브라우저 전용 공격, EDR·이메일 보안·SASE 보호 우회하는 방법

전통적인 보안 도구 감지 피하는 브라우저 기반 공격

점점 늘어나고 있는 일종의 사이버 위협은 웹 브라우저 내에서만 작동하며, 엔드포인트 탐지 및 대응(EDR), 이메일 보안 게이트웨이, Secure Access Service Edge(SASE) 솔루션의 탐지를 우회합니다. 보안 업체 Keep Aware는 이러한 브라우저 전용 공격이 기존 방어 체계의 가시성 격차를 악용하여 공격자가 악의적인 활동을 탐지되지 않고 수행할 수 있게 한다고 강조합니다.

현대 보안 스택의 기술적 맹점

전통적인 보안 도구는 네트워크, 엔드포인트 또는 이메일 계층에서 위협을 모니터링하고 차단하도록 설계되었습니다. 그러나 악의적인 JavaScript 인젝션, 세션 하이재킹, 자격 증명 탈취와 같은 브라우저 전용 공격은 브라우저의 샌드박스 환경 내에서만 실행됩니다. 이러한 공격은 파일 시스템에 접근하지 않으며, 네트워크 로그를 생성하지 않거나 엔드포인트 경고를 트리거하지 않기 때문에 다음의 보안 솔루션을 우회합니다:

• OS 수준 텔레메트리에 의존하는 EDR/XDR 솔루션
• 첨부 파일과 링크를 스캔하지만 브라우저 내 실행은 감시하지 않는 이메일 보안 게이트웨이
• 네트워크 트래픽에 집중하지만 클라이언트 측 동작은 모니터링하지 않는 SASE 프레임워크

Keep Aware의 연구에 따르면, 공격자들은 점점 더 정상적인 웹 애플리케이션(예: 클라우드 스토리지, 협업 도구)을 활용하여 페이로드를 전달하며, 이로 인해 탐지가 더욱 어려워지고 있습니다.

영향: 은밀하지만 심각한 위협

브라우저 전용 공격은 다음과 같은 중대한 위험을 초래합니다:

• 탈취된 세션을 통한 데이터 유출
• 도용된 자격 증명 또는 세션 토큰을 이용한 계정 탈취
• CDN 호스팅 스크립트와 같은 서드파티 웹 컴포넌트를 대상으로 한 공급망 공격

이러한 공격은 포렌식 흔적을 거의 남기지 않기 때문에, 사고 대응 팀은 초기 감염 경로를 파악하는 데 어려움을 겪을 수 있으며, 이로 인해 격리와 복구가 지연될 수 있습니다.

보안 팀을 위한 완화 전략

이러한 맹점을 해결하기 위해 조직은 다음 조치를 취해야 합니다:

1. 브라우저 격리 기술 도입 – 웹 세션을 샌드박싱하고 모니터링
2. 클라이언트 측 보호 구현 – 악의적인 스크립트 실행을 차단하기 위한 CSP(Content Security Policy), 서브리소스 무결성 검사 등
3. 로깅 강화 – DOM 수정, WebSocket 트래픽과 같은 브라우저 수준 이벤트 캡처
4. 웹 애플리케이션에 제로 트러스트 원칙 적용 – 지속적인 인증 및 최소 권한 접근 포함

Keep Aware는 전통적인 EDR이나 네트워크 기반 방어에만 의존하지 않고, 클라이언트 측 위협에 대한 실시간 가시성을 제공하는 브라우저 네이티브 보안 제어의 도입을 권장합니다.

이 기사는 Keep Aware의 후원으로 작성되었습니다.