The Web is the largest platform in the world. It has the powerful advantages of being accessible everywhere and easily searchable without installation. To cope with such widespread adoption, the Web is rapidly evolving, absorbing new technologies that were not initially designed. This dissertation aims to explore the security implications of emerging Web technologies and make browsing environments more secure without hindering the evolution of the Web. To this end, we focus on two recent Web technologies, Progressive Web App and WebVR. A Progressive Web App (PWA) is a new generation of Web applications designed to provide native app-like browsing experiences. It provides native app features such as push notification and offline mode to the Web by using a background execution component called Service Worker. WebVR is a new technology that enables Virtual Reality (VR) on the Web, providing websites with interfaces to manage VR peripherals (e.g., HMDs, controllers) and render VR content thus enabling an immersive 3D experience on the Web. However, there are situations in which the emerging technologies are confronted with the conventional Web safety principles, thereby undermining Web security. For instance, the new execution pattern of PWAs (e.g., background execution) obscures the underlying property of the Web in which users could easily recognize the currently running site. Furthermore, the Web's sandboxing technique which securely executes multiple sources in 2D space is not simply applied to 3D space, making it difficult to provide isolated rendering execution contexts between multiple sources in the WebVR environment. Based on these observations, we first introduce new phishing threats exploiting the difficulties in identifying the source of running PWAs and demonstrate how users' sensitive information (e.g., browsing history) can be leaked. We also present a cryptojacking attack that covertly hijacks users' computing resources from visited PWAs. Second, we introduce four new advertising fraud attacks unique to WebVR by assuming a malicious advertising provider and propose a defense solution that can safely render multi-origin resources in a 3D world. In this way, we show that conducting in-depth investigations of the risks on emerging Web technologies and presenting practical countermeasures can help provide a secure Web browsing environment.

웹은 세계에서 가장 큰 플랫폼으로 설치 없이 어디서나 접근 가능하며 쉽게 검색 가능한 막강한 장점을 지닌다. 웹의 광범위한 사용을 지원하기 위해, 현대의 웹은 초기에는 디자인되지 않았던 새로운 기술을 끊임없이 흡수하며 확장되고 있다. 본 논문에서는 새로운 웹 기술이 사용자에게 끼치는 보안 영향을 깊이 있게 탐구하여 웹의 성장을 방해하지 않고 검색 환경을 보다 안전하게 만드는 것을 목표로 한다. 이를 위해 최근에 웹에 소개된 프로그레시브 웹 앱과 웹 가상현실이라는 두 혁신 기술에 초점을 맞춘다. 프로그레시브 웹 앱은 웹에서 네이티브 앱과 같은 기능을 가능하게 해주는 기술로 서비스 워커라는 백그라운드 실행 컴포넌트를 이용해서 웹에 푸시 알림과 오프라인 모드 등의 네이티브 앱 기술을 제공한다. 웹 가상현실은 웹에서 가상현실 기술을 가능하게 하는 기술로 웹에서 가상현실 실행을 위한 주변 장치(예: 디스플레이, 컨트롤러)를 관리하고 가상현실 컨텐츠를 렌더링하는 인터페이스를 제공하여 웹 상에서 몰입감있는 3차원 경험을 가능하게 한다. 하지만, 이와 같은 신흥 웹 기술들이 기존의 웹 보안 원칙과 대치되어 웹 보안을 약화시키는 상황이 존재한다. 예를 들어, 프로그레시브 웹의 백그라운드 실행은 사용자가 현재 이용 중인 웹사이트를 쉽게 인지할 수 있었던 웹의 기본 특성을 모호하게 만든다. 또한, 2차원 공간에서 다중 출처를 안전하게 실행하는 웹의 샌드박싱 기술이 3차원 공간에 단순 적용되지 않아 웹 가상현실 환경에서 출처 간의 분리된 렌더링 영역을 제공하기 어렵다. 이러한 이해를 바탕으로, 첫 번째 세부 연구에서는 실행중인 프로그레시브 웹 앱의 출처 판별의 어려움으로 비롯한 새로운 피싱 위협을 소개하고 시용자의 민감한 개인 정보(예: 웹사이트 방문 기록)가 유출될 수 있음을 보인다. 또한 사용자의 컴퓨팅 자원을 은밀하게 탈취하는 크립토재킹 공격을 제시한다. 두 번째 세부 연구에서는 악의적인 광고 제공자를 가정하여 웹 가상현실에 특화된 네 가지의 광고 사기 공격을 소개하고 3차원 공간에서 다중 출처의 리소스를 안전하게 렌더링 할 수 있는 솔루션을 제안한다. 이처럼 새로운 웹 기술에 대한 깊이 있는 조사와 실용적인 대책 마련을 통해 안전한 웹 브라우징 환경을 제공하는 데 도움을 줄 수 있음을 보인다.