기사 대표 이미지

브라우저 히스토리를 조작하는 '가짜 뒤로 가기'의 위협



최근 웹 서핑 중 '뒤로 가기' 버튼을 눌렀음에도 불구하고, 이전에 방문했던 페이지가 아닌 뜬금없는 광고 페이지나 스팸 사이트로 이동되는 경험을 한 적이 있을 것이다. 이는 단순한 오류가 아니라, 웹사이트가 브라우저의 세션 히스토리를 악의적으로 조작하여 발생하는 보안 취약점의 일종이다.

구글 크롬 팀은 최근 이러한 '리디렉션 공격(Redirect Attack)'을 근절하기 위한 새로운 보안 메커니즘, 일명 'Back-to-Ad Intervention' 도입을 준비 중이라고 밝혔다. 이번 조치는 사용자의 의도와 상관없이 브라우저의 히스토리 스택을 오염시키는 행위를 원천 차단하는 데 목적이 있다.

기술적 배경: 어떻게 사용자를 속이는가?



공격자들은 자바스크립트의 `history.pushState()` 또는 `history(1)`와 같은 API를 악용한다. 사용자가 특정 페이지에 접속하는 순간, 브라우저의 히스토리 스택에 보이지 않는 가짜 엔트리를 삽입하여 사용자가 '뒤로 가기'를 수행할 때 실제 이전 페이지가 아닌 광고 페이지가 나타나도록 설계하는 것이다. 이는 브라우저의 기본 동작 원리를 역이용하는 교묘한 방식이다.

이러한 공격은 단순한 불편함을 넘어, 사용자를 피싱 사이트로 유도하거나 악성 소프트웨어 다운로드를 강제하는 등 심각한 보안 위협으로 이어질 수 있다.

구글의 대응: 'Back-to-Ad Intervention'



구글의 이번 업데이트 핵심은 브라우저가 히스토리 조작을 감지하고, 비정상적인 패턴이 발견될 경우 이를 차단하거나 사용자에게 경고를 보내는 것이다. 이는 웹 표준 API의 오용을 막기 위한 강력한 개입(Intervention)이다.

주요 기대 효과:

* 사용자 경험(UX) 보호: 의도치 않은 페이지 이동을 방지하여 웹 서핑의 연속성을 보장한다. * 보안 강화: 리디렉션을 통한 피싱 및 악성 코드 유포 경로를 차단한다. * 웹 생태계 신뢰 회복: 웹 표준 API의 악용 사례를 줄임으로써 브라우저와 웹사이트 간의 신뢰를 재구축한다.

개발자와 사용자에게 주는 시사점



웹 개발자라면, 히스토리 API를 사용하는 과정에서 사용자 경험을 해치지 않도록 주의해야 하며, 브라우저의 보안 정책 변화를 예의주시해야 한다. 특히, 광고나 트래킹 목적으로 히스토리를 조작하는 행위는 향후 브라우저 차원에서 차단될 가능성이 매우 높다.

일반 사용자는 이러한 브라우저 업데이트가 진행됨에 따라 더욱 안전한 웹 서핑 환경을 누릴 수 있게 될 것이다. 하지만 여전히 보안의 기본은 신뢰할 수 없는 사이트 방문을 자제하고, 브라우저를 항상 최신 버전으로 유지하는 것임을 잊지 말아야 한다.

--- 결론적으로, 이번 크롬의 대응은 단순한 기능 개선이 아닌, 웹 생태계의 안전을 지키기 위한 필수적인 보안 강화 조치로 평가된다.