X.509 인증서 확장자 통해 악성 데이터 주입 및 교환 가능하다

평범한 인증서 보안 장치라면 쉽게 우회 가능...실제 공격은 어려워
X.509 인증서가 널리 사용되고 있다는 게 가장 큰 위험

[보안뉴스 문가용 기자] 보안 업체 피델리스 시큐리티(Fidelis Security)가 공격자들 사이에서 유행하는 최신 기술을 새롭게 파악해 보고서를 발표했다. 이 공격법은 X.509 디지털 인증서를 악용해 데이터를 몰래 교환하는 방식이라고 정리된다.

[이미지 = iclickart]

먼저 피델리스가 언급한 공격법은 이전에 있었던 텍스트 필드 어뷰징 공격법에 기초한다. 디지털 인증서의 텍스트 필드를 어뷰징함으로써 데이터를 이동시킬 수 있는 방법으로, 디지털 인증서가 TLS 핸드셰이크 초기 단계에서 교환되는 원리를 악용한 것이다.

“X.509 인증서를 이용해 데이터를 옮기는 이전 연구들 대부분은 인증서 내에 있는 Subject 등의 텍스트 필드나 notbefore나 notafter와 같은 일반 필드를 활용하는 방안에 관한 것이었습니다. 그러나 저희가 이번에 발견한 방법은 인증서의 확장자 내에 데이터를 엠베드시키는 것입니다. 즉, 순수하게 TLS 협상(TLS Netogitation)만을 통해 두 시스템 사이에 데이터를 교환시킬 수 있다는 것이었죠.” 피델리스의 수석 연구원인 제이슨 리브즈(Jason Reaves)의 설명이다.

리브즈는 “이 방법을 활용하면 인증서 확장자를 확인하지 않는 모든 보안 솔루션을 우회할 수 있게 된다”고 말한다.

여기서 말하는 디지털 인증서 확장자란 X.509 프로토콜의 세 번째 버전부터 추가된 것으로, 인증서 발급 기관이 인증서에 대해 묘사하기 위해 혹은 어떤 환경에서 인증서가 사용되어야 하는지 설명하는 데에 사용된다. 그런데 여기에 악성 데이터를 주입함으로써 C&C 공격이 가능하다는 것이 이번 피델리스의 연구로 드러난 것이다.

“TLS 세션을 완전히 다 사용하지 않더라도 C&C 기능을 구현할 수 있습니다. 여기에 주입되는 데이터는 매우 작아서 솔루션에 의해 잘 탐지되지도 않죠. 그러니 무사히 외부 서버에 도달할 수 있게 됩니다. HTTP나 HTTPS와 같은 프로토콜을 사용하지 않고도요.”

피델리스의 연구원들은 공격자들이 어떤 식으로 이번에 발견된 공격법을 활용할 수 있는지도 개념증명을 통해 공개했다. “인증서의 확장자나 내부 콘텐츠까지 일부러 들여다보고 점검하는 보안 솔루션이 아니면 이 공격을 막을 수 없다”는 것이 리브즈의 결론이다.

다행인 건 “확장자에 악성 데이터를 주입시키는 게 간단한 작업은 아니라는 것”이다. 리브즈는 “이 공격을 구현할 수 있으려면 인증서와 컴퓨터 과학 등에 대한 충분한 지식이 있어야 한다”고 설명한다. “일반적인 키트만 활용한 해커는 이 방법을 사용하기 힘들 겁니다.”

또한 골랭(GOLANG)처럼 TLS 패키지가 기본적으로 탑재되어 있는 언어들은 대부분 세션 협상과 인증서의 요소 요소를 세밀하게 점검하는 기능 역시 기본적으로 가지고 있다. 이런 경우라면 공격자 입장에서 이 ‘기본 확인 기능’을 우회할 방법부터 연구해야 한다. “제 경험 상 이 공격을 성공시키려면 현재 활발히 활동하는 사이버 공격자들의 평균 이상 되는 지식이 필요합니다.”

방어를 해야 하는 기업 및 기관은 인증서 확장자와 관련된 보안 환경설정을 바꿔줌으로써 이 공격에 대응할 수 있다. “현재 X.509 인증서는 광범위하게 사용되고 있습니다. 그렇기에 공격 성립이 어렵고, 방어가 가능하다고 해도 누군가는 당할 가능성이 충분합니다. 그 ‘누군가’가 되지 않으려면 인증서 확장자에 대한 보안 점검 장치가 필요합니다.”

피델리스의 보고서 원문은 여기(https://www.fidelissecurity.com/threatgeek/2018/02/exposing-x509-vulnerabilities)서 열람 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)