Home > 전체기사
해커원, 세션 쿠기 실수로 반출시켜 보안 보고서 노출
  |  입력 : 2019-12-06 14:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
버그바운티 플랫폼 해커원, 취약점 보고서 주고받다가 세션 쿠기까지 전송
취약점 정보는 공격자들에게 매우 유용…앞으로 버그바운티 플랫폼 노린 공격 많아질 것


[보안뉴스 문가용 기자] 한 해커가 해커원(HackerOne) 고객을 위한 비공개 보안 보고서에 접근하는 일이 발생했다. 지난 주, 해커원 플랫폼에서 버그바운티 관련 보고서를 교환하는 과정 중 해커원 소속 보안 분석가가 브라우저 콘솔에서 cURL 명령을 복사하고, 그것을 해커에게 보내는 과정 중에 일부 민감한 정보를 삭제하지 않아서 발생한 일이라고 한다.

[이미지 = iclickart]


삭제되었어야 할 민감한 정보 중에는 보안 분석가들이 사용하는 보안 쿠키도 있었다. 문제의 직원은 다단계의 싱글사인온(SSO) 인증 과정을 거친 뒤 위와 같은 실수를 저질렀고, 따라서 이 쿠키를 뜻하지 않게 공유 받았던 해커 역시 동일한 인증 과정을 거칠 수 있게 됐다. 즉, 해커원의 모든 기능들에 접근할 수 있었고, 여기에 각종 비공개 보안 보고서도 포함되어 있었다.

해커원은 고객들에게 ‘인간 증강 시그널(Human Augmented Signal, HAS)’이라는 서비스를 제공한다. 세션 쿠키를 공유받았던 해커는 이 기능의 인박스를 통해 보고서 제목들과 접근에 제한이 걸린 메타데이터를 열람할 수 있었다고 한다. 여기서부터 ‘보고서 열람(Report View)’라는 기능을 통해 보고서 내용도 보는 것도 가능했다. 비슷한 행위를 트리에이지(Triage) 인박스 등에서 할 수 있다는 것도 확인됐다.

“다행히 세션 쿠키의 원래 주인이었던 해커원의 보안 분석가는 네트워크 전체에 대한 접근 권한을 가지고 있지 않았습니다. 따라서 쿠키를 공유 받았던 해커 역시 일부 데이터에는 접근할 수 없었습니다. 고객과 관련된 정보는 전부 안전합니다. 이번 사건으로 문제가 있을 수 있는 고객들에게는 전부 개별적으로 고지했습니다.” 해커원 측의 설명이다.

정말 다행인 건 해커가 윤리적 해커였다는 것이다. 이 인물은 세션 쿠키를 공유받은 사실을 깨닫고, 자신이 어느 부분에까지 침투할 수 있는지 확인하고 그 사실을 전부 해커원에 알렸다. 그 보고서가 해커원에 도착한 것이 11월 24일의 일이었다. 해커원 측은 몇 시간 있다가 이 보고서를 보고 해당 세션 쿠키를 취소시켰다.

문제의 핵심은 보안 분석가가 부주의하게 세션 쿠키를 외부로 노출시켰다는 게 아니라고 전문가들은 지적한다. 그런 일은 순수 실수로 누구에게나 닥칠 수 있으며, 따라서 이것 자체를 문제의 근원으로 보아서는 안 된다는 것이다. 오히려 “버그바운티를 진행하는 플랫폼이라고 자처하는 해커원이 세션 쿠키의 외부 반출을 막는 보안 장치를 마련하지 않고 있었다는 것”이 더 크게 지적되고 있다.

해커원도 여기에 동의하고 조치를 취했다. 사용자의 세션을 IP 주소에 연결시킴으로써 “다른 사람이 엉뚱한 IP 주소에서부터 같은 세션을 활용할 수 없게 한 것”이다. “그런 시도가 있을 시 세션이 종료되도록 설정했습니다.” 여기에 더해 해커원은 굉장히 중요한 보고서가 제출될 때 보안 담당자에게 곧바로 연락이 가도록 하는 장치도 마련하겠다고 발표했다. 보고서의 내용이 최대한 빨리 처리되도록 함으로써 누군가 보고서를 불법적으로 열람한다고 해도 소용이 없게 만들기 위해서다.

해커원은 “소속 분석가들과 외부 해커 간 있었던 모든 보고서 교환 내용을 점검했고, 그 결과 세션 쿠키 등의 민감한 정보가 실수로 넘겨진 일은 한 번도 없었음을 확인할 수 있었다”고 발표하기도 했다. 또한 이번 실수를 악용하지 않고 완전히 투명하게 해커원에 공개한 해커는 2만 달러의 버그바운티 상금을 받았다.

보안 업체 트립와이어(Tripwire)의 컴퓨터 보안 연구원인 크레이그 영(Craig Young)은 “우리도 해커원으로부터 ‘비공개 보고서 일부를 제3자가 열람하는 일이 있었다’는 연락을 받았다”고 외신과의 인터뷰를 통해 밝혔다. 그러면서 “해커원이 벌어진 일에 대해서는 대응을 잘 했지만, 버그크라우드(BugCrowd)나 해커원과 같은 ‘취약점 관리 외주’ 사업자들이 태생적으로 가질 수밖에 없는 취약점이 잘 드러난 사건이기도 하다”고 말했다. “취약점 보고서는 공격자들에게 대단히 유용한 자료입니다. 정확히 공개된 바는 없지만 이런 취약점 관리 대행 서비스를 사이버 공격자들이 가만히 둘 리가 없습니다.”

그러면서 영은 “이번에 새롭게 추가할 거라는 각종 장치가 해커원에 아직까지도 없었다는 것에 더 놀랐다”고 덧붙이기도 했다. 보안 업체 이뮤니웹(ImmuniWeb)의 CEO 일리야 콜로첸코(Ilia Kolochenko) 역시 비슷한 의견이다. “보안 취약점에 대한 정보를 잔뜩 모으는 플랫폼에서 그 정도의 기본 보안 장치가 없었다니, 말이 되지 않습니다.”

이 때문에 앞으로 더 많은 사이버 범죄자들이 버그바운티 플랫폼을 노리며 활동할 것이라고 그는 경고했다. “버그바운티 플랫폼이 의외로 허술할 수 있다는 것과, 취약점 관련 보고서가 잔뜩 있다는 것 자체가 큰 유혹이 될 겁니다. 물론 지금 당장 해커원 같은 플랫폼이 아무한테나 농락당할 위기에 처해있다는 건 아닙니다. 하지만 이런 취약점 하나하나 꾸준히 공략하다보면 언젠가 뚫리게 될 것입니다.”

3줄 요약
1. 해커원 플랫폼의 직원, 실수로 세션 쿠키를 외부 해커에게 전송.
2. 이에 해커는 각종 취약점 보고서를 열람할 수 있었음.
3. 해커원 같은 취약점 관리 대행 서비스, 지속적인 공격에 노출될 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)