Home > 전체기사
퓨어VPN에서 비밀번호 노출 취약점 나와...빠른 패치 필수
  |  입력 : 2018-10-01 17:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
퓨어VPN, 비밀번호 평문으로 저장...접근만 하면 아무나 취득 가능
1년 정도 만에 패치 나와...필수적으로 패치해야 프라이버시 지킬 수 있어


[보안뉴스 문가용 기자] 보안 업체 트러스트웨이브(Trustwave)의 전문가 한 명이 윈도우용 퓨어VPN(PureVPN) 클라이언트에서 두 가지 취약점들을 발견했다. 이 때문에 사용자 크리덴셜이 유출될 수 있다고 한다.

[이미지 = iclickart]


트러스트웨이브의 마누엘 네이더(Manuel Nader)에 의하면 이 두 가지 취약점들을 악용할 경우 로컬 공격자들이 가장 최근 사용자의 비밀번호를 취득할 수 있게 된다고 한다. 물론 그 최근 사용자는 퓨어VPN에 대한 로그인을 성공적으로 수행한 사람이다. 공격은 GUI를 통해 곧장 실행될 수 있으며, 별도의 다른 툴을 필요로 하지 않는다.

이 공격이 성공하려면 퓨어VPN 클라이언트가 디폴트 과정으로 설치되어야 한다. 또한 공격자가 아무 로컬 사용자 계정에 접근할 수 있어야 하며, 사용자가 윈도우용 클라이언트를 사용해 퓨어VPN에 성공적으로 접속한 뒤여야 한다. 또한 애초에 윈도우 시스템 자체에 한 명 이상의 사용자가 있어야만 공격을 통해 여러 사람의 크리덴셜을 취득하는 게 성립된다.

네이더는 “퓨어VPN 5.18.2.0 윈도우 클라이언트에서 사용자 비밀번호가 환경설정 창을 통해 노출되고 있음을 발견했다”며, “공격자 입장에서는 퓨어VPN 클라이언트를 열고 환경설정 옵션을 킨 후 사용자 프로파일 탭을 누르고 ‘Show Password’를 선택하면 된다”고 설명했다.

또한 “퓨어VPN의 윈도우용 클라이언트가 사용자 이름과 비밀번호를 login.conf 파일 내에 평문으로 저장하고 있다”는 사실도 발견했다. “이 파일은 C:\ProgramData\purevpn\config\ 경로에 저장되어 있습니다. 게다가 모든 로컬 사용자들이 이 파일에 접속할 수 있는 권한을 가지고 있습니다.”

네이더는 퓨어VPN 측에 작년 8월 중순쯤 이 사실을 알렸다. 패치가 나온 것은 올해 6월의 일이었다. 네이더와 퓨어VPN은 사용자들에게 6.1.0 혹은 그 상위 버전으로 업그레이드 하라고 권고하고 있다. 이 버전부터는 비밀번호가 평문으로 저장되는 문제가 해결됐다.

9월 중순 즈음에는 노드VPN(NordVPN)과 프로톤VPN(ProtonVPN)이라는 VPN 서비스에서도 취약점이 발견된 바 있다. 이는 공격자가 관리자급 권한을 갖고 코드를 실행할 수 있게 해주는 취약점이었다.

보안 전문가인 토니 우체다 벨레즈(Tony Uceda Velez)는 “VPN을 즐겨 사용하는 사람들이라면 감시자의 눈을 피해야 할 필요가 있는 사람들일 가능성이 높다”며 “앞으로는 자기가 사용하는 VPN 서비스에 대한 취약점 발표 내용과 패치 현황도 파악해야만 할 것”이라고 말했다.

3줄 요약
1. 유명 VPN 서비스인 퓨어VPN에서 크리덴셜 유출 취약점 발견됨.
2. 윈도우 클라이언트에 접근해 설정환경 켜기만 하면 바로 전 사용자의 비밀번호 알 수 있음.
3. 서비스 업체는 1년 만에 패치 발표. 시급히 적용할 필요 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트