세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
비트코인 클라이언트 일렉트럼에서 치명적인 취약점 발견
  |  입력 : 2018-01-09 11:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아무 웹사이트 통해 지갑 주소와 거래 내역 훔쳐갈 수 있게 해주는 취약점
1월 8일에 새 업데이트 나와...일렉트럼 계속 사용하려면 반드시 적용


[보안뉴스 문가용 기자] 인기 높은 비트코인 클라이언트인 일렉트럼(Electrum)에서 치명적인 취약점이 발견됐다. 악성 웹사이트를 통해 디지털 지갑에서 돈을 훔쳐낼 수 있게 해주는 취약점으로, 다행히 패치가 함께 발표됐다.

[이미지 = iclickart]


일렉트럼에 따르면 해당 취약점은 2.6-3.0.3 버전에 존재하며, JSON-RPC 프로토콜 인터페이스의 교차 출처 리소스 공유(Cross-origin Resource Sharing, CORS) 오류의 형태로 나타난다. 이 취약점은 암호화폐 지급을 포트 스캐닝에 노출시키며, 비익명화 공격(deanonimization attack)을 가능하도록 만든다. 일렉트럼은 1월 7일자로 3.0.4 버전을 발표해 해당 문제를 임시적으로 틀어막고, 1월 8일 보다 확실한 픽스인 3.0.5를 발표했다.

한편 비트코인 포럼인 Bitcointalk.org의 포스팅에는 이 문제와 관련된 보다 세부적인 내용이 포스팅되어 있다. 해당 포스트의 결론 부분은 “일렉트럼 사용자들이라면 업데이트를 완벽히 마치기 전까지 서비스를 일체 사용하지 말 것”이라는 강력한 권고를 담고 있다. 또한 “솔직히 말해 일렉트럼 지갑을 열어둔 채로 다른 인터넷 서핑을 했다면 이미 지갑이 침해됐을 가능성이 있다”고도 경고했다.

일렉트럼 지갑에 비밀번호를 강력하게 걸어두었더라도 이론적으로는 공격이 가능하다. 즉, 공격자들이 지갑 주소를 훔치고 거래 정보를 탈취해가는 게 가능하다는 것이다. 게다가 지갑의 환경설정도 바꿔 추가 공격에 대한 발판을 마련할 수도 있다.

이 취약점이 최초로 언급된 건 2017년 11월 깃허브(GitHub)의 한 사용자에 의해서였다. jsmad라는 닉네임을 사용하는 인물이 JSON-RPC 인터페이스에 대한 경고를 댓글로 달아둔 것이다. JSON-RPC 인터페이스는 웹 서버로 원격 명령 실행을 하기 위한 기능으로 보안 기능이 하나도 첨부되지 않은 상태다. jsmad는 “최소 비밀번호 추가 기능이라도 있어야 하지 않겠는가”라고 제안했다.

jsmad가 당시 생각한 공격 혹은 침해 가능성은 다음과 같다. “일렉트럼 데몬(Electrum daemon)이 실행되는 동안, 웹 서버의 또 다른 가상 호스트에 있는 인물이 RPC 포트를 통해 지갑에 접근할 수 있다. 그런데도 아무런 보안이나 인증 기능이 존재하지 않는다. 아무라도 지갑에 완전 접근이 가능하다.”

구글의 프로젝트 제로 팀도 이 문제를 인지했다. 타비스 오르만디(Tavis Ormandy)는 jsmad의 글에 동조하는 글을 덧붙였다. 일렉트럼 측에서 빠르게 문제를 해결하도록 부추기려는 의도인 것으로 보인다. 당시 타비스 오르만디 역시 “이론 상 비밀번호를 걸어둔다고 해도, 그것이 123456처럼 너무 뻔한 것이라면 아무라도 지갑에 접근해 비트코인을 다 가져갈 수 있다”는 내용의 글을 썼다.

또한 타비스는 트위터를 통해 “일렉트럼 사용자라면, 업데이트 전에는 일렉트럼 지갑을 열어둔 채로 인터넷을 사용하면 안 됩니다”라고 경고했다. “웹사이트를 통해서 지갑 주소를 훔쳐가는 게 가능합니다. 큰 돈을 들고 강도들이 진 치고 있는 골목에 일부러 들어갈 필요가 없습니다. 제대로 된 패치가 나올 때까지, 그리고 그 패치를 적용할 때까지는 일렉트럼을 닫아두십시오.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)