세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
Home > 뉴스 > 상세기사
페이팔의 이중 인증 옵션, 없는 거나 마찬가지
  |  입력 : 2014-06-26 11:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

세계 최대 온라인 결제 사이트의 최신 모바일 인증 절차, 무용지물


[보안뉴스 문가용] 현재 페이팔의 모바일 앱 이중 인증이 막혀있는 상태다. 최근 발견된 취약점에 대한 조치를 취하고 있기 때문이다. 이 취약점 때문에 공격자가 인증을 비롯한 보안과정을 아무런 방해 없이 통과하는 게 가능했었다.


이 취약점은 지난 3월 댄 설트먼(Dan Saltman)이라는 인물이 발견했으며, 댄 설트먼 씨는 즉시 페이팔 측에 이 사실을 통보한 것으로 알려졌다. “애플의 iOS에서 페이팔의 이중 인증 과정을 그냥 통과하는 법을 발견해 이를 페이팔 측에 알렸습니다.”

하지만 아무런 대답이 오지 않자 설트먼 씨는 모바일 보안전문업체인 듀오 시큐리티(Duo Security)에서 근무하고 있는 친구를 찾았다. 그리고 보다 공신력 있는 자료를 가지고 페이팔 측에 소식을 알리고자 했다. 듀오 시큐리티는 설트먼이 발견한 방법을 검증했고 안드로이드에서도 같은 방식으로 이중 인증을 통과하는 게 가능하다는 것도 발견했다. 그리고 이 모든 실험 과정과 결과를 페이팔에 알렸다.


이중 인증은 사용자 로그인 과정에 보안성을 더한 방법으로 최근 들어 빈번해지는 암호 도난 및 개인정보 유출에 대응해 여러 업체들 및 웹사이트에서 도입하고 있다. 페이팔의 경우 사용자는 이중 인증 방식이나 기존 인증 방식 중 하나를 선택할 수 있다. 사용자 인증을 위해 OAuth를 사용하는 페이팔 API인 api.paypal.com이 바로 위에서 말한 취약점이 발견된 곳이다. 이 API는 사용자 인증이 진행되는 동안 이중 인증을 서버에서 실행하지 않았다. 다행히 페이팔 웹사이트에는 같은 문제가 존재하지 않는 것으로 밝혀졌다.


“이중 암호가 있기 때문에 암호 하나 유출되는 것으로 보안망이 뚫리지 않아야 정상입니다. 해커 입장에선 암호를 두 번이나 통과해야 하니 해킹이 훨씬 힘들어지죠. 그런데 이번 페이팔 앱을 보면 전혀 그렇지 않았습니다. 전혀 작동하고 있지 않았거든요. 이중 암호라고 하지만 암호 하나는 없어도 되는 거나 마찬가지였습니다.”

이번에 페이팔의 취약점을 자세히 분석한 듀오 시큐리티의 수석 보안 분석가 재커리 래니어(Zachary Lanier)의 설명이다. 또한 그는 “공격자가 첫 번째 암호를 알아낸 후 두 번째 인증 과정을 통과해 돈을 다른 계정으로 옮겨버리는 게 최악의 시나리오”라며 “문제의 본질은 앱과 달리 서버에서 실제로 이루어지는 이중 인증 과정이 없다는 것”이라고 밝혔다.


페이팔은 현재 이 부분에 손을 대고 있으며 7월 28일까지는 업데이트를 내놓을 계획이다. 그때까지 이중 인증 옵션은 비활성화된다. 페이팔 측은 발표문을 통해 “페이팔은 취약점 현상금 프로그램을 통해 최근 로그인 과정에서 이중 인증을 그냥 통과할 수 있게 해주는 취약점을 발견할 수 있었습니다. 먼저 페이팔에 등록된 고객 계정은 전부 무사하다는 걸 강조하고 싶고, 이번에 발견된 취약점은 여러 보안기능 중 선택사항에 불과했기 때문에 실제 피해는 전혀 없었음을 알려드립니다”라고 고객들을 안심시켰다.


또한 “앞으로 생길 수 있는 피해를 막고자 현재는 이중 인증 옵션을 비활성화시킨 상태이며, 확실한 픽스가 나올 때까지 모바일에서의 이중 인증 기능을 막아둘 예정입니다. 불편을 드려 죄송합니다. 하지만 보안이 저희와 고객에겐 제일 중요한 문제이기 때문에 불가피한 조치에 대한 양해를 부탁드립니다”라고 사과했다.


하지만 아직 패치가 나오기도 전인데 굳이 발표를 먼저 할 필요가 있었을까? 래니어는 이 취약점을 또 다르게 누군가 공략할지도 모른다며 걱정스러운 심경을 표현했다. “저희도 2차 피해가 있을 수 있어 오로지 페이팔에게만 알렸는데 왜 페이팔은 이 사실을 서둘러 발표했을까요? 그리고 애초에 이 취약점에 대한 사실을 알렸을 때 왜 반응하지 않았을까요? 이미 알고 있었지만 큰 문제가 아니라고 생각했던 걸까요? 솔직히 조금 실망스러웠던 게 사실입니다.”


페이팔은 공식적으로 ‘취약점 현상금’ 즉 버그 바운티 프로그램을 가동 중에 있다. 하지만 듀오 시큐리티나 설트맨은 페이팔이 크게 협조적이지 않았다고 찜찜해했다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>



인공지능은 정보보안에 도움을 주게 될까요?
그렇다. 보안 인력 양성보다 인공지능 개발이 더 빠를 것이다.
그렇다. 보안 전문가가 더 ‘사람다운’ 일을 하게 해줄 것이다.
아니다. 기계가 할 수 있는 일은 한정적이다.
아니다. 오탐의 염려에서 벗어나기가 힘들 것으로 보인다.
처음에는 도움을 주는 듯 하지만 점차 사람의 일자리를 위협할 것이다.
나랑은 크게 상관없는 얘기다.
기타(댓글로)