2016.08.11

칼럼 | 보안 취약점 '최후의 날'은 절대 오지 않는다

Evan Schuman | Computerworld
정보 보안은 끝이 없는 일이다. 위협은 계속되고 공격 요소도 새롭게 등장한다. 최근에는 무선 제품 관련된 취약점이 몇 가지 공개됐다.


Image Credit: Peter Griffin

인터넷 보안업체 바스틸(Bastille)은 "공격자가 무선 키보드의 암호화되지 않은 무선 통신 프로토콜에 접근할 수 있다. 이들은 100달러(약 11만 원) 미만의 기기를 이용해 수십 미터 떨어진 곳에서 입력하는 모든 키를 훔쳐볼 수 있다"고 밝혔다. 무선 키보드는 일반적으로 2.4GHz ISM 대역으로 동작하는 비전매특허 프로토콜을 이용한다. 블루투스와는 달리 표준이 없어 업체별로 자체 보안 스키마를 사용한다.

바스틸은 이 취약점의 영향을 받는 키보드 제조업체의 이름과 그 업체의 답변도 공개했다. 업체가 이런 상황에 어떻게 대응하는지를 보면 우리는 더 많은 것을 유추할 수 있다. 현재까지 3개 업체만 답변을 보내왔다. 이중 가장 인상적인 곳은 켄싱턴(Kensington)이다. 업체는 "미국 정부가 도입했고 현재 전 세계적으로 널리 사용되는 AES 암호화가 포함된 펌웨어 업데이트를 만들어 배포했다"고 밝혔다.

하지만 켄싱턴은 혼란스러운 표현도 함께 사용했다. "2005년 이 제품을 내놓은 이후 우리가 아는 한 보안 사고가 보고되지 않았다는 사실을 밝히게 돼 기쁘다"는 내용이다. 여기에서 말하는 '우리가 아는 한'은 대체 무슨 의미일까?

이런 사고가 업체에 알려지지 않았다고 해서 아무것도 유출되지 않았다는 뜻은 아니다. 이 보안 취약점의 속성 때문에 피해자가 알지 못했을 가능성이 크다. 그리고 어떻게든 이를 알았다고 해도 현재 사용하는 운영체제나 혹은 자신이 방문했던 사이트를 비난했을 가능성이 크다. 최소한 마우스 때문이라고는 생각하지 못했을 것이다.

앵커(Anker)의 대응은 상대적으로 덜 만족스럽다. 업체는 "울트라 슬림 2.4gHz 무선 콤팩트 키보드(Ultra Slim 2.4gHz Wireless Compact Keyboard)를 무기한 판매 중단하기로 했다. 일정 기간(8월 30일까지)동안 이 제품을 다른 블루투스 키보드로 교체해 줄 예정이다. 단, 영향을 받는 키보드의 품질보증 기간이 만료되지 않아야 한다"라고 밝혔다.

이에 대해 3가지 생각이 든다. 첫째, 안전하지 못한 제품을 팔았다는 것이 드러났는데 품질보증 기간을 언급하고 싶었을까? 아마 사용자는 바스틸이 관련 사실을 공개하기 전까지 앵커의 제품이 '말도 안 되게' 안전하지 않다는 것을 전혀 몰랐을 것이다. 둘째, 고객이 블루투스를 원했다면 처음부터 그렇게 구매하지 않았을까? 셋째, 만약 업체가 암호화 기능을 넣은 개선 제품을 모든 고객에 무제한 무료로 제공하면 어땠을까? 이것이야말로 고객의 신뢰를 다시 얻는 방법일 것이다.

마지막 업체의 대응은 언듯 이해가 되지 않는다. GE(General Electric) 브랜드로 제품을 판매하는 제이스코 프로덕츠(Jasco Products)이다. 업체의 해명을 보면 사실상 아무것도 하지 않겠다는 것을 분명히 했다. 제이스코는 "바스틸이 98614 키보드 및 마우스 콤보 제품과 관련해 공개한 문제를 인지하고 있으며 본 제품의 고객과 직접 협력해 그들의 문제 또는 우려를 해결하겠다"고 밝혔다.

향후 버전에서 해결하겠다는 약속은 물론 암호화에 대한 언급조차 없다. 단순히 고객 불만이 발생할 때만 대처하겠다는 모호한 약속이다. 필자는 앞으로 제이스코 제품은 절대 사용하지 않을 것이다.


한편 보안 취약점에 대해 주목할만한 보고서는 또 있다. 트립와이어(Tripwire)는 "아마존에서 판매되는 상위 50개 소비자용 라우터 중 74%가 보안 취약성이 있는 상태로 출고됐으며 20개 모델은 해당 업체의 최신 펌웨어에서 보안 취약점이 발견됐다"고 발표했다.

보고서를 자세히 보면 더 놀랍다. 특정 문자열이 포함된 모든 요청에 '200회의 OK' 응답을 받았다. 이 문자열을 다른 요청에 포함해 인증된 쿼리(Query)만을 위한 응답 데이터를 얻어내는 데 성공했다. 또한, SSL을 통해 요청했을 때 관리 인터페이스를 사용할 수 없게 만들고, 인증 없이 HTTP를 통해 접근할 수 있는 특정 페이지가 발견되기도 했다.

기기의 일련번호가 HTTP 서버에 의해 노출되는 것도 문제다. 직접적인 보안 위험이 있는지는 확실치 않지만 소셜 엔지니어링 플로이(Social Engineering Ploy)의 하나로 악용될 수 있다. 실제로 일련번호를 기기의 소유 여부를 입증하는 수단으로 활용하는 제품도 있다.

또한, 특정 페이지에 대한 인증된 요청으로 과도한 메모리 소비를 초래해 HTTP 서버가 다시 로딩될 뿐 아니라 다른 서비스가 중단되는 현상도 발견했다. 이런 요소는 GET 요청을 통해 악용할 수 있으므로 HTML 문서 또는 이메일의 악성 이미지 태그를 통해 CSRF 공격에 사용될 수 있다.

이런 상황에서 필자가 가장 좋아하는 간편한 프라이버시 보호 방법이 있다. 이메일을 확인하거나 전화를 걸지 않는 한 휴대폰을 비행기 모드로 두는 것이다. 아이폰의 셀룰러와 와이파이 네트워크를 꺼 악당을 차단하면서도 애플 페이(Apple Pay) 같은 거래는 사용할 수 있다.

하지만 이런 생각이 필자만의 착각이었다는 것을 최근 알았다. 펍펍(PubPub) 보도에 따르면, 비행기 모드로 진입해 무선을 끈다고 해서 방어가 되는 것이 아니다. 예를 들어 iOS 8.2 이후의 아이폰에서는 비행기모드에서도 GPS가 활성화돼 있다.

애플 세심함 덕분에 우리는 쉽게 추적되면서도 그런 사실을 거의 알지 못하게 됐다. 비행기 모드에서도 지도(Maps)를 사용하고 싶은 사람이 있겠지만 이것은 분명 프라이버시를 침해하는 문제다.

휴대폰이 비행기 모드인 상태로 빅박스스토어(BigBoxStore)를 방문했다고 가정해 보자. 휴대폰에는 경쟁사인 비거박스스토어(BiggerBoxStore)가 필자의 현재 위치를 이용할 수 있는 앱이 설치돼 있다. 휴대폰이 비행기 모드이니 비거박스스토어는 필자가 빅박스스토어를 방문했었다는 사실을 몰랐을 것으로 생각했지만 실제로는 그렇지 않았던 것이다.

펍펍의 놀라운 보도는 계속된다. "비행기 모드는 소프트 스위치이다. 꽤 낮은 가격으로 사용자 인터페이스에 아무런 표시도 없이 무선을 활성화하는 악성 소프트웨어를 만들 수 있다. 따라서 비행기 모드로 진입하도록 해킹된 휴대폰을 믿는 것은 술 취한 사람이 충분히 운전이 가능할 정도로 취하지 않았다고 믿는 것과 같다" 즉, 어쩌면 필자는 비행기 모드라고 착각하고 있었던 것일 수도 있다.

어쨌든 사람들 대부분은 유출되는 무선 키보드와 라우터가 더 큰 걱정거리이다. 이는 기업 환경과도 직결된다. 강력한 보안 시스템을 구축해 놓고도 VPN을 통해 안전하지 못한 주변 기기와 연결하도록 허용하기 때문이다. IT 팀이 이를 알지 못하는 경우도 많다. 암호화되지 않은 상태로 데이터가 손쉽게 유출될 수 있는 상황에서 이를 보호하기 위해 거액을 쓰는 이해할 수 없는 상황인 셈이다. ciokr@idg.co.kr



2016.08.11

칼럼 | 보안 취약점 '최후의 날'은 절대 오지 않는다

Evan Schuman | Computerworld
정보 보안은 끝이 없는 일이다. 위협은 계속되고 공격 요소도 새롭게 등장한다. 최근에는 무선 제품 관련된 취약점이 몇 가지 공개됐다.


Image Credit: Peter Griffin

인터넷 보안업체 바스틸(Bastille)은 "공격자가 무선 키보드의 암호화되지 않은 무선 통신 프로토콜에 접근할 수 있다. 이들은 100달러(약 11만 원) 미만의 기기를 이용해 수십 미터 떨어진 곳에서 입력하는 모든 키를 훔쳐볼 수 있다"고 밝혔다. 무선 키보드는 일반적으로 2.4GHz ISM 대역으로 동작하는 비전매특허 프로토콜을 이용한다. 블루투스와는 달리 표준이 없어 업체별로 자체 보안 스키마를 사용한다.

바스틸은 이 취약점의 영향을 받는 키보드 제조업체의 이름과 그 업체의 답변도 공개했다. 업체가 이런 상황에 어떻게 대응하는지를 보면 우리는 더 많은 것을 유추할 수 있다. 현재까지 3개 업체만 답변을 보내왔다. 이중 가장 인상적인 곳은 켄싱턴(Kensington)이다. 업체는 "미국 정부가 도입했고 현재 전 세계적으로 널리 사용되는 AES 암호화가 포함된 펌웨어 업데이트를 만들어 배포했다"고 밝혔다.

하지만 켄싱턴은 혼란스러운 표현도 함께 사용했다. "2005년 이 제품을 내놓은 이후 우리가 아는 한 보안 사고가 보고되지 않았다는 사실을 밝히게 돼 기쁘다"는 내용이다. 여기에서 말하는 '우리가 아는 한'은 대체 무슨 의미일까?

이런 사고가 업체에 알려지지 않았다고 해서 아무것도 유출되지 않았다는 뜻은 아니다. 이 보안 취약점의 속성 때문에 피해자가 알지 못했을 가능성이 크다. 그리고 어떻게든 이를 알았다고 해도 현재 사용하는 운영체제나 혹은 자신이 방문했던 사이트를 비난했을 가능성이 크다. 최소한 마우스 때문이라고는 생각하지 못했을 것이다.

앵커(Anker)의 대응은 상대적으로 덜 만족스럽다. 업체는 "울트라 슬림 2.4gHz 무선 콤팩트 키보드(Ultra Slim 2.4gHz Wireless Compact Keyboard)를 무기한 판매 중단하기로 했다. 일정 기간(8월 30일까지)동안 이 제품을 다른 블루투스 키보드로 교체해 줄 예정이다. 단, 영향을 받는 키보드의 품질보증 기간이 만료되지 않아야 한다"라고 밝혔다.

이에 대해 3가지 생각이 든다. 첫째, 안전하지 못한 제품을 팔았다는 것이 드러났는데 품질보증 기간을 언급하고 싶었을까? 아마 사용자는 바스틸이 관련 사실을 공개하기 전까지 앵커의 제품이 '말도 안 되게' 안전하지 않다는 것을 전혀 몰랐을 것이다. 둘째, 고객이 블루투스를 원했다면 처음부터 그렇게 구매하지 않았을까? 셋째, 만약 업체가 암호화 기능을 넣은 개선 제품을 모든 고객에 무제한 무료로 제공하면 어땠을까? 이것이야말로 고객의 신뢰를 다시 얻는 방법일 것이다.

마지막 업체의 대응은 언듯 이해가 되지 않는다. GE(General Electric) 브랜드로 제품을 판매하는 제이스코 프로덕츠(Jasco Products)이다. 업체의 해명을 보면 사실상 아무것도 하지 않겠다는 것을 분명히 했다. 제이스코는 "바스틸이 98614 키보드 및 마우스 콤보 제품과 관련해 공개한 문제를 인지하고 있으며 본 제품의 고객과 직접 협력해 그들의 문제 또는 우려를 해결하겠다"고 밝혔다.

향후 버전에서 해결하겠다는 약속은 물론 암호화에 대한 언급조차 없다. 단순히 고객 불만이 발생할 때만 대처하겠다는 모호한 약속이다. 필자는 앞으로 제이스코 제품은 절대 사용하지 않을 것이다.


한편 보안 취약점에 대해 주목할만한 보고서는 또 있다. 트립와이어(Tripwire)는 "아마존에서 판매되는 상위 50개 소비자용 라우터 중 74%가 보안 취약성이 있는 상태로 출고됐으며 20개 모델은 해당 업체의 최신 펌웨어에서 보안 취약점이 발견됐다"고 발표했다.

보고서를 자세히 보면 더 놀랍다. 특정 문자열이 포함된 모든 요청에 '200회의 OK' 응답을 받았다. 이 문자열을 다른 요청에 포함해 인증된 쿼리(Query)만을 위한 응답 데이터를 얻어내는 데 성공했다. 또한, SSL을 통해 요청했을 때 관리 인터페이스를 사용할 수 없게 만들고, 인증 없이 HTTP를 통해 접근할 수 있는 특정 페이지가 발견되기도 했다.

기기의 일련번호가 HTTP 서버에 의해 노출되는 것도 문제다. 직접적인 보안 위험이 있는지는 확실치 않지만 소셜 엔지니어링 플로이(Social Engineering Ploy)의 하나로 악용될 수 있다. 실제로 일련번호를 기기의 소유 여부를 입증하는 수단으로 활용하는 제품도 있다.

또한, 특정 페이지에 대한 인증된 요청으로 과도한 메모리 소비를 초래해 HTTP 서버가 다시 로딩될 뿐 아니라 다른 서비스가 중단되는 현상도 발견했다. 이런 요소는 GET 요청을 통해 악용할 수 있으므로 HTML 문서 또는 이메일의 악성 이미지 태그를 통해 CSRF 공격에 사용될 수 있다.

이런 상황에서 필자가 가장 좋아하는 간편한 프라이버시 보호 방법이 있다. 이메일을 확인하거나 전화를 걸지 않는 한 휴대폰을 비행기 모드로 두는 것이다. 아이폰의 셀룰러와 와이파이 네트워크를 꺼 악당을 차단하면서도 애플 페이(Apple Pay) 같은 거래는 사용할 수 있다.

하지만 이런 생각이 필자만의 착각이었다는 것을 최근 알았다. 펍펍(PubPub) 보도에 따르면, 비행기 모드로 진입해 무선을 끈다고 해서 방어가 되는 것이 아니다. 예를 들어 iOS 8.2 이후의 아이폰에서는 비행기모드에서도 GPS가 활성화돼 있다.

애플 세심함 덕분에 우리는 쉽게 추적되면서도 그런 사실을 거의 알지 못하게 됐다. 비행기 모드에서도 지도(Maps)를 사용하고 싶은 사람이 있겠지만 이것은 분명 프라이버시를 침해하는 문제다.

휴대폰이 비행기 모드인 상태로 빅박스스토어(BigBoxStore)를 방문했다고 가정해 보자. 휴대폰에는 경쟁사인 비거박스스토어(BiggerBoxStore)가 필자의 현재 위치를 이용할 수 있는 앱이 설치돼 있다. 휴대폰이 비행기 모드이니 비거박스스토어는 필자가 빅박스스토어를 방문했었다는 사실을 몰랐을 것으로 생각했지만 실제로는 그렇지 않았던 것이다.

펍펍의 놀라운 보도는 계속된다. "비행기 모드는 소프트 스위치이다. 꽤 낮은 가격으로 사용자 인터페이스에 아무런 표시도 없이 무선을 활성화하는 악성 소프트웨어를 만들 수 있다. 따라서 비행기 모드로 진입하도록 해킹된 휴대폰을 믿는 것은 술 취한 사람이 충분히 운전이 가능할 정도로 취하지 않았다고 믿는 것과 같다" 즉, 어쩌면 필자는 비행기 모드라고 착각하고 있었던 것일 수도 있다.

어쨌든 사람들 대부분은 유출되는 무선 키보드와 라우터가 더 큰 걱정거리이다. 이는 기업 환경과도 직결된다. 강력한 보안 시스템을 구축해 놓고도 VPN을 통해 안전하지 못한 주변 기기와 연결하도록 허용하기 때문이다. IT 팀이 이를 알지 못하는 경우도 많다. 암호화되지 않은 상태로 데이터가 손쉽게 유출될 수 있는 상황에서 이를 보호하기 위해 거액을 쓰는 이해할 수 없는 상황인 셈이다. ciokr@idg.co.kr

X