세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
토르와 파이어폭스 사용자 IP 노출시키는 토르모일 취약점
  |  입력 : 2017-11-07 10:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
file;// URL 처리 과정에서 발생하는 버그...IP 노출로 프라이버시 침해
두 차례에 걸쳐서 업데이트 발표...주말 동안에는 새로운 버전의 브라우저 나와


[보안뉴스 문가용 기자] 익명성이 최대 장점인 토르 사용자의 IP 주소를 노출시키는 치명적인 취약점이 발견됐다. 이 취약점은 file:// URL을 처리하는 부분에 존재하는 것으로 알려졌으며, 다행히 토르 측에서 주말 동안 해당 문제를 해결하긴 했다. 이 취약점은 CVE-2017-16541로, macOS와 리눅스 사용자들에게만 해당되는 것이었다. 재미있는 건, 이 취약점이 파이어폭스 브라우저의 버그에서 비롯됐다는 것이다.

[이미지 = iclickart]


토르 프로젝트 측은 해당 취약점에 대해 “이 취약점을 가진 브라우저의 사용자가 특정 URL로 이동할 경우 OS가 토르 브라우저를 우회해 원격 호스트에 직접 연결을 시도할 수 있다”고 설명했다. 다행히 아직 해당 취약점을 실제 공격에 활용한 경우는 한 번도 보지 못했다고 토르 프로젝트는 덧붙였다.

윈도우 사용자들은 이번 취약점에 영향을 받지 않는다. “그렇더라도 토르 브라우저를 7.0.9 버전이나 7.5a7 버전으로 업그레이드 하는 걸 권장합니다. 테일즈(Tails) 리눅스 사용자와 샌브박스형 토르 브라우저 사용자들도 이번 취약점과 관련이 없지만 마찬가지로 업그레이드를 하는 편이 안전할 겁니다.” 토르 프로젝트 측의 설명이다.

이 문제를 처음 발견한 건 이탈리아의 보안 전문가인 필리포 카발라린(Filippo Cavallarin)으로, 10월 26일 처음 이 문제에 대해 토르 측에 알렸다. 카발라린은 이 취약점을 토르모일(TorMoil)이라고 불렀다. “파이어폭스 브라우저에 있는 버그입니다. file:// URL을 처리하는 과정에서 IP 주소가 유출될 때가 있더군요. 이를 노려 웹 페이지를 조작하는 것도 가능하고요.”

토르 측은 파이어폭스를 개발한 모질라 엔지니어들과 함께 이 문제를 처리했고, 바로 다음 날 패치를 발표했다. 하지만 당시의 패치는 문제의 일부만을 해결한 것이었다. “확산되지 않게 하기 위해 만든 임시 해결책일 뿐이었습니다. 적어도 브라우저 상에서 file:// URL을 활용할 때 IP가 노출되는 문제가 발생하지 않도록 해놓은 겁니다. 더 정확히 말하면 file:// URL을 브라우저에 입력하고 결과로 나온 링크를 클릭할 수 없도록 조치를 취했습니다. 이 링크들을 새로운 탭이나 창에서 여는 것도 안 됩니다.” 토르가 블로그를 통해 밝힌 내용이다.

토르 프로젝트 측은 계속해서 패치 작업을 진행했고 10월 31일 모든 취약점을 해결하는 추가 픽스를 발표했다. 그리고 이번 주말까지도 계속해서 작업을 이어나가 토르 7.0.9와 7.5a7 버전을 내놓았다. 패치와 픽스를 적용시키는 것보다 이 새 버전을 설치하는 것이 더 안전한 선택이다.

한편 토르 측은 새로운 기능을 점진적으로 추가할 계획이라고 발표했다. 여기에는 오프라인 서비스 키, 고급 클라이언트 인증, 제어 포트 인터페이스, 향상된 보호장치 알고리즘, 안전한 네이밍 시스템, 통계, 통합 지연 속도 라우팅, 블록체인 지원, AI 논리, VR 인터페이스 등이 포함된다. 이는 ‘차세대’ 어니언 시스템으로, 기존의 것을 완전히 대체할 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#토르   #파이어폭스   #여우   #양파   #어니언   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
공인인증서 제도가 폐지될 것으로 보입니다. 향후 공인인증서를 대체할 수 있는 최고의 인증기술은 무엇이라고 보시나요?
생체인증
전자서명
바코드·QR코드 인증
블록체인
노 플러그인 방식 인증서
기타(댓글로)