Chrome에서 사이트 격리를 비활성화해야 하는 경우

지금쯤이면 거의 모든 최신 CPU에 영향을 미치는 불운한 보안 결함인 "Spectre"에 대해 들어보셨을 것입니다. 취약점은 악의적인 앱과 웹사이트가 실제로 접근해서는 안 되는 영역의 데이터에 액세스하는 것과 관련이 있기 때문입니다. 이 문제를 구체적으로 다루기 위해 브라우저는 다양한 보안 메커니즘을 개발했으며 Chrome에 대한 구현 중 하나는 사이트 격리입니다.

사이트 격리는 선택적 보안 기능으로 Chrome v63에서 처음 도입되었으며 현재 v67부터 기본적으로 켜져 있습니다. 기술적으로는 샌드박스 처리하는 프로세스로 인해 Spectre가 의존하는 추측 실행 공격을 완화하는 데 상당히 능숙합니다.

그러나 모든 좋은 제품과 마찬가지로 비용, 즉 구체적으로 말하면 성능이 있습니다. 그렇다면 사이트 격리를 비활성화하면 Chrome 작동 방식이 개선될까요? 보안을 절충할 가치가 있습니까? 알아 보자.

SPECTER 및 사이트 격리

다른 브라우저와 마찬가지로 구글 Chrome은 서로 다른 탭을 사용하여 여러 웹사이트를 엽니다. 사이트 격리가 구현되기 전에 탭은 교차 프로세스를 공유하는 데 사용되었습니다. 작업 복제는 시스템 리소스 낭비이기 때문에 의미가 있습니다. 그러나 이는 CPU 설계 결함인 Spectre를 기반으로 악의적인 공격이 발생하기에는 이상적인 상황입니다.

최신 마이크로프로세서는 데이터가 시스템 메모리에서 CPU 캐시로 훨씬 빠르게 로드되기 전에 전반적인 성능을 향상시키는 방법으로 예측 실행을 사용합니다. 그러나 이는 악의적인 코드가 크로스 프로세스를 악용하여 CPU가 중요한 데이터를 캐시로 가져오도록 유도할 수 있는 고유한 기회를 제공합니다. 데이터가 CPU 캐시에 있으면 시스템 메모리와 달리 보호되지 않은 상태로 남아 쉽게 도난당할 수 있습니다.

두 개의 탭이 열려 있다고 가정해 보겠습니다. 하나는 은행 계좌가 있고 다른 하나는 임의의 웹사이트가 있습니다. 이론적으로 후자는 악의적인 의도가 있는 경우 이전 탭에서 사용된 CPU 캐시에 잠수한 다음 로그인 세부 정보에서 암호화 키에 이르는 모든 정보를 로드하고 읽을 수 있습니다.

제한된 CPU 캐시 메모리(시스템 메모리에 비해 극히 일부에 불과함)로 인해 이러한 충돌이 발생하는 것을 상상하기는 매우 어렵습니다. 대신 악성 코드는 CPU 액세스 속도 간의 차이를 비교하여 정확히 어떤 데이터를 훔치고 있는지 확인합니다. 결국 평소보다 상황이 빠르다면 CPU 캐시의 데이터가 이미 신중한 추측을 통해 있기 때문입니다.

Spectre의 취약점이 발견되었을 때 브라우저는 표적 공격을 제거하기 위해 다양한 솔루션(예: CPU 액세스 속도 결정의 정확성을 줄이기 위한 저정밀 타이머)을 사용하기 시작했습니다. 그러나 이것은 Spectre 기반 위협에 대응하는 이상적인 방법이 아니므로 사이트를 격리하는 이유입니다.

이름에서 알 수 있듯이 사이트 격리는 다른 탭에 공통되는 것을 포함하여 모든 iframe(내장된 외부 링크)에 대해 별도의 프로세스를 생성하여 탭을 서로 완전히 격리합니다. 공동 프로세스는 악성 코드가 다른 탭의 정보를 모니터링하고 읽는 데 큰 역할을 하기 때문에 독립 프로세스에 사이트 격리를 사용하면 이러한 취약성을 완화하는 데 효과적입니다.

사이트 격리가 켜져 있는 이전 예를 보면 은행 계좌 포털이 완전히 다른 프로세스를 실행하고 다른 탭과 동일한 것을 공유하지 않습니다. 이 "격리"는 위반 시 정보 도용 가능성을 최소한으로 줄입니다.

더 많은 메모리 증가

따라서 사이트 격리가 각 독립 프로세스 탭에서 사용하는 추가 시스템 메모리로 인해 성능 비용이 발생하는지 궁금하실 것입니다. Google Online Security 블로그에 따르면 보안 앱은 기능이 처음부터 활성화되지 않은 경우보다 최대 10-13% 더 많은 RAM을 사용합니다. 이것은 당신이 그것을 활성화함으로써 더 나아진다는 것을 의미합니다.

이 수치가 실제로 얼마나 정확한지 확인해 봅시다. 사이트 격리가 활성화되지 않은 상태에서 아래 스크린샷은 유사한 iframe을 많이 사용하는 인터넷의 두 웹사이트를 보여줍니다. 별도의 두 탭에만 별도의 실행 작업이 있으며 iframe의 독립 프로세스는 없습니다.

• 참고: 스크린샷은 Chrome에 내장된 작업 관리자를 사용하여 표시됩니다. 액세스하려면 Chrome 메뉴를 열고 추가 도구를 가리킨 다음 작업 관리자를 클릭합니다.

사이트 격리가 활성화된 동일한 두 탭이 다음 스크린샷에 표시됩니다. 보시다시피 각 사이트에서 사용하는 iframe으로 인해 추가 프로세스 수가 크게 증가합니다. 또한 유사한 작업을 성공적인 추측 실행 가능성을 완화하기 위해 두 부분으로 나눕니다. 계산을 해보면(브라우저와 GPU 프로세스 작업은 제쳐두고) 두 사이트 모두 약 33% 더 많은 메모리를 사용하게 됩니다.

메모리 사용량은 Google에서 보고한 것보다 훨씬 높습니다. 그러나 장기 평균보다 10-13% 더 많은 수치를 고려하십시오. 웹 사이트, 심지어 개별 웹 페이지도 때때로 필요한 프로세스 수와 메모리가 다릅니다. 따라서 위의 시나리오는 이상하다고 볼 수 있습니다.

그럼에도 불구하고 사이트 격리로 인해 중간 정도 또는 이 경우 상당한 메모리 증가가 발생합니다.

보안 대 성능

위치 격리를 비활성화하면 메모리 사용량이 줄어들고 저사양 장치에서 성능이 향상될 수 있습니다. 그러나 Chrome은 사용하지 않는 탭을 일시 중지하여 사용 가능한 메모리를 관리하는 데 매우 능숙합니다. 메모리 사용량이 사이트마다 크게 다르기 때문에 명확한 답은 없습니다. 시스템 메모리가 높은 시스템에서는 성능 차이가 최소화되어야 합니다.

• 팁: 이 외에도 The Great Discarder 및 The Great Suspender와 같은 확장 프로그램을 사용하여 메모리 막힘이 있는 탭을 수동으로 관리할 수도 있습니다.

그러나 여기에 캐치가 있습니다. 사이트 검역소가 구현되기 때문에 Chrome은 시간이 지남에 따라 Spectre 공격에 대한 기존 대응책을 폐기해야 합니다. 따라서 비활성화하면 악의적인 공격에 대한 취약성이 증가합니다.

이 둘의 무게를 감안할 때 Spectre로 인한 잠재적인 취약성과 개인 데이터 사용 증가로 인해 사이트 격리를 해제하는 것은 나쁜 생각입니다. 저사양 장치에서 탐색하고 개인 데이터를 전혀 사용하지 않는 경우에만 이 중요한 보안 기능을 비활성화하는 것을 고려해야 합니다.

사이트 격리 비활성화

검역 사이트를 비활성화하면 컴퓨터가 심각한 보안 위협에 노출됩니다. 그러나 계속 진행하여 기능을 비활성화하려는 경우 아래의 특정 단계를 수행하십시오.

경고: 사이트 격리를 비활성화하면 웹사이트에서 개인 검색 데이터를 사용하지 않아야 합니다. 비밀번호와 같은 민감한 정보를 Chrome에 저장하는 경우에도 마찬가지입니다.
단계1 : 새 탭에서 chrome://flags를 입력하고 Enter 키를 눌러 Chrome 베타 플래그에 액세스합니다.

단계2 : 검색 표시줄에 사이트 격리를 입력한 다음 Enter 키를 누릅니다.

단계3 : 엄격한 사이트 격리 및 실험 사이트 격리 취소와 관련된 Chrome 플래그가 표시되어야 합니다.

• 엄격한 사이트 격리 플래그를 비활성화로 설정합니다. 이러한 특정 장치는 기본적으로 이 기능이 "비활성화"되어 있을 수 있습니다. 이 경우 아무것도 하지 마십시오.
• 사이트 격리 환경에 대한 옵트아웃 플래그를 옵트아웃으로 설정합니다(권장하지 않음).

그런 다음 지금 다시 시작을 클릭하여 변경 사항을 적용합니다.

단계5 : 이제 사이트가 격리되었습니다. 확인하려면 새 탭에 chrome://process-internals를 입력한 다음 Enter 키를 누릅니다.

사이트 격리 모드는 비활성화됨으로 표시되어 확인을 나타냅니다. 나중에 사이트 격리를 사용하려면 돌아가서 플래그를 이전 상태로 다시 변경하고 Chrome을 다시 시작하세요.

아니, 이건 위험할 가치가 없어

사이트 격리와 같은 중요한 Chrome 보안 기능을 비활성화하는 것은 메모리 사용량을 줄이는 것으로 간주되지 않습니다. 특히 각 위치가 메모리를 어떻게 다르게 사용하는지 고려하십시오. 따라서 귀하의 개인 정보에 대한 잠재적인 비용으로 약간의 성능 향상을 추구해서는 안 됩니다. 성능에 어려움을 겪고 있다면 빠른 작업을 수행하기 전에 Chrome보다 메모리가 훨씬 적은 Firefox Quantum과 같은 대체 브라우저를 사용하는 것을 항상 고려할 수 있습니다.