세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
토르와 파이어폭스 사용자 IP 노출시키는 토르모일 취약점
  |  입력 : 2017-11-07 10:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
file;// URL 처리 과정에서 발생하는 버그...IP 노출로 프라이버시 침해
두 차례에 걸쳐서 업데이트 발표...주말 동안에는 새로운 버전의 브라우저 나와


[보안뉴스 문가용 기자] 익명성이 최대 장점인 토르 사용자의 IP 주소를 노출시키는 치명적인 취약점이 발견됐다. 이 취약점은 file:// URL을 처리하는 부분에 존재하는 것으로 알려졌으며, 다행히 토르 측에서 주말 동안 해당 문제를 해결하긴 했다. 이 취약점은 CVE-2017-16541로, macOS와 리눅스 사용자들에게만 해당되는 것이었다. 재미있는 건, 이 취약점이 파이어폭스 브라우저의 버그에서 비롯됐다는 것이다.

[이미지 = iclickart]


토르 프로젝트 측은 해당 취약점에 대해 “이 취약점을 가진 브라우저의 사용자가 특정 URL로 이동할 경우 OS가 토르 브라우저를 우회해 원격 호스트에 직접 연결을 시도할 수 있다”고 설명했다. 다행히 아직 해당 취약점을 실제 공격에 활용한 경우는 한 번도 보지 못했다고 토르 프로젝트는 덧붙였다.

윈도우 사용자들은 이번 취약점에 영향을 받지 않는다. “그렇더라도 토르 브라우저를 7.0.9 버전이나 7.5a7 버전으로 업그레이드 하는 걸 권장합니다. 테일즈(Tails) 리눅스 사용자와 샌브박스형 토르 브라우저 사용자들도 이번 취약점과 관련이 없지만 마찬가지로 업그레이드를 하는 편이 안전할 겁니다.” 토르 프로젝트 측의 설명이다.

이 문제를 처음 발견한 건 이탈리아의 보안 전문가인 필리포 카발라린(Filippo Cavallarin)으로, 10월 26일 처음 이 문제에 대해 토르 측에 알렸다. 카발라린은 이 취약점을 토르모일(TorMoil)이라고 불렀다. “파이어폭스 브라우저에 있는 버그입니다. file:// URL을 처리하는 과정에서 IP 주소가 유출될 때가 있더군요. 이를 노려 웹 페이지를 조작하는 것도 가능하고요.”

토르 측은 파이어폭스를 개발한 모질라 엔지니어들과 함께 이 문제를 처리했고, 바로 다음 날 패치를 발표했다. 하지만 당시의 패치는 문제의 일부만을 해결한 것이었다. “확산되지 않게 하기 위해 만든 임시 해결책일 뿐이었습니다. 적어도 브라우저 상에서 file:// URL을 활용할 때 IP가 노출되는 문제가 발생하지 않도록 해놓은 겁니다. 더 정확히 말하면 file:// URL을 브라우저에 입력하고 결과로 나온 링크를 클릭할 수 없도록 조치를 취했습니다. 이 링크들을 새로운 탭이나 창에서 여는 것도 안 됩니다.” 토르가 블로그를 통해 밝힌 내용이다.

토르 프로젝트 측은 계속해서 패치 작업을 진행했고 10월 31일 모든 취약점을 해결하는 추가 픽스를 발표했다. 그리고 이번 주말까지도 계속해서 작업을 이어나가 토르 7.0.9와 7.5a7 버전을 내놓았다. 패치와 픽스를 적용시키는 것보다 이 새 버전을 설치하는 것이 더 안전한 선택이다.

한편 토르 측은 새로운 기능을 점진적으로 추가할 계획이라고 발표했다. 여기에는 오프라인 서비스 키, 고급 클라이언트 인증, 제어 포트 인터페이스, 향상된 보호장치 알고리즘, 안전한 네이밍 시스템, 통계, 통합 지연 속도 라우팅, 블록체인 지원, AI 논리, VR 인터페이스 등이 포함된다. 이는 ‘차세대’ 어니언 시스템으로, 기존의 것을 완전히 대체할 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#토르   #파이어폭스   #여우   #양파   #어니언   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)