를방문할경우각사이트에서는사용자의브라우저에쿠키를보내고브라우저에서는모든 쿠키를개별적으로저장한다. FOCUS 웹사이트에서는쿠키를사용하여방문자에대한정보를저장한다. 일반적으로쿠키는웹응용프로그램에서연속성을유지관리하는방법, 즉상태관리를수행하는방법중하나이다. 실제로정보를교환하는짧은시간을제외하면브라우저와웹서버는연결이끊어져있다. 웹서버에대한사용자의각요청은다른요청과별개로처리된다. 그러나대부분의경우사용자가페이지를요철할때웹서버에서사용자를인식하면유용하다. 예를들어쇼핑사이트의웹서버는각쇼핑객을추적하므로사이트에서장바구니및기타사용자별정보를관리할수있다. 따라서쿠키는일종의명함으로사용되어응용프로그램에서진행방법을알수있도록관련된식별정보를제공한다. 쿠키는다양한용도로사용되는데모두웹사이트에서사용자를기억하도록하기위한것이다. 예를들어투표사이트에서사용자가두번투표할수없도록쿠키를 Boolean Value( 참또는거짓어느한쪽을취하는값, 논리값과같은의미 ) 로사용하여사용자의브라우저에서이미선거에참여했는지여부를나타낼수있다. 사용자가로그온해야하는사이트에서는사용자가자격증명을계속입력할필요가없도록쿠키를사용하여해당사용자가이미로그온했음을나타낼수있다. 2. 쿠키의구조 쿠키는 4 개의속성과하나의데이터를가지는구조체이다. 서버는응답에 Set-Cookie 헤 더를포함시키는방식으로쿠키를설정한다. 쿠키는이름 - 값쌍과선택적인어튜리뷰트들로 구성된다. 쿠키의기본구조는다음과같다. Set-Cookie: name=value; expires=[date]; domain=[domain]; path=[path]; [secure] 1) 유효기간쿠키가생성되면기본적으로브라우저가종료될때까지는쿠키의데이터를사용할수있다. 하지만유효기간을지정하면브라우저가종료되어도지정한기간동안은쿠키데이터를읽고쓸수있게된다. 유효기간이지나면쿠키데이터는소멸된다. 실제로파일이지워지지 FOCUS 5 인터넷사이트쿠키 (Cookie) 의주요이슈및취약점분석 81
는않더라도데이터를브라우저에서읽을수가없다. 2) 패스쿠키는쿠키데이터를생성한웹페이지에서만그데이터를읽을수있다. 하지만 Path 항목을지정행주면해당 Path 이하에서는그쿠키데이터를공유할수있다. ex) http://www. sp.or.kr/bbs/board.html 에서쿠키를생성하면, http://www.sp.or.kr/bbs/board.html 이외의페이지에서는쿠키데이터를읽을수가없다. 하지만 Path를 /bbs 로설정하면 http://www.sp.or.kr/bbs 모든페이지에서쿠키데이터를읽을수가있다. Path를 / 로지정하면 http://www.sp.or.kr/ 의모든페이지에서쿠키를읽을수가있다. 3) 도메인도메인속성은패스속성을확장한것이다. 패스가하나의사이트에서쿠키데이터를읽고쓰는권한을설정하는것이라면, 도메인항목은도메인단위에서쿠키데이터를읽고쓰는권한을설정하게된다. ex) 패스를 / 로설정을하면 sp.or.kr 의모든페이지에서위의쿠키를읽을수있게된다. 4) 보안이는쿠키데이터의전송방법을지정한다. 보통은일반 HTTP를이용하여전송하지만, 만일안전한전송방법을지정하면 HTTPS 등의보안전송방법을사용하면된다. 하지만대부분의경우쿠키로는위험하지않은데이터를전달하기때문에거의사용하지않는다. 3. 쿠키의종류 1) 브라우저쿠키 Cookie는사용자가방문한웹사이트에서추후에어떤용도로든사용하기위해서사용자의하드디스크에남기는정보를의미한다. 예를들어사용자가특정팝업창에대해 더이상띄우지않음, 오늘은띄우지않음 등과같은체크박스를선택할경우다음부터해당사이트에방문할때더이상그런팝업창이나타나지않게되는데이는 Cookie 정보가사용자의 PC에저장되어있기때문이다. 엄밀히말하자면이런 Cookie는 Persistent Cookie라고불 82 INTERNET & SECURITY FOCUS August 2014
리며메모리공간에상주하여브라우저관련프로세스가실행되고있을때까지만유효한 Cookie 정보도있는데이를 Non-Persistent Cookie 혹은 Session Cookie 라고부른다. Cookie( 엄밀히 Persistent Cookie) 파일이저장되는위치, 그리고저장방식은웹브라우저 FOCUS 종류와버전에따라상이하다. 예를들어국내에서가장많은유저가사용하는인터넷익스플로러의경우는도메인마다파일하나로서저장한다. 또한저장되는위치는 Windows 버전에따라다를수있다. 따라서 Cookie 파일을찾기위해서는 파일찾기 등의검색툴을이용하여검색어로서 Cookie 를입력하여로컬하드디스크를확인해보는것이쉽다. 이중윈도우에저장된인터넷익스플로러의 Cookie 파일의예를보자. 다음은로컬하드디스크에저장된 hosik@google[1].txt의내용을메모장으로열어본경우이다. < 표 1> 쿠키내용 PREF ID=e86917dffe2b57c6:TB=2:TM=1154070164:LM=1161827593:DV=AA:S=R4sPp GRTj7axz2nH google.com/ 1536 2618878336 32111634 2149319072 29816993 * 2) 슈퍼쿠키슈퍼쿠키는사용자의웹사이트방문기록등을알수있는새로운형태의쿠키파일이다. 사용자가쿠키를삭제해도컴퓨터이용자들이어떤사이트를방문했는지를파악할수있으며, 일반적인쿠키와는다른경로로저장되어컴퓨터이용자가알아차리기어렵다. 최근미국에서는 MSN, 동영상사이트훌루등유명사이트에서슈퍼쿠키가유포된사실을발견하고파일을즉시삭제하는등대응하고있다. 3) Flash 쿠키 Flash 쿠키는브라우저쿠키에비해 25 배나많은용량 (100KB) 을가지고있으며, Flash FOCUS 5 인터넷사이트쿠키 (Cookie) 의주요이슈및취약점분석 83
쿠키의저장경로는브라우저쿠키저장경로와는다른경로에저장되고있다. 사용자는브라우저상의쿠키삭제기능으로 Flash 쿠키의삭제가불가능하여사용자가임의적으로 Flash 쿠키가저장되는경로로접근하여삭제하지않는이상영구적으로남아있게된다. 또한이런사실을대부분의사용자들이인지하고있지못하고있어사용자부주의나여러외부요인들로인해개인성향 패턴정보가노출될가능성을내포하고있다. < 표 2> OS 별 Flash 쿠키저장경로 운영체제 Windows Mac OS Linux 저장경로 C:/Documents and Settings/Administrator/Application Data/Macromedia/Flash Player/#SharedObjects/ ~/Library/preferences/Macromedia/FlashPlayer. For AIR Applications, ~/Library/preferences/[package name (ID)of your app] and ~/Library/preferences/Macromedia/FlashPlayer/Macromedia.com/Support/flashplayer/sys ~/.Macromedia Ⅲ. 쿠키관련국내외법률및이슈사항 1. 국외쿠키관련법률 1) 미국쿠키로인하여프라이버시를침해당한인터넷이용자들이서비스제공자를상대로제소할때일반적으로원용하는법률로는 Computer Abuse and Fraud Act, Federal Wiretap Act, Electronic Communications Privacy Act of 1986, Cable Privacy Act of 1984, Children s Online Privacy Protection Act 등이있다. 미국연방정부및일부의주 ( 州 ) 에서인터넷이용자의개인정보나프라이버시를보호하고, 동의를얻지않고이루어지는개인정보의수집을금지하는법률안이제안된바있다. 예를들어사우스캐롤라이나주상원의원 Ernest F. Hollings에의하여인터넷을사용하는개인의프라이버시를보호하기위한온라인개인프라이버시법 (Online Personal Privacy Act of 2002, S.2201) 이제안되어있다. 한편 2004.07.01 발효된 California Online Privacy Protection Act of 2003, Business 84 INTERNET & SECURITY FOCUS August 2014
and Professions Code Section 22575-22579(2004) 는 상업적 (commercial) 사이트나온 라인서비스운영자에게프라이버시정책을홈페이지에공고할것을요구하는미국에서의최 초입법이다. 그 상업적 사이트에관한정의규정을두고있지는않다. 동법은 California 주 FOCUS 민으로부터개인정보 (personally identifiable information) 를수집하는경우개인정보보호 정책을눈에잘띄게고지하도록요구한다. 2) EU 유럽에서는 전자통신분야에서개인정보의처리및프라이버시보호와관련한유럽의회 유럽위원회의지침 이하에서는 유럽지침 이라고칭한다 ) 에쿠키에대한규율방안을마련하여각회원국에대하여권고하고있다. 유럽지침에서쿠키는예컨대웹사이트디자인과광고의효율성분석, 온라인거래에참가한소비자의신원확인에있어서합법적이고유용한도구가될수있다고평가하고있다유럽지침에의하면쿠키는정보화사회서비스를증진시키는경우에만합법적이다. 또한쿠키의사용은사전에그사용목적에대한 분명하고정확한정보 clear and precise information) 를제공하며아울러웹사이트이용자가쿠키거절권 (right to refuse) 을부여받은경우에만허용된다 ( 동지침비고 (Recital). 유럽지침은쿠키를운용하는웹사이트관리자는인터넷이용자에게자기의컴퓨터에저장되는쿠키를받기를거절할수있는기회를주어야하고, 또한쿠키가합법적목적을위하여사용되는한, 어떤웹사이트의내용에대한접근은쿠키에대하여 충분히고지한후얻은승낙 well-informed acceptance) 이있는경우에만허용할수있다고한다. 3) 이탈리아이탈리아정보보호위원회는 2014년 6월 3일웹사이트에서의쿠키사용에대한동의를의무화하는 쿠키에관한정보제공및동의획득을위한약식절차 (Simplified Arrangements to Provide Information and Obtain Consent Regarding Cookies, provision no. 229 of May 8, 2014) 에대한가이드라인을발표하였다. 동가이드라인은웹사이트의운영자와제 3자가쿠키이용시, 웹사이트이용자들의동의를얻을의무화고지사항 (Information Notice) 을제공할의무에대하여간소화된절차로상세한지침을제공하는등의내용을담고있다. FOCUS 5 인터넷사이트쿠키 (Cookie) 의주요이슈및취약점분석 85
동가이드라인의주요내용은쿠키의종류를기술적쿠키 (Technical Cookies) 와프로파일링쿠키 (Profiling Cookies) 로나누고있는데, 두종류모두개인정보보호법 (Personal Data Protection Code) 제 122조1항과관련이있다. 기술적쿠키 (Technical Cookies) 란, 네트워크상에서통신을전달하거나계약당사자혹은이용자로부터명시적으로요구된정보를제공하기위하여서비스제공자에게반드시필요한기능을수행하는쿠키를말한다. 프로파일링쿠키 (Profiling Cookies) 란, 웹사이트이용자의프로파일생성에목적을두고이용자가온라인에서보여주는행위양태를분석함으로써해당이용자의선호사항을알아내고광고메시지를보내는데사용되는쿠키를말한다. 동가이드라인의적용을받는쿠키는프로파일링쿠키이며, 기술적쿠키의설치에는웹사이트이용자의사전동의가필요하지는않으나개인정보보호법제13조에서규정하고있는정보를제공할의무가있다. 웹사이트운영자는프로파일링쿠키와관련한정보를웹사이트이용자에게통지하고쿠키사용에대한해당이용자의동의받을의무를이행하여야한다. 이를위하여웹사이트운영자는웹사이트접속시프로파일링쿠키사용과관련한간략한정보가포함된배너가동웹사이트이용자들로하여금접근가능하도록하여야한다. 배너를동웹사이트가프로파일링쿠키를사용하고있다는점을나타내야한다. 또한배너는링크 (Link) 와같은수단을통해해당사항이있는경우에는제3자의쿠키와관련한정보를포함하여, 쿠키의사용과관련한상세한정보에접근이가능하도록하는기능을수행하여야한다.( 배너의이중설계 ) 상세정보에는쿠키를비활성화하기위해서는브라우저의설정을어떻게사용하여야하는지에대한설명을포함하여야한다. 또한배너에서사용되는용어는웹사이트이용자의행위는본인의프로파일링쿠키의설치및이의이용에대한동의를나타내는것이라는점을분명히나타내야한다. 4) 스페인스페인정보보호위원회 (Agencia Espanola de Proteccion de Datos) 는서비스공급자가쿠키사용및쿠키를통해수집된정보의처리목적을분명하게정보주체에게알린후에동의를받도록하는쿠키지침 (guia sobre el uso de las cookies) 공개했다.(2013.04.26) 정보보호위원회는쿠키를통해수집한정보가서비스공급자의서비스의개선및신규서비 86 INTERNET & SECURITY FOCUS August 2014
스개발에유용하지만, 정보주체는이러한쿠키사용사실과어떠한정보가쿠키를통해수집 되는지를알아야한다는차원에서지침을마련하였다. FOCUS (1) 고지 서비스제공자는정보주체에게쿠키와관련한필수정보를알리기위한다단계절차를마련 해야함 1단계 : 정보주체가웹사이트에접근하였을때, 배너를통해쿠키수집장치의설치, 쿠키이용목적, 수집된정보의웹사이트운영자또는제3자에의제공, 쿠키이용에동의함을의미하는조치등에관한정보를알림 2단계 : 보다상세한쿠키수집 이용정책에관한정보를알림 (2) 제 3 자가처리하는쿠키 정보주체또는서비스제공자이외의제 3 자가처리하는쿠키를이용할경우, 웹사이트운영 자및제 3 자는 고지후동의 와같은쿠키지침을준수해야함 2. 국내쿠키관련법령 우리나라에는쿠키의사용을직접적으로금지하거나제한하는법률은존재하지않는다. 다만정보통신망이용촉진및정보보호등에관한법률시행령제3조에근거하여제정된개인정보보호지침 ( 정보통신부고시제2002-3호, 2002.1.18) 에의하여서비스제공자는개인정보보호방침을통하여 인터넷홈페이지접속정보파일 (cookie) 의운영에관한사항 을서면또는인터넷홈페이지등을통하여이용자에게공개하도록하고있다 ( 개인정보보호지침제7조 1항 2호 ). 또한쿠키에의한정보수집이나프라이버시침해에대하여직접적으로규정하고있지는않으나, 인터넷이용자는전자거래기본법, 전자상거래등에서의소비자보호에관한법률과같은법률이나전자거래소비자보호지침 ( 공정거래위원회고시 ), 전자상거래표준약관 ( 원명은 인터넷사이버몰이용표준약관 ) 과같은규범에의하여일반적으로쿠키를통한정보수집이나프라이버시침해로부터보호된다. 이러한일반적인개인정보보호에관한규범이정보수집방법에있어특이성을가지고있는쿠키를둘러싸고발생하는법률문제에도적절히적용될수 FOCUS 5 인터넷사이트쿠키 (Cookie) 의주요이슈및취약점분석 87
있을지의문이있으나, 현행규범중에서는이들규범이쿠키를통한개인정보의수집및이용에비교적적절하게적용될수있을것이다. 이는다음과같다. 쿠키를운용하는웹서버는개인정보보호정책의일환으로서쿠키의존재, 쿠키로수집하는정보의형태 내용, 수집의방법과수집한개인정보의사용목적을 분명하고정확하게 가능한한인터넷이용자가이해하기쉽게 공개하여야한다 ( 개인정보보호지침제7조 1항 2호참조 ). 바꾸어말하면웹서버는쿠키를운용하는지여부와쿠키가개인정보와관련하여어떤의미를가지는가를정확하게인터넷이용자에게알릴필요가있고, 쿠키가어떤용도로사용되는지, 쿠키를통하여수집한정보를제휴한다른웹서버나광고주와함께사용하는지, 개인정보를제3자에게제공하는지를미리홈페이지를통하여밝혀야한다. 웹서버관리자는쿠키운용정책을변경한경우에는그내용을지체없이인터넷이용자에게고지하여야한다 ( 개인정보보호지침제7조제1항 제3항 ). 쿠키를운용하는웹사이트는인터넷이용자가쿠키를원하지아니하는경우에는쿠키를거절할수있다고하는사실을명시하여야한다. 바꾸어말하면인터넷이용자의거절권을보장하여야한다. 또한웹사이트운영자는인터넷이용자가쿠키를거절하는경우에어떤불편이나불이익이생기는지를구체적으로안내하여야한다. 국내에는또한 [ 금지청구권 ] 이있다. 이는개인정보침해를사전적으로억제하기위한방법으로방해예방청구권, 방해정지청구권및방해배제청구권을총칭하여이른다. 민사상구제수단으로의손해배상청구권은쿠키에의한프라이버시침해가있은후의사후적구제방법에해당하나, 금지청구권은사전적구제수단으로서의의미를가진다. 인터넷서비스제공자가쿠키에대한고지나안내, 인터넷사용자의동의나승낙및수집한정보에대한액세스권을침해하여인터넷사용자로부터개인정보를수집 가공하거나제3자에게제공하는행위를하는경우에실질적으로손해나피해가현실화된때에는사후적구제수단으로손해배상청구를할수있다. 3. 쿠키관련분쟁사례 1) 구글, 사용자정보무단수집한혐의로벌금형 영국언론매체더가디언 (The Guardian) 에따르면 2013 년 1 월영국의법무법인올스왕 (Olswang) 은개인정보보호운동가비달홀 (Vidal-Hall) 등의의뢰를받아구글이사용자모 88 INTERNET & SECURITY FOCUS August 2014
르게아이폰등애플의단말기에탑재된웹브라우저 사파리 (Safari) 의쿠키 (cookie) 정보를 수집해타깃광고상품에활용했다는이유로자국법원에소송을준비하겠다고밝혔다. 구글 이사파리에기본적으로설정된쿠키파일추적금지옵션을우회했다는것이다. 이와관련 FOCUS 해올스왕의소속변호사댄텐치 (Dan Tench) 는현재구글이사용자의개인정보를무단으로훔치고있다며이번소송을준비하게된배경을설명했다. 현재영국내아이폰사용자가 1,000만명에달하는것으로추산됨에따라이번소송규모는수천만파운드로늘어날가능성이큰상황이다. 한편, 구글은이미미국에서도유사한사건으로인해막대한벌금을지불한바있다. 2012 년 2월스탠포드대학의대학원생조나단메이어 (Jonathan Mayer) 가구글이사파리의쿠키추적금지기능을무력화시켰다는의혹을제기했고미국연방거래위원회는해당혐의에대한본격적인조사에착수했다. 이에대해구글은자사가고의로사용자쿠키정보를추적하지않았다는입장을표명했다. 구글의커뮤니케이션및공공정책담당수석부사장인레이첼웨츠톤 (Rachel Whetstone) 은구글서비스에로그인한사용자가이용할수있는기능을제공하기위해공개된사파리의기능을사용했을뿐이라며이런일이발생하리라고는예상하지못했다고설명했다. 당시구글은 2010년소셜미디어서비스버즈 (Buzz) 를준비하는과정에서개인정보를불법적으로수집한혐의가확정되어美연방거래위원회와개인정보취급에대한합의문을작성한상황이었다. 이에따라구글은서비스이용자의개인정보취급및보호에대해 20년간정기적인보안감사를받아야하며, 합의문위반시건당일일 1만 6,000달러의벌금부과가가능했다. 따라서쿠키추적이사실로밝혀질경우거액의벌금을부과받을가능성이매우높았다. 결국혐의를극구부인하던구글은사파리에서무단으로쿠키파일등개인정보를수집한사실이인정돼미국연방거래위원회로부터 2,250만달러의벌금을부과받았다. 이는연방거래위원회가민간인권익침해와관련해부과한액수로는최고수준이다. 한편, 연방거래위원회의벌금부과결정은유사한기법을활용하고있는온라인광고회사에도타격을입힐것으로예상된다. 실제빕랜트미디어 (Vibrant Media), LLC, 포인트롤 (PointRoll) 등 3개광고회사도구글과동일한기법을이용하고있는것으로밝혀져비슷한수준의처벌이내려질것으로전망되고있다 FOCUS 5 인터넷사이트쿠키 (Cookie) 의주요이슈및취약점분석 89
Ⅳ. 쿠키의정보보안측면의문제점 1. 쿠키보안취약점 1) XSS(Cross-Site Scripting) 공격웹사이트를만들기위해서 HTML언어로페이지를구성해야한다. 하지만 HTML만으로는정적인페이지밖에만들수없다. 게시판같은서버와통신을하는동적인페이지를생성하기위해서는서버사이드스크립트언어인 PHP, JSP, ASP 등 CGI(Common Gateway Interface) 프로그램을이용하여야한다. 이러한프로그램은웹서버에서실행되어, 그결과를사용자에게돌려주는역할을한다. 반대로사용자의컴퓨터에서실행되는언어인자바스크립트나비주얼베이직스크립트등이있다. XSS 공격은자바스크립트가사용자의컴퓨터에서실행된다는점을이용한공격이다. 자바스크립트에서 document.cookie 라는명령어는사이트에서쿠키값을활용하여다양한서비스를제공할수있도록하는역할을하지만, 공격자들은쿠키값을유출하기위한목적으로사용하기도한다. 출처 : http://webprogrammer.tistory.com/1352 [ 그림 1] 쿠키값보기 [ 그림 1] 은 javascript:alert(document.cookie) 코드를사용하여쿠키값을경고창에띄워서보이도록한것이다. 이외에도자바스크립트나 CGI와함께 document.cookie 명령어를사용하면해당코드가있는게시판에접속하거나, 해당코드가있는버튼을클릭할때등간단한행위로도공격자에게쿠키값을전송하도록할수있다. 90 INTERNET & SECURITY FOCUS August 2014
2) 스니핑 (Sniffing) 공격을이용 쿠키는크게 [ 표 3] 과 [ 표 4] 처럼클라이언트에쿠키가있을때와없을때를구분하여동작 하게된다. FOCUS < 표 3> 클라이언트에쿠키가없을때동작과정 1) 클라이언트가서버로처음접근 ( 클라이언트 서버 ) 2) 서버에서응답받아, 쿠키를생성 3) 응답에쿠키를포함하여전송 ( 서버 클라이언트 ) 즉, 클라이언트의요청에대한서버로부터의응답 4) 클라이언트쪽에서서버의응답에실려온쿠키를저장함 < 표 4> 클라이언트에쿠키가있을때동작과정 1) 서버에요청할때, 클라이언트가쿠키정보와함께요청을보냄 ( 클라이언트 서버 ) 2) 서버측에서클라이언트의요청에담긴쿠키정보를읽음 3) 쿠키정보를읽어이전상태에대한정보를파악 4) 응답에다시변경된쿠키를재전송 쿠키가동작하는과정은두가지로구분되지만, 두가지모두클라이언트에저장되는쿠키 값이네트워크를통해전송되는것을알수있다. 이때쿠키값을따로암호화하지않고, 전 송한다면네트워크스니핑공격을통해쿠키값을탈취할수있다. 3) 공용 PC에서쿠키값유출쿠키파일은사용자의하드디스크에저장되며, 간단한방법으로접근가능하다. 만약 PC 방이나전산실, 도서관등과같은공용 PC를사용하여인터넷을하면자신이사용한정보는고스란히그컴퓨터에남게되고, 그뒤에사용하는사용자는그기록을확인할수있게된다. 공격자는이런특징을이용하여고용 PC의하드디스크에저장된쿠키정보는쉽게얻어낼수있다. FOCUS 5 인터넷사이트쿠키 (Cookie) 의주요이슈및취약점분석 91
4) HTML5 Web Storage 정보유출 (1) 클라이언트미검증에따른개인정보침해 Web Storage는클라이언트측에서실행되며 Script를이용하여접근할수있다. 만약다른영역에서의취약점으로공격이발생가능하다면 Script의접근에대해서클라인언트측에서검증해야한다. 하지만 Draft에서는이러한검증의필요성에대해서는정의하지않고있다. 예를들어공격자는 XSS 공격등을이용하여 Web Storage에접근하여저장된쿠키, 세션등의정보를탈취할수있다. (2) 호스팅공유호스팅을공유하는사이트의경우, 하나의 Local Storage에공유된모든사이트의정보를저장하게된다. 이때, 공유된사이트중하나의사이트가공격도구로사용될경우, 공유된모든사이트의 Lcoal Storage 내정보가유출될수있다. (3) iframe을통한 Local Storage접근 Local Storage는 Script를이용해접근가능하며, iframe에서사용되는 Document에서도접근가능하다. 즉, 어느한 origin 사이트가 iframe 지원시 iframe에서실행되고있는 origin 사이트의 Local Storage에접근이가능하다. 이때 iframe을통한 origin 사이트의 Local Storage에대한접근을막지않는다면, 악의적인공격도구로사용되어 iframe을통해 origin 사이트를이용하는사용자의 Local Storage에저장된정보가유출될수있다. 다음은 iframe을이용한 Local Storage 정보탈취보안위협에대한시나리오예시이다. 1 Phase1. 정보탈취준비단계 가정사항 - 공격자는사이트 A를사용하는사용자의 Web Storage 정보를탈취하고자하지만, 사용자및사이트 A는직접적공격이힘든상황이다. - 사이트 A는 iframe을사용한다. 상세시나리오가. 공격자는공격도구로사용할사이트 B를제작한다. 92 INTERNET & SECURITY FOCUS August 2014
나. 공격자는사이트 A 의게시판에 iframe 을통해자신의공격도구인사이트 B 가동 작하도록삽입한다. 다, 라. 사용자는사이트 A 에정상적접근을한후, 사이트 B 가 iframe 에서동작하고 FOCUS 있는게시판내글을클릭해들어간다. [ 그림 2] 사전준비단계 2 Phase2 정보탈취준비단계 상세시나리오 가. 공격자는 Local Storage는 Script를통해접근가능하며, iframe 동작을위한 Document 내 Script를통해서도접근가능하다는점을알고있다. 공격자는사용자의 Local Storage 내사이트 A의정보에접근하기위해 iframe을구성하는 Document를수정한다. 나. 사용자단에서는 iframe을통한 Local Storage 정보접근을정상적인접근으로판단해, 사이트 A의 Local Storage 정보접근을허용한다. 다. 공격자는사용자 Local Storage 내저장된사이트 A의정보를탈취한다. FOCUS 5 인터넷사이트쿠키 (Cookie) 의주요이슈및취약점분석 93
[ 그림 3] Local Storage 정보탈취단계 3 Phase3 위협으로인한파장 일반적인 Local Storage 정보탈취 - 사용자의개인정보, 사이트내설정정보등사용자가어느한사이트를이용함에따라발생할수있는모든사용자정보가탈취될수있다. - Local Storage 내잘못저장된 Session Storage 정보탈취 - 만약브라우저에서또는웹서버에서 Session Storage를잘못구성해 Session Storage에저장되어야할정보가 Local Storage에저장될경우, 사용자의어느한사이트에접근권한정보등이탈취될수있다. 4 Phase4 원인및대응방안분석 원인 - ifame을통해 Origin 사이트와 Local Storage 정보에접근가능하다. - Session Storage에저장되어야할정보에대한정의및구현방법에대한정의가되어있지않다. - Web Storage는 index를위한 key값을사용할뿐, 암호화및접근권한을위한방안을지언하고있지않다. 94 INTERNET & SECURITY FOCUS August 2014
대응방안 - 브라우저단에서 iframe 을통한 Origin 사이트의 Storage 정보접근을막아줘야한다. - 각사이트별로 Web Storage 정보접근을위한암호화또는접근권한설정방안을지 FOCUS 원해야한다. 2. 쿠키의개인정보침해위험 1) 클라이언트측의쿠키정보유출로행태정보유출사용자의컴퓨터에저장된단순정보만가지고있다. 이정보는사용자를식별할수없지만, 접속한사용자의 PC를확인하거나, 세션을유지하는값등은확인할수있다. 서버에서는이값을이용하여서버에있는행태정보를분석하여사용자에게맞는광고나최근본상품등을제공한다. 공격자는사용자의쿠키로부터행태정보를얻을수없기때문에, 다른방법을이용하여사용자의행태정보를취득하려한다. 공격자는사용자로부터다양한방법을이용하여쿠키값을취득한다. 쿠키값을취득한후, 자신의쿠키값을사용자의쿠키값으로변경하여사용자인척서버에접근한다. 서버는쿠키값을이용하여확인하기때문에공격자를정당한사용자로인식하고, 공격자에게사용자가제공받는광고, 최근본상품등동일한정보를제공해준다. 공격자는서버에서제공받는광고, 최근본상품등을이용하여서버와비슷하게사용자의행태정보를수집하고, 분석한다. 클라이언트측의쿠키정보유출을통한행태정보유출의주원인은클라이언트측쿠키에있는식별정보만을이용하여서버에저장된행태정보를바탕으로광고, 최근본상품등의정보를제공하기때문이다. 이러한문제점에대한해결방안은사용자가서비스로그인전에는접속 IP나 MAC주소를쿠키정보화함께사용하여인증하도록하고, 사용자가로그인한후에는로그인한인증정보와함께인증하도록한다. 또한사용자는쿠키파일을최대한사용하지못하도록웹브라우저에서차단기능을사용하고, 주기적으로쿠키파일을삭제하도록해야한다. 2) 모바일쿠키탈취를통한인증우회및개인정보유출 2012 년 11 월보안연구가칼로스레벤트로브의연구결과에따르면, 인스타그램과많은아 이폰앱에서해커가사용자계정을제어할수있도록하는취약점을발견하였다. 인스타그램 FOCUS 5 인터넷사이트쿠키 (Cookie) 의주요이슈및취약점분석 95
은스마트폰에서데이터편집과같은중요한활동들은암호화되어전송되지만쿠키와같은다른데이터는평문으로전송되는것을발견하였으며, 이는공격자가네트워크를통해전송되는쿠키값을얻어공격에사용할수있다. 1 국내에서는대표포털사이트인네이버에서쿠키탈취취약점이발견되었다. PC의경우에는쿠키와세션을잘활용하여권한을획득할수없었지만, 스마트폰쿠키의경우탈취한쿠키를이용하면, 피해자의계정으로인증되어서비스를사용할수있게되었다. 또한한번사용한쿠키는피해자가재접속할때까지계속하여사용할수있는것을발견하였다. 2 이렇게쿠키값들이공격자에게유출되면, 사용자를도용하거나, 사용자의계정이나개인정보등을취득할수있다. 또한악의적으로사용하여사용자단말기에있는파일이나, 서버에있는데이터를삭제하는 HTTP 요청도만들수있으며, 사용자가이용하는서비스들을탈퇴하거나스팸등에이용할수도있다. 모바일쿠키탈취를통한인증우회및개인정보유출의원인은쿠키값이평문으로전송되어네트워크를통해전솔될때쿠키값을탈취할수잇으며, 스마트폰에서는쿠키만을가지고도인증이가능하며, 지속적으로세션을확인하지않아발생한다. 이에대한해결방안은쿠키값을전송할때암호화하거나 SSL등안전한채널을이용하여전송하도록하며, 스마트폰에서도쿠키와세션을잘활용하여쿠키만으로권한을획득할수없도록해야한다. 3) 제 3 자쿠키생성및개인정보수집시사용자동의절차부재 개인정보보호법에따라회원가입시가입대상웹사이트는쿠키를생성해개인정보를수 집함을고지하며, 이에따른사용자동의를얻는다. < 표 5> Naver 의개인정보수집동의내용 서비스이용과정이나사업처리과정에서아래와같은정보들이자동으로생성되어수집될수있습니다. - IP Address, 쿠키, 방문일시, 서비스이용기록, 불량이용기록 1 ITWorld, 인스타그램 아이폰사용자계정해킹가능한취약점있어, 2012.12 2 데일리시큐, 네이버쿠키탈취취약점으로계정도용우려, 2013.01 96 INTERNET & SECURITY FOCUS August 2014
하지만, 제 3 자쿠키의경우사용자동의를얻는과정없이생성되며사용자가이를인지 하지못한채사용자의개인정보가무단수집되고있다. 이에대한해결방안은개인정보수 집고시내역에제 3 자쿠키생성및제공에대해고지하고이를사용자가쉽게확인할수있 FOCUS 게게시되어야한다. Ⅴ. 결론 인터넷사이트의쿠키는정보노출, 개인행태정보등의이슈가지속적으로제기되고있으나, 대체수단의한계및사용의편의성으로인하여지속적으로사용되고있는것이현실이다. 이렇듯사용의편의성과정보보안측면의위협사이에절충점을모색할필요가있다. 국내외쿠키관련법령의주요이슈는쿠키를통한정보수집, 제3자쿠키의이용등에대한사용자의알권리충족에있다. 국내의경우개인정보취급방침에쿠키사용에대하여고지하도록하고있으나, 실제로국내인터넷사이트이용고객의 8.3% 만이회원가입시개인정보보호약관등을읽어보고, 거의 57% 이상이개인정보보호약관및회원약관을전혀확인하지않고있는것이현실이다. 이에대한대처방안으로쿠키수집에대한명확한범위, 제3자제공등에대한정보를사용자가쉽게확인할수있게고지하는방안에대한정책적고려가요구된다. 또한쿠키을제공하는서비스를사용하지않기를바라는이용자에대해브라우저에서쿠키수집중지설정방법등과같은기술적대책을, 서비스를제공하는사업자가제시하고이를통해선택적제공이가능하도록고려될필요가있다. FOCUS 5 인터넷사이트쿠키 (Cookie) 의주요이슈및취약점분석 97
참고문헌 고학수 이상민 (2013). 국내인터넷사이트의개인정보수집현황분석, 한국법경제학회법경제학연구 제10권제2호. 구재군 (2007). 쿠키 (cookies) 의법적문제, 경희법학 42권 2호, 경희대학교법학연구소. 국가인권위원회 (2003). 금융기관과인터넷에서의개인정보공유현황실태조사 김민중 안종근 육회숙 (2006). 인터넷상쿠키를통한개인정보침해의법적문제, 법학연구 제24집. 이탈리아정보보호위원회 (2013). 쿠키및인터넷프로파일림관련가이드라인발료, Internet & Security Focus 2013년 7월호임창균 (2013). 미국의개인정보보호규제동향, 방송통신전파저널 통권 54호. 지순정 (2013). 인터넷관련분쟁사례및대응방안, Internet & Security Focus 2013년 4월호쿠키의정의. http://msdn.microsoft.com/ko-kr/library/ms178194(v=vs.100).aspx 한국정보화진흥원. 2013년상반기개인정보보호해외법제동향, 2013. 10 <http://www.nia.or.kr/> 98 INTERNET & SECURITY FOCUS August 2014