링크를 공유하는 순간 무슨 일이 일어나는지 생각해 본 적 있나요? 메신저에 URL을 붙이면 제목과 이미지, 설명이 담긴 미리보기 카드가 뜹니다. 무언가가 방금 그 URL을 가져왔다는 뜻입니다. 질문은 하나, 누가 가져왔는가입니다. 답은 두 가지이고, 각각 대가가 따릅니다.[1]
클라이언트 측 — WhatsApp, iMessage, Signal, Viber. 내 폰이 직접 링크를 가져옵니다. 그래서 상대편 웹사이트가 내 IP 주소와 대략적인 위치를 봅니다. 메신저 플랫폼은 그 링크를 보지 못할 수도 있지만, 목적지 서버는 봅니다.
서버 측 — Messenger, Instagram, Slack, X. 플랫폼 서버가 링크를 가져옵니다. 내 IP는 목적지에 드러나지 않습니다. 대신 플랫폼이 내가 보낸 모든 링크를 봅니다.
어느 쪽이든 링크는 fetch됩니다. 보안팀이 놓치는 지점이 바로 여기입니다.
침해 대응 중에는 이게 함정이 됩니다. 공격자가 만든 링크를 메신저에 붙여 동료와 논의하는 순간, 내 폰이든 플랫폼이든 무언가가 공격자 서버에 핑을 보냅니다. 공격자는 그 접속을 보고 자신이 발각됐음을 깨닫습니다. 그리고 증거를 지우기 시작합니다. 인프라를 교체하고, 로그를 지우고, 페이로드를 내립니다. 메시지 한 통이 조사 전체를 태워버립니다.
의심스러운 링크를 공유하기 전에, 그 링크가 어디서 fetch될지 그리고 반대편에서 누가 기다리는지 먼저 아십시오.
링크를 공유할 때, 반대편에서 누가 그 링크를 지켜보고 있을까요?
참고 자료
- Mysk, "Link Previews: How a Simple Feature Can Have Privacy and Security Risks" — https://mysk.blog/2020/10/25/link-previews/
Instagram