모질라가 무료 웹사이트 보안 스캔 서비스인 옵저버터리를 출시했다. 코드 취약점 대신 환경설정 옵션과 보안 메커니즘을 점검해 주는 서비스다.


미국 샌프란시스코에 있는 모질라 지점. 출처 : 모질라
최근 모질라는 웹 서버의 보안 설정을 점검해 주는 온라인 스캐너 옵저버터리를 개발했다. 웹마스터가 운영 중인 웹사이트는 물론 사용자까지 보호할 수 있도록 지원하는 툴이다.

옵저버터리는 사실 모질라의 보안 엔지니어 에이프릴 킹이 내부 활용 용도로 제작한 것이다. 에이프릴 킹은 이후 다른 이들이 옵저버터리를 사용할 수 있도록 개편했다.

그녀는 퀄리스의 SSL 랩이 운영하는 SSL 서버 테스트에서 영감을 얻어 해당 툴을 개발했다. SSL 서버 테스트는 웹사이트의 SSL/TLS 환경설정을 평가하고 잠재적 약점을 분석해 주는 스캐너로 널리 인정받은 툴이다. 퀄리스 스캐너처럼 옵저버터리도 0~100점까지 점수 체계를 활용한다. F부터 A+ 단계로 평가하는 방식도 활용하고 있다.

웹사이트의 TLS만 점검하는 SSL 서버 테스트와 달리, 모질라의 옵저버터리는 웹 보안 메커니즘을 전반적으로 스캔해 점검한다. 점검 대상은 쿠키 보안 플래그, CORS, CSP, HTTP 공개키 피닝, HSTS, 재연결, SRI, X-프레임-옵션, X-콘텐츠-타입-옵션, X-XSS-보호 등이다.

옵저버터리는 이러한 기술들의 지원 여부를 단순히 확인하는 데 그치지 않고 정상적으로 작동하고 있는지도 점검해 준다. 다만 웹사이트에서 사용된 코드의 취약점은 스캔할 수 없다. 이를 위해서는 시중에 제공되고 있는 다른 무/유료 툴을 이용해야 한다. 

오늘날 웹사이트 보안 환경설정을 이해하는 것이 코드 취약점을 식별하고 수정하는 것보다 더 어려울 수 있다. 특히 브라우저 개발업체들이 개발한 모든 최신 기술을 사용하겠다면 더욱 어려워진다. 킹은 블로그에서 "이러한 기술에 대해 논한 논문은 많지만, 사이트 운영자들이 이러한 기술의 기능, 작동 원리, 중요성에 대해 배울 수 있는 곳은 없다"라고 밝혔다.

웹사이트 보안 기능을 알기 쉽게 설명해 주는 곳을 찾기 힘들다 보니, 이러한 기술들은 채택률이 매우 낮은데다 제대로 활용되지 못 하고 있었다. 옵저버터리가 130만 개의 웹사이트를 분석한 결과 12만 1,984곳만이 통과 등급에 해당됐다.

모질라가 운영 중인 웹사이트조차 테스트를 통과하지 못 한 경우도 있었다. 모질라의 부가기능 사이트(addons.mozilla.org)는 첫 옵저버터리 테스트에서 F 등급을 받았다. 지금은 결함이 수정되면서 A+ 등급을 유지하고 있다.

옵저버터리 테스트 결과는 사용자가 편리하게 이용할 수 있도록 모질라의 웹 보안 가이드라인 사이트 주소와 함께 제공된다. 웹사이트 관리자들이 스캔 중에 발견된 결함을 더 쉽게 이해해 더 빨리 조치를 취할 수 있도록 하기 위해서다. 

킹은"전세계 개발자, 시스템 관리자, 보안 전문가들이 옵저버터리를 편안하고 친숙하게 느끼도록, 위험성이 낮은 사이트도 옵저버터리를 채택하도록 권장할 것"이라고 말했다. 그러면서도 그녀는  "옵저버터리 테스트 결과가 각 사이트에 완벽하게 부합하지 않을 수 있다. 기트허브 같은 사이트의 보안 니즈는 개인 블로그보다는 더 복잡하기 마련이다"라고 선을 그었다. 

옵저버터리 코드는 오픈소스로 메이저 사이트됐다. 주기적으로 대량의 웹사이트를 점검해야 하는 관리자 혹은 내부적으로 점검을 실시해야 하는 관리자들에게는 API 및 명령어 툴도 제공된다.