미니 삼성 인터넷 (삼브)이 좋다지만 보안 때문에 쓰기 꺼려집니다.txt
- InMyCup
- 조회 수 2586
- 2023.10.19. 22:17
웹 브라우저하면 편의 기능도 당연히 중요하지만 인터넷 기록이 프라이버시와 워낙 밀접하구 각종 자바스크립트 코드와 이미지 파일을 처리하는 곳이다보니 저는 프라이버시와 보안을 더 중시해요
이러다 보니 저는 어느 순간부터 삼성 인터넷 (이하 삼브)을 아예 사용하지 않게 되었습니다
이게 비단 삼브만의 문제는 아니고 다른 크로뮴 베이스 브라우저들도 비슷한 경우가 많은데 크로뮴 최신 버전 반영도 늦고 보안 패치 작업 주기도 깁니다
https://blog.cloudflare.com/uncovering-the-hidden-webp-vulnerability-cve-2023-4863
멀리 갈 것도 없이 저번 달에 WebP 이미지 처리 모듈에서 매우 중대한 취약점 CVE-2023-4863이 발견되면서 구글과 마소, 모질라 재단이 9월 12일에 동시에 크롬, 엣지, 파이어폭스 핫픽스를 바로 배포했고 애플에서는 이미 9월 7일에 CVE-2023-41064 (나중에 알고 보니 CVE-2023-4863과 연결되는 취약점으로 드러남)에 대한 제보를 받고 iOS 업데이트를 통해 보안 패치를 제공했습니다.
한 차례 신속한 패치가 있었음에도 얼마 후 WebP의 기반 코덱 VP8에서 중대 취약점 CVE-2023-5217이 하나 더 발견되어서 9월 27일~9월 29일에 구글 크롬, MS 엣지, 모질라 파이어폭스가 또 바로 패치되었고 애플도 다소 늦었지만 10월 4일, 10일에 iOS 17과 16을 대상으로 패치를 제공했어요
하지만 삼브는... 플레이 스토어에서는 9월 14일 버전이 가장 최신 버전이고 갤럭시 스토어에서는 버전 23이 오늘 나왔다지만 아직 순차 배포 중인 것으로 보이는데 9월 14일 버전이 CVE-2023-4863 패치를 적용했는지 여부가 릴리스 노트에 명확히 나와 있지 않고, 좋게 생각해서 패치를 했을 거라고 봐 줘도 CVE-2023-5217은 3주 가까이 패치되지 않았던 상태인 거죠
물론 아예 패치 자체를 내놓을 수 없었던 제로데이 취약점들도 활용되었지만 정보와 패치가 이미 공개된 상황인데도 삼성이 제때 적용하지 않아 공격에 활용된 취약점들이 여러 개였다는 게 포인트입니다
작년 12월에 삼브는 크로뮴 버전 102 기반이었는데 작년 8월 구글 크롬이 크로뮴 버전 105 기반이었으니 버전 차이가 얼마나 나는지 실감나시죠? 구글 크롬은 작년 12월에 크로뮴 108 기반이었습니다.
구글은 최근에 크롬 보안 패치를 매주마다 제공하겠다고 발표하며 보안 정책을 강화하고 있는데 삼브는 보안 측면에서 너무 뒤떨어지니 사용하기 불안하다는 생각이 듭니다. 크로뮴 기반 파생 브라우저의 한계가 있겠지만 그래도 좀 더 잦은 패치를 바랍니다!
https://whale.naver.com/changelog/
웨일은 크로뮴 버전 뒤처지는 문제는 예전에 비해서 많이 나아졌지만 제가 본문에 언급한 CVE들 패치가 크롬, 엣지, 파이어폭스에 비해 상대적으로 많이 늦게 이루어졌네요. 그래도 삼브보다는 더 명시적으로 잘 고지하고 있어서 더 낫다고 보입니다
그런 경우 삼브나 웨일보다 나을 수도 있지만 아쉬운 점도 여전히 존재합니다. 안드로이드 웹뷰는 업데이트 간격이 6주인 것으로 알고 있습니다. 그리고 안드로이드용 구글 크롬이 데스크탑 레벨인 Full Site Isolation은 아니더라도 Partial Site Isolation을 지원하는 것과 달리 안드로이드 웹뷰는(1) Site Isolation을 지원하지 않아(2) 크롬을 이용하는 것과 비교하면 웹뷰 기반 웹 브라우저도 결국 보안 측면에서 다소 부족한 점이 있습니다
우선 유익한 의견 주셔서 감사드립니다.
다만, 웹뷰는 현 시점에서 2~3일 간격으로 업데이트가 진행되고 있습니다. 현재 최신 버전도 크롬과 같은 118 버전이고요. 아래 사진은 apkmirror 사이트에서 웹뷰의 업데이트 내역을 가져온 것입니다.
Site Isolation 같은 경우, 웹뷰에선 지원되지 않았다는 사실은 처음 알게 되었네요. 저 또한 이 부분이 참 아쉽긴 한데, Webview 또한 그래도 웹사이트 렌더링과 관련한 Isolation과 Sandbox 솔루션이 구현되어 있는 것으로 알고 있어서 큰 문제는 없을 것 같긴 합니다.
최고의 보안을 위해서라면 크롬이나 엣지, 파폭을 쓰는 게 맞겠지만, 기능과도 어느 정도 절충하기 위해서는 웹뷰 기반 브라우저가 그나마 대안일 듯 하더라고요. Site Isolation이 아쉽긴 해도, 삼브같이 이미 공개된 CVE에도 대응하지 못하고 있는 써드파티 브라우저들이 보안적으로는 더 취약할 것 같다고 생각이 되어서요.
이 글을 읽고 나니 삼성브라우저를 다시 생각해보게 되네요. 좋은 글 감사합니다.