Home > 전체기사
유명 업체들의 기업용 VPN 앱에서 취약점 발견돼
  |  입력 : 2019-04-17 10:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인증 토큰과 세션 쿠키를 암호화 없이 로컬에 그대로 저장
물리적 접근 성공하거나 시스템 침해하면 VPN 세션도 장악 당할 수 있어


[보안뉴스 문가용 기자] 시스코(Cisco), F5 네트웍스(F5 Networks), 팔로알토 네트웍스(Palo Alto Networks), 펄스 시큐어(Pulse Secure)에서 만든 VPN 앱들에서 문제가 발견됐다. 인증 토큰과 세션 쿠키를 암호화 없이 사용자 컴퓨터에 저장한다는 것이다. 이에 대해 미국의 사이버 보안 및 기반 시설 안보국(Cybersecurity and Infrastructure Security Agency, CISA)가 발표했다.

[이미지 = iclickart]


“VPN앱이 인증 토큰과 세션 쿠키를 그런 식으로 저장한다는 건, 사용자 장비에 로컬 접근이 가능한 공격자가 VPN 세션을 스푸핑하고, 사용자인 것처럼 가동시킬 수 있다는 뜻이 됩니다.” VPN이라는 것이 인터넷의 A라는 지점에서 B라는 지점을 안전하고 은밀하게 연결하는 데 사용된다는 것을 생각했을 때 이는 치명적인 결함일 수 있다.

“공격자가 VPN 사용자의 엔드포인트에 지속적으로 접근할 수 있게 되거나, 쿠키를 빼돌릴 수 있게 된다면, 사용자의 VPN 세션을 똑같이 재생함으로써 인증 장치들을 우회할 수 있게 됩니다. 사용자가 VPN을 통해 접근하고 사용했던 애플리케이션들을 공격자들도 사용할 수 있게 되는 겁니다.” CISA의 설명이다.

문제가 발견된 VPN들 중 쿠키를 로그 파일과 메모리 내에 불안전하게 저장하는 것으로 나타난 플랫폼들은 다음과 같다.
1) CVE-2019-1573 : 팔로알토의 ▲윈도우용 글로벌프로텍트 에이전트 4.1.0(GlobalProtect Agent 4.1.0 for Windows), ▲ 맥OS용 글로벌프로텍트 에이전트 4.1.10(GlobalProtect Agent 4.1.10 for macOS) 및 그 이전 버전.
2) CVE-2013-6024 : 펄스 시큐어의 ▲ 커넥트 시큐어(Connect Secure) 8.1R14 이전 버전, 8.2, 8.3R6, 9.0R2, ▲ F5 BIG-IP APM 11.41 및 이전 버전의 엣지 클라이언트(Edge Client)요소들, ▲ BIG-IP 엣지 게이트웨이(Edge Gateway) 11.3 및 이전 버전, ▲ 파이어패스(FirePass) 7.0 및 이전 버전.

여기에 더해 시스코의 애니커넥트(AnyConnect) 4.7.x 및 그 이전 버전들은 쿠키를 메모리 내에 부정확하게 저장한다고 한다. CISA는 “다른 플랫폼들에서도 비슷한 현상이 충분히 있을 수 있다”며 “VPN 애플리케이션들에서 흔히 나타나는 현상으로 의심된다”고 말했다.

보안 업체 시큐리티퍼스트(SecurityFirst)의 CMO인 댄 터클러(Dan Tuchler)는 “지금 언급되고 있는 VPN들은 유명 업체들이 기업용으로 만든 것들”이라고 강조한다. “기업의 자산을 보호하기 위해 승인을 받은 정상 사용자들만 접근할 수 있도록 만든 것입니다. 하지만 이렇게 기초적인 부분에서 문제가 발견됐다는 건 심각한 일입니다.”

그러면서 그는 “브랜드 이름과 ‘기업용 제품’이라는 분류만으로 자산을 안전하게 지킬 수 없다”고 강조한다. “네트워크의 경계선이라는 개념이 얼마나 모호한 것인지 이해하고, 제로트러스트(zero-trust) 모델을 도입하는 게 중요합니다. 공격자가 네트워크에 침투하는 데 성공한 후 고가치의 자산에 접근하기 시작했을 때를 가정하고 데이터를 암호화하고, 접근과 사용에 있어 안전한 정책을 적용하며, 항상 모니터링해야 하죠. 좋은 회사의 VPN을 사용했다는 것만으로 뭔가가 보호될 거라는 생각은 거의 항상 틀립니다.”

팔로알토는 글로벌프로텍트 4.1.1 버전을 통해 위 문제를 패치했다. F5도 12.1.3과 13.1.0 및 상위 버전들을 통해 자사 제품에서 나타난 문제들을 해결했다. 사실 F5는 불안전한 메모리 저장 문제를 2013년부터 알고 있었다고 CISA는 설명한다. 시스코의 애니커넥트와 펄스 시큐어의 커넥트 시큐어 제품의 경우, 아직 패치가 나오지 않고 있다.

(기사 업데이트 : 펄스시큐어의 경우 Pulse Desktop Client 9.0R3를 포함한 그 이후 버전과 Pulse Desktop Client 5.3R7을 포함한 그 이후 버전, 펄스커넥트시큐어(PCS) 9.0R3 및 그 이후 버전, 8.3R7 및 그 이후 버전, 8.1R14 및 그 이후 버전을 통해 픽스 배포를 완료했다.)

이번에 발표된 취약점들은 전부 중간 등급의 위험성을 가지고 있는 것으로 결정됐다. 악용을 위해서는 공격자가 사용자의 컴퓨터를 먼저 침해하거나 물리적으로 접근해야 하기 때문이다.

보안 업체 콤패리테크(Comparitech)의 프라이버시 고문인 폴 비쇼프(Paul Bischoff)는 “중간급 위험도를 가진 취약점이라고 해서 간과하면 안 된다”고 강조한다. “이 VPN을 사용하는 조직들이라면 보안과 자산 보호에 큰 신경을 쓰고 있는 경우가 많을 텐데, 그런 곳이라면 해커들이 더 집요하게 표적 공격을 할 수 있습니다. 공격을 성립시키기 위한 전제조건이란 건 해커들에게 그리 큰 문제가 되지 않을 때가 많습니다.”

3줄 요약
1. 시스코, F5 네트웍스, 팔로알토 네트웍스, 펄스 시큐어에서 제공하는 VPN 앱들에서 취약점 발견됨.
2. 세션 쿠키 등을 로컬에 암호화 하지 않고 저장하는 것으로, 공격자가 해당 시스템을 침해하면 사용자 흉내 내 VPN 사용 가능.
3. 유명 업체의 솔루션 하나만으로 모든 보안 문제가 해결되지 않는다는 점 기억해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제