미국 비자 신청 웹사이트가 내 네트워크 포트 스캔을 수행하는 이유는 무엇인가요?

Hacker News 의견

• 비자 신청 과정에는 온갖 사기가 많음. 단순히 두 배 요금을 청구하는 사이트부터, 신청자가 거절당했다고 속이고 신청자 이름으로 가짜 서류를 만들어주는 사이트까지 있음. 그래서 비자 시스템에서는 이용자가 실제 사람인지, 아니면 중계 서버나 C2 채널을 이용하는 사기꾼인지 확인하려고 하는 것 같음
  • 진짜 끔찍한 웹사이트 치고는 그런 방어가 꽤 똑똑한 접근임. 나의 파트너가 터키 시민이라 최근 비자 신청을 했는데, 꼼꼼하게 30분 이상 입력하고도 세션이 종료되어 전부 날아갔음. 계정 만들지 않았거나 현재 신청 ID를 적어두지 않았다면 구제 불능임. 그 과정에서 .gov가 아닌 수상한 사이트로 리디렉션되기도 했는데, 처음엔 사기라고 생각했지만 실제로는 아니었음. 이런 악몽같은 과정을 조금이라도 쉽게 해주는 유료 서비스가 만들어지는 게 이해됨. 관련서류 접수는 대부분 VFS Global에서 처리하는데, 이 업체 자체도 문제가 많아서 형식상 대행만 할 뿐 실제 도움은 안 됨. 최근 EU가 터키 시민들 대상 Schengen 비자 신청 절차를 간소화했는데, 이유는 비자 공식 대행사들이 오히려 ‘좋은 시간대’ 예약을 암시장에 팔면서 사기를 쳤기 때문임. 미국, EU 모두 긴 대기시간 때문에 장학금 기회 등 소중한 기회를 잃는 일이 잦음. 여기에 문자 변환이나 인코딩 문제처럼 소소하지만 복잡한 문제들이 산적해있으니, 실제로 도움되는 AI 에이전트 같은 게 등장하면 이 시장에 기회가 있지 않을까 싶음
  • 인도 비자 시스템도 비슷함. 공식 .gov.in 사이트는 찾기도 어렵고 비자는 10달러 정도로 간단하게 나옴. SEO만 잘하는 사기 사이트들은 똑같은 걸 80달러에 팔면서 실제 신청 내용을 공식 사이트에 중계만 하고 차액을 챙김. 인도 정부가 이런 사기꾼을 차단하면 좋겠지만 당장 우선순위는 아닌 것 같음
  • 네트워크 쪽엔 익숙하지 않은데, 포트 스캔으로 사기꾼이라는 걸 어떻게 검출할 수 있는지 궁금함
  • 그 방식이 실제로 가능할지 상상이 잘 안 됨. 이런 ‘스캔’이 클라이언트 쪽 자바스크립트에서 실행되면, 프록시 서버로 파일을 전송한다고 해서 프록시에 대해 뭔가 검출할 수 있을 것 같지 않음
• 이 기능은 F5 스크립트에서 나오는 것으로, F5는 안티봇 보안 솔루션을 판매하는 회사임. (/TSPD라는 경로에서 난독화된 스크립트가 로드되며, 이것이 F5 고유 요소임)
  https://www.f5.com/
  • TS는 예전 F5가 인수한 TrafficShield의 약자처럼 보이며, PD는 아마도 Proactive Defense의 약자 같음
• uBlock Origin의 "Block Outsider Intrusion into LAN"이라는 기본 리스트가 있다는 걸 최근에야 알았음. 정말 유용한 정보임
  • github 기능 요청을 확인해보니 왜 이런 기능이 필요한지 궁금해짐. 브라우저가 실제로 로컬 네트워크 접근을 제공하거나 제공해야 하는 이유가 뭔지 잘 모르겠음. mDNS 트래픽 등 소켓과 연결된 것에 접속할 때 이런 식의 요청이 일부 있었던 걸 본 적 있어 가능성은 떠올렸음
    https://github.com/uBlockOrigin/uAssets/issues/4318
  • 이런 접근이 허용된다는 것 자체에 경악스러움. 왜 방문하는 모든 웹사이트가 내 로컬 네트워크에 접근할 수 있도록 허용된다는 발상이 가능했는지 궁금함
  • uBlock Origin에서 js 기능이 점점 빠지고 있는데, lite 버전에서도 이 기능이 제공되는지 궁금함
  • 이 옵션을 활성화하니 내 보안 수준이 크게 향상됨. 모두에게 고마움
  • 나도 이 기능이 있는지 몰랐는데, 노트북과 모바일 브라우저엔 이미 활성화되어 있었음
• 브라우저가 어떻게 이런 걸 허용하는지, 그리고 왜 마이크로폰 접근권한처럼 사용자에게 동의를 요구하지 않는지 이해가 안 됨. 임의의 웹사이트가 내 LAN에서 포트스캔을 하는 게 용납될 수 있다는 자체가 너무 위험함. 이런 걸 ‘기능’으로 두는 대신 보안 취약점으로 간주해야 하지 않을까 생각함
  • Chrome에선 이런 접근이 허용되지 않음. 로컬 네트워크 서비스가 외부 사이트에서 접근하려면 opt-in이 필요함(
    https://github.com/WICG/private-network-access
    ), 그리고 이걸 사용자 동의 기반으로 전환 중임(
    https://github.com/WICG/local-network-access
    ). PNA가 실제로 배포됐는지 논란 있지만, 수년 전 실제로 내가 stable Chrome에서 경험한 적 있어 정확한 최신 상태는 잘 모르겠음. Firefox는 이런 접근을 지원하지 않음. 개발 리소스 부족 때문이라고 추측함
• 나는 uMatrix를 쓰고 있는데, 기본적으로 요청 사이트 및 상위 도메인 외 모든 연결이 차단됨. 예를 들어 mail.yahoo.com 방문 시 yimg.com 등은 수동 허용해야 하니 이런 포트스캔/프로파일링이 통하지 않음. 처음엔 너무 불편했으나 몇 달 동안 화이트리스트를 키우다 보니 방문 사이트의 90%가 포함됨. 내 시스템에서 ceac.state.gov/genniv/는 captcha.com, 구글 애널리틱스, 태그매니저, 127.0.0.1, "burp"(내 네트워크에 없는 로컬 호스트네임)로 접속 시도함. 흥미롭게도 브라우저 콘솔에서는 localhost나 burp로의 시도가 잘 보이지 않음. 127.0.0.1 허용 후 tcpdump로 보면 포트 8888에 접속하려는 트래픽 발견됨(해당 포트는 열려있지 않음)
  • uMatrix가 Facebook 트래킹 픽셀이나 최근 대체재로 나온 Conversions API Gateway도 막아주는지 궁금함. Conversions API Gateway는 컨테이너 형태로 직접 도메인(메인 도메인 가능) 아래 호스팅해서, 서버 측에서 사용자 데이터를 페이스북으로 전달하는 방식임. JS만 삽입하면 데이터가 모두 넘어감
  • uMatrix는 현재 아카이브(지원 종료) 상태고, 현재는 uBlockOrigin을 고급 설정 활성화로 쓰는 것이 추천됨(이 구조가 uMatrix 기능 흡수함). 좀 더 강력하게 막고 싶으면 하드모드로 설정 후 단축키 활용해 relax blocking 모드 전환도 추천함. 필터 리스트(특히 yokoffing/filterlists와 지역/언어별 리스트)도 꼭 쓰는 게 좋음
    https://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-mode
  • Burp Suite가 웹앱에 연결돼있는지 체크하려는 의도가 있는 것 같음
  • 어떻게 127.0.0.1로의 요청을 네트워크 탭에서 숨기는지 궁금함
  • burp는 사실
    https://portswigger.net/burp/documentation/desktop/tools/proxy
    에서도 언급되는 Burp Suite임. 사이트 분석을 어렵게 하려는 것 같음
• 어떤 확장 프로그램은 “모든 사이트의 데이터에 접근” 권한이 요구됨. 유명 회사나 신뢰할 만한 개발자가 아니라면 이런 권한을 부여하는 게 이해되지 않음. 특히 "Hacks and Hops"라는 확장은
  https://g666gle.me/
  라는 존재하지 않는 도메인을 홈페이지로 쓰고 있음. 이런 확장은 아무리 매력적으로 보여도 절대 설치하지 않을 것임
  • 이런 모순적 현상은 HN 같은 포럼에서 거의 보편적임. 이 확장 설치한 사람은 정신 나간 거 아닌가 싶음. ‘개인정보 보호’를 설치할 수 있다는 망상에 지나치게 몰입해서 오히려 VPN 위장 루트킷, 무작위 확장프로그램을 다운로드하는 소비자가 많음. 만약 사기확장을 설치했다면 가장 최소한의 조치가 PC를 불태우고 자동차로 밟아버린 뒤, 모든 계좌를 새로 만들고 완전히 새로운 기기에서 비밀번호를 다시 만드는 것밖에 없을 정도임
• 이런 식의 포트 스캔, 디바이스 핑거프린팅, anti-anonymity SAAS는 많은 사이트에서 일어남. Ebay, Facebook도 다 하고 있음. 하지만 이번 건은 광고차단 자체를 차단하려는 1차적 목적이 큼. 1MB 크기의 난독화된 핑거프린트 + 포트스캔 + WebGL까지 동원됨. 특이하게도 burp suite 경로를 찾으려는 시도가 있음
  • 이런 공격에 내 네트워크를 어떻게 보안 강화할 수 있는지 궁금함
  • 내가 신규 카드 등록 웹사이트에서 똑같은 포트 스캔 방식을 경험한 적 있음
• 이번 “포트 스캔”은 127.0.0.1:8888로의 로컬 연결 시도 정도였음. 정확히 무슨 용도인지는 모르겠으나, 정부 웹사이트에서는 종종 문서 전자서명용 네이티브 소프트웨어와 통신하기 위해 이 방식을 사용함. 다른 IP로의 연결 시도도 있는지 궁금함
  • 카드리더기, 디버깅 서버, 혹은 개발자의 실수로도 이런 현상이 생길 수 있음. 내 경험으론 개발환경에서 외부 호스트 대신 localhost로 baked-in된 URL이 포함돼 배포된 적도 있음. 그들이 8888 포트를 로컬 개발서버로 쓸 가능성도 있고, 그리 놀랍지 않음
  • 이건 사용자의 기기(로컬)에 웹서버가 있을 경우, 데이터 수집·트래킹 목적으로 시도하는 연결일 가능성이 높음. 예전에 Facebook/meta도 안드로이드에서 비슷한 방식으로 추적이 밝혀진 적 있음(메신저·인스타그램 통해 웹서버로 트래킹). 아래 참고
    https://news.ycombinator.com/item?id=44169115
    https://news.ycombinator.com/item?id=44175940
• 이런 상황에서는 웹사이트가 카드리더기 등의 로컬 포트에 접속을 시도하는 게 오히려 당연할 수도 있음. 일부 혹은 대부분 EU 국가는 ID 카드, 차량 등록카드에 있는 칩으로 인증·행정업무에 접속하는데, 과거엔 자바+인터넷 익스플로러만 지원했으나 IE가 단종되고 크로미움으로 전환된 이후엔 방식을 잘 모르겠어서 최근엔 이용해본 적 없음
  • 요즘은 브라우저와 스마트카드 드라이버 사이를 연결하는 로컬 서비스 설치가 필요함. 예전에는 자바 애플릿이 하던 역할을 브릿지 서비스가 함. 카드 전용 드라이버와 브릿지 서비스가 묶여 설치됨
  • 한 번은 아이폰/안드로이드 앱으로 여권의 NFC 칩을 읽으라고 요구한 적 있음. 이게 IE/자바의 최신 대체재 같음
• 이런 관행을 몰랐던 게 좀 부끄러울 정도임. 핑거프린팅 외에 추가적인 악용 목적이 있는지 궁금함
  • 실제로 페이스북이 안드로이드에서 이런 방식을 쓴 적 있음. Meta의 안드로이드 앱이 localhost에 서버를 띄우고 브라우저 보호로 차단된 추적 정보를 로컬 서버 경유로 교환함. 사실 핑거프린팅이긴 한데 가장 극단적 활용이라고 할 수 있음
    https://news.ycombinator.com/item?id=44169115
  • 취약한 URL을 가진 라우터가 있을 수 있음. “router authentication bypass”로 검색해보면 사례가 나옴
  • macOS Safari 콘솔에서 사이트 방문 시 이런
    https://files.catbox.moe/g1bejn.png
    현상이 포착됨. 포트 8888은 구체적으로 어떤 서비스에서 쓰이는지 궁금함
  • 주로 트래킹 목적으로 쓰이나, 만약 사용자가 localhost에서 민감한 서비스 운영 중이라면 데이터 유출에 악용될 가능성도 있음
    https://digitalsamba.com/blog/…