[박춘식 교수의 보안이야기] 미국 노스캐롤라이나 주립대학과 오레곤대학의 연구팀이 클라우드 기반의 웹 브라우저(클라우드 브라우저)를 악용해, 대규모 컴퓨팅 Task를 익명으로 실행할 수 있는 방법을 발견했다고 발표했다.
 
제3자에게 불법적인 목적으로 이용되는 우려도 있어, 클라우드브라우저의 시큐리티에 커다란 영향을 줄 것으로 보인다.
 
연구팀에서는 스마트 폰 등으로부터 클라우드서비스에 액세스하기 위해 웹 인터페이스로 이용되는 클라우드 브라우저가 복잡한 기능 실행을 상정하고 있는 사실을 염두에 두고 이와 같은 브라우저로 웹 열람과는 무관한 대규모 컴퓨팅 Task를 처리할 수 있는 지를 조사했다.
 
특히, Google이 개발한 대규모 데이터를 분산처리하기 위한 기술 ‘MapReduce’의 이용에 중점을 두었다. 실험에서는 ‘bit.ly’ 등의 URL단축사이트로 데이터 패킷을 보존하여 다양한 노드 간에 링크를 받고 건네는 방법으로 1M, 10M, 100M바이트의 데이터 패킷을 사용해서 표준적인 컴퓨팅 Task를 실행할 수 있는 것이 실증되었다고 한다.
 
이 결과에 대해서 노스캐롤라이나 주립대의 윌리엄 앵 교수는 데이터 패킷 크기를 더욱 크게 하는 것도 가능했지만 실험에 사용한 무료 서비스로 과도의 부하를 가하지 않았다고 설명했다.
 
이 방법을 악용한다면, 예를 들어 제3자가 패스워드 크래킹 목적으로 무료의 컴퓨팅 파워를 사용하는 것도 가능하다고 지적하고 있다.
 
클라우드브라우저의 악용을 막는 방법으로 사용자에게 계정 작성을 의무화해 계정 이용방법에 관한 제한을 두는 등의 대책도 제언했다. 이 결과는 올란더에서 열리는 시큐리티컨퍼런스에서 12월6일 발표될 예정이다.(ITmedia. 2012.11.30)
 
[글. 박춘식 서울여자대학교 정보보호학과 교수]