Home > 전체기사
유명 업체들의 기업용 VPN 앱에서 취약점 발견돼
  |  입력 : 2019-04-17 10:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인증 토큰과 세션 쿠키를 암호화 없이 로컬에 그대로 저장
물리적 접근 성공하거나 시스템 침해하면 VPN 세션도 장악 당할 수 있어


[보안뉴스 문가용 기자] 시스코(Cisco), F5 네트웍스(F5 Networks), 팔로알토 네트웍스(Palo Alto Networks), 펄스 시큐어(Pulse Secure)에서 만든 VPN 앱들에서 문제가 발견됐다. 인증 토큰과 세션 쿠키를 암호화 없이 사용자 컴퓨터에 저장한다는 것이다. 이에 대해 미국의 사이버 보안 및 기반 시설 안보국(Cybersecurity and Infrastructure Security Agency, CISA)가 발표했다.

[이미지 = iclickart]


“VPN앱이 인증 토큰과 세션 쿠키를 그런 식으로 저장한다는 건, 사용자 장비에 로컬 접근이 가능한 공격자가 VPN 세션을 스푸핑하고, 사용자인 것처럼 가동시킬 수 있다는 뜻이 됩니다.” VPN이라는 것이 인터넷의 A라는 지점에서 B라는 지점을 안전하고 은밀하게 연결하는 데 사용된다는 것을 생각했을 때 이는 치명적인 결함일 수 있다.

“공격자가 VPN 사용자의 엔드포인트에 지속적으로 접근할 수 있게 되거나, 쿠키를 빼돌릴 수 있게 된다면, 사용자의 VPN 세션을 똑같이 재생함으로써 인증 장치들을 우회할 수 있게 됩니다. 사용자가 VPN을 통해 접근하고 사용했던 애플리케이션들을 공격자들도 사용할 수 있게 되는 겁니다.” CISA의 설명이다.

문제가 발견된 VPN들 중 쿠키를 로그 파일과 메모리 내에 불안전하게 저장하는 것으로 나타난 플랫폼들은 다음과 같다.
1) CVE-2019-1573 : 팔로알토의 ▲윈도우용 글로벌프로텍트 에이전트 4.1.0(GlobalProtect Agent 4.1.0 for Windows), ▲ 맥OS용 글로벌프로텍트 에이전트 4.1.10(GlobalProtect Agent 4.1.10 for macOS) 및 그 이전 버전.
2) CVE-2013-6024 : 펄스 시큐어의 ▲ 커넥트 시큐어(Connect Secure) 8.1R14 이전 버전, 8.2, 8.3R6, 9.0R2, ▲ F5 BIG-IP APM 11.41 및 이전 버전의 엣지 클라이언트(Edge Client)요소들, ▲ BIG-IP 엣지 게이트웨이(Edge Gateway) 11.3 및 이전 버전, ▲ 파이어패스(FirePass) 7.0 및 이전 버전.

여기에 더해 시스코의 애니커넥트(AnyConnect) 4.7.x 및 그 이전 버전들은 쿠키를 메모리 내에 부정확하게 저장한다고 한다. CISA는 “다른 플랫폼들에서도 비슷한 현상이 충분히 있을 수 있다”며 “VPN 애플리케이션들에서 흔히 나타나는 현상으로 의심된다”고 말했다.

보안 업체 시큐리티퍼스트(SecurityFirst)의 CMO인 댄 터클러(Dan Tuchler)는 “지금 언급되고 있는 VPN들은 유명 업체들이 기업용으로 만든 것들”이라고 강조한다. “기업의 자산을 보호하기 위해 승인을 받은 정상 사용자들만 접근할 수 있도록 만든 것입니다. 하지만 이렇게 기초적인 부분에서 문제가 발견됐다는 건 심각한 일입니다.”

그러면서 그는 “브랜드 이름과 ‘기업용 제품’이라는 분류만으로 자산을 안전하게 지킬 수 없다”고 강조한다. “네트워크의 경계선이라는 개념이 얼마나 모호한 것인지 이해하고, 제로트러스트(zero-trust) 모델을 도입하는 게 중요합니다. 공격자가 네트워크에 침투하는 데 성공한 후 고가치의 자산에 접근하기 시작했을 때를 가정하고 데이터를 암호화하고, 접근과 사용에 있어 안전한 정책을 적용하며, 항상 모니터링해야 하죠. 좋은 회사의 VPN을 사용했다는 것만으로 뭔가가 보호될 거라는 생각은 거의 항상 틀립니다.”

팔로알토는 글로벌프로텍트 4.1.1 버전을 통해 위 문제를 패치했다. F5도 12.1.3과 13.1.0 및 상위 버전들을 통해 자사 제품에서 나타난 문제들을 해결했다. 사실 F5는 불안전한 메모리 저장 문제를 2013년부터 알고 있었다고 CISA는 설명한다. 시스코의 애니커넥트와 펄스 시큐어의 커넥트 시큐어 제품의 경우, 아직 패치가 나오지 않고 있다.

(기사 업데이트 : 펄스시큐어의 경우 Pulse Desktop Client 9.0R3를 포함한 그 이후 버전과 Pulse Desktop Client 5.3R7을 포함한 그 이후 버전, 펄스커넥트시큐어(PCS) 9.0R3 및 그 이후 버전, 8.3R7 및 그 이후 버전, 8.1R14 및 그 이후 버전을 통해 픽스 배포를 완료했다.)

이번에 발표된 취약점들은 전부 중간 등급의 위험성을 가지고 있는 것으로 결정됐다. 악용을 위해서는 공격자가 사용자의 컴퓨터를 먼저 침해하거나 물리적으로 접근해야 하기 때문이다.

보안 업체 콤패리테크(Comparitech)의 프라이버시 고문인 폴 비쇼프(Paul Bischoff)는 “중간급 위험도를 가진 취약점이라고 해서 간과하면 안 된다”고 강조한다. “이 VPN을 사용하는 조직들이라면 보안과 자산 보호에 큰 신경을 쓰고 있는 경우가 많을 텐데, 그런 곳이라면 해커들이 더 집요하게 표적 공격을 할 수 있습니다. 공격을 성립시키기 위한 전제조건이란 건 해커들에게 그리 큰 문제가 되지 않을 때가 많습니다.”

3줄 요약
1. 시스코, F5 네트웍스, 팔로알토 네트웍스, 펄스 시큐어에서 제공하는 VPN 앱들에서 취약점 발견됨.
2. 세션 쿠키 등을 로컬에 암호화 하지 않고 저장하는 것으로, 공격자가 해당 시스템을 침해하면 사용자 흉내 내 VPN 사용 가능.
3. 유명 업체의 솔루션 하나만으로 모든 보안 문제가 해결되지 않는다는 점 기억해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향