세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
웹 캐시를 감염시키는 새로운 해킹 방법 등장
  |  입력 : 2018-06-13 09:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
웹 캐시를 강제하여 방문자에게 익스플로잇 배포케 하는 공격법
올 8월 블랙햇에서 세부적인 내용과 안전한 스캐닝 툴 발표 예정


[보안뉴스 문가용 기자] 웹 캐시 서버를 강제하여 악성 콘텐츠를 웹사이트 방문자들에게 전송하는 새로운 공격 방법이 발견됐다. 동시에 모질라(Mozilla)에서 만든 파이어폭스 브라우저 인프라에서 대형 보안 구멍이 드러나기도 했다.

[이미지 = iclickart]


보안 업체 포트스위거 웹 시큐리티(PortSwigger Web Security)의 연구 책임자인 제임스 케틀(James Kettle)은 이 방법을 이용해 대형 웹사이트 및 플랫폼들의 구조적 결함을 짚어내는 데 성공했다. 여기에는 미국 정보기관 웹사이트 하나와 인기 높은 클라우드 플랫폼 하나, 호스팅 플랫폼 하나와 소프트웨어 제조사 하나, 비디오 게임 서비스 및 투자 회사 정보 관련 사이트가 포함된다. 온라인 매장 몇 군데 역시 제임스에 의해 뚫렸다.

케틀은 이 공격 방법에 대해 “웹사이트와 캐싱(caching)의 작동 원리 내에 숨겨진 취약점을 공격하는 것으로, 어떻게 보면 설계 단계에서부터의 오류를 찾아낸 거라고 볼 수 있다”고 말한다. “특정 기술이나 특정 캐시에만 제한된 공격 방법이 아닙니다.”

이러한 연구 과정 중에 케틀은 파이어폭스에서 사용하고 있는 API 내에서도 오류를 발견하게 됐다. 이 오류와 위에서 언급한 ‘캐시 공격’을 결합하니 수천만 개 파이어폭스 브라우저에 대한 통제권을 일부 가져올 수 있었다. “저는 이걸 ‘저지방 봇넷’이라고 부릅니다. 왜냐하면 파이어폭스 브라우저의 통제권을 일부만 가져올 수 있었기 때문입니다.”

하지만 케틀은 이러한 공격 방법과 파이어폭스의 구조적 결함 문제에 대해 별 다른 공개를 하고 있지 않다. 제일 먼저는 안전 문제 때문이고, 두 번째는 8월에 열릴 블랙햇 행사에서 이를 최초로 발표할 예정이기 때문이다. 그가 지금 말해줄 수 있는 건 “캐시를 강제해서 악의적으로 작동할 수 있게 만드는 것”이다. 그것도 캐시 그 자체를 곧바로 노리거나 익스플로잇 하지 않고 말이다.

“간단히 설명하면 이렇습니다. 제가 웹사이트에 어떤 요청을 하나 보내요. 제가 만든 페이로드와 함께요. 그러면 웹사이트가 그에 대한 반응을 하게 되는데, 잠재적으로 위험할 수 있는 것이 함께 옵니다. 이 잠재적으로 위험할 수 있는 웹사이트의 대답을 캐시가 가져가고, 그때부터는 해당 웹사이트 방문자들 모두 익스플로잇에 걸리게 되는 겁니다.”

웹 캐시는 웹사이트보다 앞단 혹은 상층위에 있는 것으로, 웹사이트의 모든 콘텐츠를 라이브로 불러오는 대신 일부 저장된 콘텐츠를 로딩시키는 기능을 가지고 있다. “이러한 캐시의 기능 및 구조가 현대에 와서는 매우 복잡해졌고, 콘텐츠 제공 네트워크 또한 복잡함을 가중시킵니다. 요즘 나오는 웹 애플리케이션들 대부분 이 점을 간과한 채 만들어져, 어뷰징 당하기 쉬운 상태입니다.”

웹 캐시를 보안의 측면에서 연구한 사람들은 이전에도 있었다. 그러나 대부분 헤더를 주입하거나 캐시에 민감한 데이터를 저장하도록 조작하는 것에 그쳤었다. 케틀이 발견한 공격법은 “캐시가 익스플로잇을 웹사이트 방문자들에게 배포하게 강제한다는 점에서 다르다.”

“이 방법을 사용하면 공격자가 비밀번호나 지불 관련 정보를 훔쳐내는 멀웨어를 웹사이트에 숨겨둘 수 있게 됩니다. 그리고 방문자가 들어올 때마다 작동하게 할 수 있죠. 혹은 웹사이트를 변조시키거나 방문자의 트래픽을 다른 곳으로 우회시키는 데 사용할 수도 있고요.”

파이어폭스 저지방 봇넷
연구 중 케틀은 자신의 캐시 공격을 파이어폭스 브라우저에 적용시켜 봤다. “그러다가 우연히 뭔가를 발견했습니다. 캐시 공격을 보다 원활하게 만들어주고 효율을 높여주는 오류였습니다. 일부 명령을 전 세계 파이어폭스 사용자들에게 주입하는 게 가능해지더군요. 즉, 당신이 지금 파이어폭스를 열면, 제가 일부 통제할 수 있게 된다는 겁니다.”

케틀은 이를 모질라에 알렸다. 모질라는 하루도 지나지 않아 패치를 완성시켜 1월 25일자 업데이트를 통해 배포했다.

“파이어폭스를 실행시키면 모질라의 인프라에 업데이트 등의 정보를 요청합니다. 이 과정에서 캐시 공격을 적용하면 그 요청에 대한 응답을 제가 통제할 수 있게 됩니다. 제가 만약 공격자라면 특정 확장 프로그램을 파이어폭스에 설치할 겁니다. 그리고 그 프로그램을 통해 파이어폭스 브라우저를 봇넷으로 만드는 거죠.”

케틀은 “물론 파이어폭스의 일부 통제권을 가지고 봇넷을 만든다는 건 대단히 비효율적인 공격법”임을 인정한다.

케틀은 “이번 여름에 있을 블랙햇을 통해 이번 연구 과정에서 만든 오픈소스 유틸리티를 공개할 예정”이라고 말한다. “캐시 공격에 대한 취약점을 발견하게 해주는 스캐닝 툴입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)