오늘은 Microsoft Edge(마이크로소프트 엣지)실행 시 저장된 모든 비밀번호를 암호화되지 않은 상태로 프로세스 메모리에 저장 문제에 대해서 알아보겠습니다.
한 보안 연구원이 마이크로소프트 엣지(Microsoft Edge)가 브라우저가 실행되는 순간 저장된 모든 비밀번호를 프로세스 메모리에서 복호화하여, 사용자가 해당 사이트를 방문했는지와 관계없이 평문 상태로 보관한다는 사실을 발견했습니다.
4월 29일 BigBiteOfTech에서 PaloAltoNtwks Norway가 공개한 해당 발견은 연구원 @L1v1ng0ffTh3L4N이 크로미움 기반 주요 브라우저들의 자격 증명 메모리 처리 방식을 체계적으로 테스트하던 중 밝혀낸 것입니다. 일단 여기서 한국의 네이버에서 공개되는 네이버 웨일은 개인적으로 테스트 안해서 모른 이유 귀찮아서 설치하기도 싫어서….
마이크로소프트 엣지는 시작 시 전체 비밀번호 저장소를 일반 텍스트 형태의 프로세스 메모리에 불러와 세션이 지속하는 동안 이를 유지하는 유일한 브라우저
Google Chrome과는 극명합니다. Googl Chrome은 온디맨드(on-demand) 복호화 방식을 구현하고 있어 자동 완성 시 필요하거나 사용자가 저장된 비밀번호를 명시적으로 확인할 때만 자격 증명이 복호화
Googlw Chrome은 또한 앱 바운드 암호화(App-Bound Encryption)를 통해 해당 기능을 더욱 강화
해당 기능은 복호화 키를 인증된 Google Chrome 프로세스에 암호학적으로 바인딩하여 다른 프로세스가 해당 키를 재사용해 자격 증명에 접근하는 것을 방지
마이크로소프트 엣지 는 이러한 보호 기능을 전혀 제공하지 않습니다.
브라우저가 실행되는 순간부터 사용자 금고에 저장된 모든 사이트의 모든 자격 증명이 브라우저 프로세스 메모리에 평문으로 저장됩니다. 이는 해당 프로세스 메모리를 읽을 수 있는 모든 공격자에게 지속적이고 광범위한 추출 표적을 제공
해당 발견을 특히 모순적으로 만드는 것은 Edge 자체의 UI 동작
브라우저는 비밀번호 관리자 인터페이스에서 비밀번호를 표시하기 전에 여전히 사용자에게 재인증 요청을 하지만 브라우저 프로세스는 이미 모든 자격 증명을 평문으로 보유하고 있어 프로세스 메모리를 조회할 수 있는 사람이라면 누구나 완전히 접근할 수 있습니다.
따라서 재인증 단계는 접근 제어의 환상만을 제공할 뿐 메모리 기반 자격 증명 추출에 대한 실질적인 보호는 제공하지 않습니다.
이 문제의 심각성은 원격 데스크톱 서비스(RDS)나 터미널 서버와 같은 공유 또는 다중 사용자 환경에서 훨씬 더 커집니다.
이러한 시스템에서 관리자 권한을 가진 공격자는 로그인된 모든 사용자 프로세스의 메모리를 동시에 읽을 수 있습니다.
공개와 함께 공개된 개념 증명(PoC) 동영상에서, 해킹당한 관리자 계정을 사용하여 단순히 Edge 브라우저 프로세스 메모리를 읽는 것만으로, 연결이 끊어진(그러나 여전히 활성화된) 세션을 가진 사용자를 포함하여 로그인한 다른 두 사용자의 저장된 자격 증명을 성공적으로 추출하는 데 성공했습니다.
먼저 확인하는 방법은 간단합니다. 시스템 관리자를 열어줍니다. 여기서 먼저 마이크로소프트 엣지를 실행을 합니다. 그리고 아무런 작업을 하지 않는 상태입니다.
그리고 나서 시스템 관리자 부분에서 브라우저 부분을 메모리 덤프를 생성해줍니다.
DMP 파일이 저장된 위치로 이동합니다. TEMP 폴더에 있음
여기서 사용을 할것은 strings 명령어를 사용할 것입니다. MS Sysinternals 에서 다운로드 할 수가 있습니다.
그럼 마이크로소프트 엣지에 저장된 비밀번호를 찾아보겠습니다.
strings를 사용하여 알려진 자격 증명을 찾을 수도 있습니다.
알려진 비밀번호를 검색하기만 하면 확실히 찾을 수 있을 것입니다. 또는 저장된 데이터의 형식을 활용할 수도 있습니다.
(사이트 URL)(프로토콜)(사용자 ID)(비밀번호)
따라서 대부분은
comhttps”(공백 없음)인 <tld><protocol> 을 검색하면 대부분을 찾을 수 있으며 모두 깔끔하게 정렬된 하나의 그룹에 포함되어 있을 것입니다. 이를 위한 찾기 위한 명령어는 다음과 같습니다:
strings -n 8 msedge.DMP | find “comhttps”
출력 결과를 조금 아래로 내려보면(comhttps는 자격 증명 목록뿐만 아니라 메모리 덤프 내의 더 많은 항목과 일치하기 때문) 다음과 같은 내용이 깔끔하게 정리되어서 추출되는 것을 볼 수가 있습니다.
Microsoft Edge가 배포된 Windows 환경을 관리하는 보안 팀, 특히 터미널 서버, VDI 환경 또는 공유 액세스 시스템을 운영하는 팀은 해당 문제를 최우선 순위의 구성 위험으로 간주하고 마이크로소프트가 해당 설계 결정을 수정할 때까지 온디맨드 복호화 및 앱 바운드 암호화(App-Bound Encryption) 기능을 지원하는 브라우저로 마이그레이션하는 것을 고려해야 합니다.
해당 부분이 되는지 실험을 하고 싶은 경우 한번 자신의 컴퓨터와 노트북으로 실험해 보시면 좋을 것이고 생성된 DMP 파일은 보안 삭제를 복구 불가하게 하는 것을 권장합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 코레일(Korail) 4월 급여 명세서로 위장한 피싱 메일 분석 (0) | 2026.05.07 |
|---|---|
| Windows 11 KB5083769 업데이트 인해 백업 소프트웨어 오류 발생 (0) | 2026.05.05 |
| 정체를 알수 없는 APT 악성코드-NovaCX_Agency_Updated_2026047_091100_version_1_8.docx.lnk (0) | 2026.05.04 |
| 김수키(Kimsuky)에서 만든 악성코드-install.bat (0) | 2026.04.30 |
| 김수키(Kimsuky) 전문의약품 제약 회사를 노리는 악성코드-화이트 생명과학 ERP 사양서 (0) | 2026.04.27 |
| 김수키(Kimsuky) KB 국민카드 사칭 악성코드-KB_202604.html.lnk (0) | 2026.04.24 |
| Kimsuky(김수키)에서 만든 악성코드-2026년 한국 에너지 기술개발산업 최종 평가 위원회 (0) | 2026.04.20 |
| 윈도우 10 KB5082200,윈도우 11 KB5083769 보안 업데이트 (0) | 2026.04.17 |
