Home > 전체기사
트럼프 대선 캠페인 공식 사이트, 백엔드까지 노출됐었다
  |  입력 : 2019-10-21 10:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유명 오픈소스 PHP 웹 앱 프레임워크 라라벨의 디버그 기능, 열린 채 방치
백엔드에 침투해 민감한 정보 가져가면 이메일 가로채거나 대신 발송 가능해


[보안뉴스 문가용 기자] 미국 트럼프 대통령의 공식 캠페인용 웹사이트가 중요한 정보를 노출하고 있는 것으로 나타났다. 해커들이 이 정보를 확보해 활용할 경우 트럼프 캠페인 내 이메일을 엿볼 수 있을 뿐만 아니라, 트럼프 캠페인이 발송한 것처럼 메일을 내보낼 수도 있게 된다고 한다.

[이미지 = iclickart]


이를 발견한 보안 업체 콤패리테크(Comparitech)의 밥 디아첸코(Bob Diachenko)와 세바스찬 콜(Sebastien Kaul)에 의하면 “문제의 핵심은 라라벨(Laravel)”이라고 한다. “라라벨은 인기가 높은 오픈소스 PHP 웹 애플리케이션 프레임워크입니다. 여기에는 디버그 모드가 하나 있는데, 개발자들이 오류와 설정 오류를 찾는 데 사용하라고 만들어진 것입니다.”

이 디버그 모드는 원래 개발 단계에서만 사용하도록 의도된 것이다. 그러나 많은 개발자들이 웹사이트를 완성해서 운영을 시작하면서 이 디버그 모드 닫는 것을 잊어버린다. 온라인 상에서 문이 열린 웹사이트인데 디버그 모드까지 활성화되어 있다? “대단히 위험한 상태입니다. 여러 가지 백인데 정보가 노출될 수 있어요. 크리덴셜과 비밀 키 등이 말이죠.”

디아첸코와 콜은 이런 점을 깨닫고는 라라발의 디버그 모드가 활성화 된 웹사이트를 인터넷에서 스캔하기 시작했다. “그 결과 약 760개 사이트를 찾아낼 수 있었습니다. 이 중 민감한 설정 정보를 노출시키고 있는 건 약 10~20% 정도 될 것이라고 추측하고 있습니다. 여기에는 donaldjtrump.com이라는 트럼프 대통령의 공식 캠페인 사이트도 포함되어 있고요.”

콤페리테크에 의하면 트럼프의 캠페인 웹사이트는 메일 서버 정보를 평문으로 노출시키고 있다고 한다. “이 정보를 공격자가 활용할 경우 바깥으로 나가는 이메일을 중간에서 가로챌 수도 있고, 트럼프 캠페인의 일원이 보낸 것처럼 메일을 보낼 수도 있게 됩니다. 캠페인을 방해하기에 안성맞춤인 것이죠.”

하지만 트럼프 웹사이트에서 이 디버그 모드가 얼마나 오랜 시간 활성화된 채로 방치된 것인지는 정확히 알 수 없다고 한다. “이를 웹사이트 운영자와 캠페인 측에 알렸고, 이 부분을 해결하는 데 약 5일이 걸렸습니다. 대처가 빠르다고 말하기는 힘듭니다.”

설사 이 5일이 전부였다고 하더라도 문제는 충분히 커질 수 있다는 게 디아첸코의 설명이다. “24시간 동안만 열려 있었다고 하더라도 위험성은 충분합니다. 이론 상 이 시간 안에 내부 정보에 접근했던 사람이라면 누구라도 트럼프 캠페인의 일원인 것처럼 온라인 상에서 신분을 위장할 수 있거든요. 딱 한 번만 성공하면 치명적으로 작용할 수 있는 위험이기 때문에 단 하루라도 영향력이 클 수 있습니다.”

하지만 트럼프 캠페인 측은 “이미 해결된 문제”라고만 대응하고 있는 실정이다. “그 동안 아무런 피해도 없었고, 위험에 처한 디지털 자산도 없으며, 새나간 정보도 없다고 자신하고 있습니다. 그러면서 낡은 코드가 가진 취약점은 어쩔 수 없다는 식입니다.” 디아첸코의 설명이다.

라라벨의 디버그 모드가 열린 채 웹사이트를 운영할 경우 민감한 정보가 노출될 수 있다는 건 이미 널리 알려진 사실이다. 작년에도 디아첸코와 콜은 쇼단(Shodan)과 바이너리에지(BinaryEdge) 등의 검색 엔진을 사용해 566개의 취약한 웹사이트를 찾아내 경고한 바 있다.

이 외에도 작업이 다 끝난 뒤 마무리를 깔끔하게 짓지 못하여 생기는 보안 문제는 심심찮게 나타나곤 한다. 개발자들의 사이트 유지 관리를 위하여 열어둔 백도어를 해커들이 찾아내기도 하고, 보안 전문가들이 침투 테스트를 위해 만들어둔 공격 경로를 닫아두지 않아 실제 공격이 발생하기도 한다. 그 외 퇴사자들의 계정을 삭제하지 않는 것도 공격자들에게 큰 도움이 된다.

3줄 요약
1. 트럼프 캠페인 공식 사이트, 사실상 백엔드까지 열린 상태.
2. 라라벨이라는 PHP 웹 앱 프레임워크의 디버그 모드가 문제.
3. 개발 끝나고 비활성화시켜야 하는데, 그걸 깜빡하면 백엔드까지 침투 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제