사이버 보안 연구원이 Microsoft Edge의 저장된 암호 처리에 따른 보안 위험을 보여주는 개념 증명 도구를 출시했습니다. 인터넷에서 Tom Jøran Sønstebyseter Rønning이라는 이름을 사용하는 연구원은 X를 포함한 소셜 플랫폼에서 자신의 연구 결과를 공유하고 전체 시연을 했습니다.
그에 따르면 Microsoft Edge는 브라우저가 시작될 때 사용자의 저장된 계정 암호를 현재 사용되지 않는 경우에도 일반 텍스트로 시스템 메모리에 로드합니다. 더욱 흥미로운 점은 모든 비밀번호가 보호되지 않은 형태로 메모리에 상주하는 경우에도 브라우저가 사용자에게 계속해서 다시 로그인하도록 요청한다는 것입니다.
이 동작을 보다 직관적으로 설명하기 위해 연구원들은 GitHub에 "EdgeSavedPasswordsDumper"라는 도구를 출시했습니다. 이 프로젝트는 보안 전문가와 일반 사용자가 저장된 자격 증명이 브라우저 환경에서 어떻게 관리되는지 확인할 수 있도록 설계된 교육 유틸리티로 자리 잡았습니다. 이 도구는 브라우저의 프로세스 메모리에 액세스하여 사람이 읽을 수 있는 형식의 사용자 이름과 비밀번호를 추출합니다.
연구에 따르면 Microsoft Edge의 상위 프로세스는 이러한 암호 해독된 자격 증명을 계속 보유하고 있으며, 공격자가 충분한 시스템 권한을 얻으면 이 프로세스가 암호 추출의 대상이 될 수 있습니다. 이러한 위험은 공유 계정이나 다중 사용자 환경을 실행하는 조직의 경우 특히 심각합니다. 관리자 권한이 있는 계정이 손상되면 공격자가 여러 활성 세션의 데이터에 액세스할 수 있기 때문입니다.
이 기술 자체가 원격 공격 방법을 구성하지는 않지만, 공격자가 높은 권한 접근권한을 획득한 시나리오에서는 추가적인 측면 이동이나 민감한 정보 도용을 위한 무기가 된다는 점에 유의해야 합니다. 이 경우, 일반 관리 도구를 통한 메모리 덤프 등의 작업을 수행하면 해당 도구에 저장된 로그인 정보가 유출될 수 있습니다.
연구원의 테스트 결과 이 문제는 Edge 관련 동작으로 보이며 Google Chrome 및 Brave와 같은 다른 Chromium 기반 브라우저에서는 동일한 패턴이 관찰되지 않는 것으로 나타났습니다. 후자는 일반적으로 장기간 동안 메모리에 일반 텍스트로 보관하지 않고 필요할 때만 자격 증명을 해독합니다. 그러나 이것이 Chrome에 숨겨진 위험이 전혀 없다는 의미는 아닙니다. 예를 들어, 이전 보고서에서는 브라우저 지문 보호의 중요한 개인 정보 보호 기능에서 Chrome이 Edge, Firefox, Brave와 같은 제품보다 뒤처진다고 지적했습니다.
더욱 당황스러운 점은 연구원들이 Microsoft에 이 문제를 알리려고 했을 때 Microsoft가 해당 동작을 "설계에 따른 작업"으로 분류한 것으로 보입니다. 이 성명 외에 Microsoft는 추가 응답이나 설명을 제공하지 않은 것으로 보입니다.