Microsoft는 Edge를 사용하기를 원합니다. 보안에 민감한 사용자를 유인하기 위해 회사는 새로운 “Super Duper Secure Mode”를 테스트하고 있습니다. 아니요, 그건 우리가 지어낸 이름이 아닙니다. 마이크로소프트가 적어도 현재로서는 Edge에서 이 새로운 브라우저 모드라고 부르는 것입니다.
“슈퍼 듀퍼 보안 모드”란 무엇입니까?
Microsoft의 “Super Duper Secure Mode”는 BleepingComputer에서 처음 발견한 대로 Edge Vulnerability Research 팀과 함께 테스트 중입니다. 브라우징 모드의 전반적인 아이디어는 심각한 성능 손상 없이 보안을 향상시키는 것입니다. 이상적으로, 회사는 속도 저하나 병목 현상 없이 잠긴 브라우징 경험을 만들 수 있습니다.
새로운 브라우저 모드는 V8 처리 파이프라인에서 JIT(Just-In-Time Compilation)를 제거합니다. 이는 공격자가 Edge를 해킹하는 데 사용할 수 있는 공격 표면을 줄이기 위해 설계되었습니다.
간단히 말해서 브라우저 모드는 해커가 브라우징 세션을 가로채는 데 사용할 수 있는 방법을 제거합니다.
현재 렌더러 프로세스에서 JIT를 비활성화하고 CET를 활성화하고 있습니다. ACG 활성화는 몇 가지 테스트를 수행한 후입니다. 또한 Android 및 Mac에 대한 계획도 있습니다. 모바일이 핵심 타겟이기 때문에 Android가 가장 흥미롭습니다. 6/?
— 조나단 노먼(@spoofyroot) 2021년 8월 4일
Microsoft Edge Vulnerability Research Lead인 Johnathan Norman은 GitHub의 탐색 모드를 분석했습니다. “이러한 공격 표면의 감소는 사용자 보안을 크게 향상시킬 가능성이 있습니다. 수정해야 하는 V8 버그의 대략 절반을 제거할 것입니다.”
JIT가 존재하는 이유는 프로그램 실행 중에 코드를 컴파일하여 속도를 높이기 위한 것이지만 Microsoft는 JIT를 비활성화해도 성능에 항상 부정적인 영향을 미치는 것은 아니라고 말합니다.
이 모드는 JIT를 비활성화할 뿐만 아니라 검색 경험을 더욱 잠그는 데 도움이 되는 Intel 하드웨어 기반 악용 완화인 CET(Control-flow Enforcement Technology)도 활성화합니다.
향후 Microsoft는 악성 코드를 메모리에 로드하는 것을 방지하는 또 다른 완화 도구인 ACG(임의 코드 가드)를 모드에 추가할 계획입니다.
슬프게도 Microsoft가 모드를 Edge에 영구적으로 구현하기로 결정하면 이름이 유지되지 않습니다. “또한, 우리의 일상적인 이름은 기능으로 출시될 때 좀 더 전문적인 이름으로 변경해야 할 것입니다. 당분간은 계속해서 재미있게 즐길 것입니다.”라고 Norman은 결론지었습니다.
“Super Duper Secure” 모드를 직접 시도하는 방법
Super Duper Secure에 관심이 있다면 모드를 시도하는 것은 비교적 간단합니다. 먼저 Microsoft Edge 미리 보기 릴리스(베타, 개발자 또는 카나리아) 중 하나를 실행하고 있는지 확인해야 합니다.
그 중 하나가 설치되어 있는 한 Edge 주소 표시줄에 다음을 입력하고 새 브라우저 모드를 전환하기만 하면 됩니다.
edge://flags/#edge-enable-super-duper-secure-mode
눈에 띄는 성능 저하가 보이지 않아야 하지만(Microsoft에 따르면) 이것은 여전히 실험적인 모드이며 팝업되는 몇 가지 문제가 있을 수 있으므로 직접 시도하고 어떤 일이 발생하는지 확인하십시오.
