2016.08.11

'인터넷의 근간' TCP 취약점 발견··· 익명 네트워크도 무력화할 수 있어

Katherine Noyes | IDG News Service
2012년 이후 나온 모든 리눅스에 적용된 TCP(Transmission Control Protocol)에서 보안 취약점이 발견됐다. 리눅스를 직접 사용하든 아니든 영향을 받으므로 인터넷 사용자 모두에게 심각한 위협이라는 분석이다.


Image Credit: Terry Goss

이 취약점은 지난 10일 미국 텍사스 오스틴에서 열린 유즈닉스(USENIX) 보안 심포지엄에서 공개됐다. 캘리포니아 대학 리버사이드 캠퍼스(UCR) 연구진이 알아낸 것으로, 이를 이용하면 공격자가 사용자의 인터넷 통신을 완벽하게 원격으로 가로챌 수 있다.

사용자의 온라인 행동을 추적하거나 대화를 엿듣는 것은 물론, 강제로 통신을 끊고 심지어 토르(Tor) 같은 익명 네트워크의 프라이버시 보호를 무력화할 수 있다고 연구진은 설명했다. 리눅스는 무수히 많은 인터넷 서버와 안드로이드 폰, 수많은 기기에서 사용되므로, 엄청난 규모의 사용자가 이 취약점의 영향을 받을 수 있다.

TCP는 리눅스는 물론 여러 운영체제에서 데이터를 패키지해 한 곳에서 다른 곳으로 보내는 데 사용된다. 예를 들어 두 사람이 이메일을 주고받을 때 TCP는 각 메시지를 일련의 데이터 패킷으로 구성해 전송하고 수신하며 본래 메시지로 다시 구성하는 역할을 담당한다. 이런 패킷은 고유의 숫자 배열로 표현돼 노출되지만 그 의미를 추론하기에는 가능성이 너무 다양해 쉽게 해킹할 수 없다.

그러나 연구팀이 찾은 '사이드 채널(side channel)' 보안 취약점을 이용하면, 통신 부분의 IP 주소보다 더 적은 정보를 사용해 공격자가 특정 연결과 관련된 TCP 숫자 배열을 추론할 수 있다.

따라서 인터넷에서 임의의 기기 2대가 있을 때 원격으로 사용자의 온라인 행동을 추적하고 연결을 끊고 그들 간의 통신에 임의로 다른 요소를 끼워 넣을 수 있다. 데이터를 암호화하는 HTTPS도 위험하기는 마찬가지다. 이런 공격은 HTTPS 연결을 강제로 중단하고 일반 연결로 바꾸게 할 수 있다. 이는 암호화 통신의 기반을 약화해 토르 같은 익명 네트워크의 보안성을 무력화할 수 있다는 것을 의미한다.

연구자에 따르면, 이 공격은 빠르고 확실하다. 채 1분이 걸리지 않을 때도 있고 90%가량의 성공률을 보인다. 더 자세한 내용은 다음 비디오를 참고하면 된다.



UCR의 컴퓨터공학과 교수 지양 진 "우리가 찾은 이 취약점의 특징은 수행하기 위해 조건이 매우 간단하다는 것이다. 근본적으로 IP 스푸핑(IP spoofing)을 허용하는 네트워크에 물려 있다면 어디에서는 공격을 실행할 수 있다. 필요한 정보도 목표로하는 클라이언트와 서버의 IP 주소 뿐인데, 이것은 정말로 알아내기 쉽다"라고 말했다.

진의 팀은 이 보안 취약점을 리눅스 커뮤니티에 알렸고, 이미 다음 버전에서 패치가 이뤄졌다. 동시에 진은 클라이언트와 서버 호스트에 대한 임시 패치를 설치할 것을 조언했다. UCR 사이트에 이 취약점에 대한 주요 내용이 올라와 있다. 보고서 전체도 내려받을 수 있다.

트립와이어(Tripwire)의 보안 연구원 크레이그 영은 이메일 인터뷰를 통해 "TCP 숫자 배열을 예측할 수 있는 사이드 채널 공격은 매우 심각한 문제이다. 1990년대 많이 나타났던 TCP 하이잭킹 공격이 다시 창궐할 수도 있다"고 말했다. 당시 캐빈 미트닉이 TCP의 보안취약점을 악용한 '세션 하이잭킹(session hijacking)'으로 악명을 떨치기도 했다.

영은 "당시에 문제는 많은 컴퓨터가 초기 배열 값을 시간에서 만들어 내곤했는데, 이 때문에 추론할 수 있는 가능성이 크게 줄면서 원격으로 세션을 장악하는 것이 더 쉬워진 것이 원인이었다"라고 말했다. 사이드 채널 취약점 역시 같은 방법으로 악용될 수 있다는 것이다. ciokr@idg.co.kr



2016.08.11

'인터넷의 근간' TCP 취약점 발견··· 익명 네트워크도 무력화할 수 있어

Katherine Noyes | IDG News Service
2012년 이후 나온 모든 리눅스에 적용된 TCP(Transmission Control Protocol)에서 보안 취약점이 발견됐다. 리눅스를 직접 사용하든 아니든 영향을 받으므로 인터넷 사용자 모두에게 심각한 위협이라는 분석이다.


Image Credit: Terry Goss

이 취약점은 지난 10일 미국 텍사스 오스틴에서 열린 유즈닉스(USENIX) 보안 심포지엄에서 공개됐다. 캘리포니아 대학 리버사이드 캠퍼스(UCR) 연구진이 알아낸 것으로, 이를 이용하면 공격자가 사용자의 인터넷 통신을 완벽하게 원격으로 가로챌 수 있다.

사용자의 온라인 행동을 추적하거나 대화를 엿듣는 것은 물론, 강제로 통신을 끊고 심지어 토르(Tor) 같은 익명 네트워크의 프라이버시 보호를 무력화할 수 있다고 연구진은 설명했다. 리눅스는 무수히 많은 인터넷 서버와 안드로이드 폰, 수많은 기기에서 사용되므로, 엄청난 규모의 사용자가 이 취약점의 영향을 받을 수 있다.

TCP는 리눅스는 물론 여러 운영체제에서 데이터를 패키지해 한 곳에서 다른 곳으로 보내는 데 사용된다. 예를 들어 두 사람이 이메일을 주고받을 때 TCP는 각 메시지를 일련의 데이터 패킷으로 구성해 전송하고 수신하며 본래 메시지로 다시 구성하는 역할을 담당한다. 이런 패킷은 고유의 숫자 배열로 표현돼 노출되지만 그 의미를 추론하기에는 가능성이 너무 다양해 쉽게 해킹할 수 없다.

그러나 연구팀이 찾은 '사이드 채널(side channel)' 보안 취약점을 이용하면, 통신 부분의 IP 주소보다 더 적은 정보를 사용해 공격자가 특정 연결과 관련된 TCP 숫자 배열을 추론할 수 있다.

따라서 인터넷에서 임의의 기기 2대가 있을 때 원격으로 사용자의 온라인 행동을 추적하고 연결을 끊고 그들 간의 통신에 임의로 다른 요소를 끼워 넣을 수 있다. 데이터를 암호화하는 HTTPS도 위험하기는 마찬가지다. 이런 공격은 HTTPS 연결을 강제로 중단하고 일반 연결로 바꾸게 할 수 있다. 이는 암호화 통신의 기반을 약화해 토르 같은 익명 네트워크의 보안성을 무력화할 수 있다는 것을 의미한다.

연구자에 따르면, 이 공격은 빠르고 확실하다. 채 1분이 걸리지 않을 때도 있고 90%가량의 성공률을 보인다. 더 자세한 내용은 다음 비디오를 참고하면 된다.



UCR의 컴퓨터공학과 교수 지양 진 "우리가 찾은 이 취약점의 특징은 수행하기 위해 조건이 매우 간단하다는 것이다. 근본적으로 IP 스푸핑(IP spoofing)을 허용하는 네트워크에 물려 있다면 어디에서는 공격을 실행할 수 있다. 필요한 정보도 목표로하는 클라이언트와 서버의 IP 주소 뿐인데, 이것은 정말로 알아내기 쉽다"라고 말했다.

진의 팀은 이 보안 취약점을 리눅스 커뮤니티에 알렸고, 이미 다음 버전에서 패치가 이뤄졌다. 동시에 진은 클라이언트와 서버 호스트에 대한 임시 패치를 설치할 것을 조언했다. UCR 사이트에 이 취약점에 대한 주요 내용이 올라와 있다. 보고서 전체도 내려받을 수 있다.

트립와이어(Tripwire)의 보안 연구원 크레이그 영은 이메일 인터뷰를 통해 "TCP 숫자 배열을 예측할 수 있는 사이드 채널 공격은 매우 심각한 문제이다. 1990년대 많이 나타났던 TCP 하이잭킹 공격이 다시 창궐할 수도 있다"고 말했다. 당시 캐빈 미트닉이 TCP의 보안취약점을 악용한 '세션 하이잭킹(session hijacking)'으로 악명을 떨치기도 했다.

영은 "당시에 문제는 많은 컴퓨터가 초기 배열 값을 시간에서 만들어 내곤했는데, 이 때문에 추론할 수 있는 가능성이 크게 줄면서 원격으로 세션을 장악하는 것이 더 쉬워진 것이 원인이었다"라고 말했다. 사이드 채널 취약점 역시 같은 방법으로 악용될 수 있다는 것이다. ciokr@idg.co.kr

X