DNS 리바인딩 공격으로 비트토렌트 클라이언트 침투해 시스템 통제 가능
취약점 발견의 1등 공신 프로젝트 제로 팀, 한국인 이정훈의 활동도 활발
[보안뉴스 문가용 기자] 구글 프로젝트 제로 팀의 타비스 오르만디(Tavis Ormandy)는 트랜스미션 비트토렌트(Transmission BitTorrent) 클라이언트에서 원격 코드 실행을 가능케 해주는 치명적인 취약점을 발견했다.
[이미지=iclickart]
트랜스미션은 인기가 많은 오픈소스 비트토렌트 클라이언트로 윈도우, 맥, 리눅스에서 사용이 가능하다. 오르만디는 최근 이러한 토렌트 클라이언트를 여러 개 분석했고, 이 중 트랜스미션에서 심각한 취약점을 발견했다고 밝혔다. “공격자가 트랜스미션을 통해 사용자 시스템에 침투해 코드를 실행할 수 있습니다.”
단, 공격이 성립하려면 공격 대상이 되는 인물이 특별히 조작한 웹사이트에 접속을 해야만 한다. “트랜스미션은 ‘클라이언트-서버’의 구조를 가지고 있습니다. 사용자 인터페이스가 클라이언트이며, 사용자가 보지 못하는 배경에서 데몬(daemon)이 다운로드와 시드 파일 등을 관리하는 기능을 가지고 있죠.”
그 인터페이스와 데몬은 서버와의 통신을 위해 JSON RPC 요청을 보낸다. 이 때 사용되는 포트는 9091번이며, “디폴트상 데몬은 로컬호스트(localhost)에서 온 요청만을 수락하도록 되어 있다.” 하지만 이 때 DNS 리바인딩(DNS rebinding)이라는 공격 기법을 활용하면 로컬호스트를 확인하는 과정 자체를 우회할 수 있게 된다고 오르만디는 설명한다.
다음과 같은 시나리오로 악용이 가능하다.
1) 웹사이트를 하나 만들고 그 사이트의 서브도메인으로 가는 아이프레임을 추가한다.
2) DNS 서버를 설정해 공격자가 통제하는 주소와 로컬호스트(127.0.0.1)에서 통제되는 주소가 번갈아 응답되도록 만든다.
3) 이 때 TTL 시간을 최대한 줄인다.
이 웹사이트에 누군가 접속하면, 브라우저가 공격자 통제 하에 있는 DNS 서버로 접속한 뒤 다시 로컬호스트로 옮겨가게 된다.
“익스플로잇 자체는 간단합니다.” 오르만디 자신도 개념증명용 익스플로잇에 성공했다. “윈도우와 리눅스 환경에서 크롬과 파이어폭스로 실험했고, 다 성공했습니다.” 이 취약점은 CVE-2018-5702로 분류되었으며 11월 30일 트랜스미션 개발자들에게 전달됐다. 하지만 아직 공식 패치는 발표되지 않은 상황이다.
이에 오르만디는 지난 주 개발자들에게 다시 연락을 취해 깃허브를 통해 패치를 공식 발표하겠다는 답을 받아냈다. 물론 정확한 날짜까지는 아직 나오지 않았다. 맥OS와 리눅스 버전의 경우 원격 접근이 가능한 상태여야만 익스플로잇이 가능하다고 한다. 그리고 원격 접근은 디폴트상 금지되어 있다.
한편 구글의 또 다른 전문가인 세바스천 레키즈(Sebastian Lekies) 역시 이 문제를 발견해 트랜스미션 팀에 별도로 보고했다고 밝혔다. 그것도 심지어 5년 전에 말이다. 하지만 아무런 답장도 없었다고 한다. 2016년에는 트랜스미션 웹사이트가 뚫려 악성 설치파일이 심겨지기도 했다.
구글 프로젝트 제로 팀
타비스 오르만디가 속한 구글 프로젝트 제로 팀은 다양한 취약점을 찾아내는 집단으로 유명하다. 이번에 찾아낸 토렌트 클라이언트 외에 이미 올해 1월에만 인텔, ARM, AMD 프로세서에서 멜트다운(Meltdown)과 스펙터(Spectre) 취약점을 찾아내 세상을 떠들썩하게 한 바 있다. 또한 마이크로소프트가 공개한 1월 취약점 공개 내용을 보면 상당수의 취약점 제보자가 구글 프로젝트 팀으로 표기되어 있기도 하다.
여기서 눈에 띄는 건 Lokihardt라는 닉네임이다. 예를 들어 CVE-2018-0776의 제보자는 “Lokihardt of Google Project Zero”라고 표기되어 있는데, 이는 외신 등에서도 ‘세계 최고의 해커’라는 수식어를 붙여주는 이정훈 씨의 것이다.
보안 커뮤니티 내에서는 유명 인사라고 할 수 있는 해커들이 그 동안 구글 프로젝트 팀에 다수 합류했거나 거쳐 갔다. 지금은 구글 프로젝트 제로 팀의 상징과도 같은 타비스 오르만디도 이전부터 유명한 해커였고, 아이폰 탈옥으로 유명한 조지 호츠(George Hotz) 혹은 지오핫(GeoHot)도 구글 프로젝트 제로 팀에 2014년 합류했다. 이 팀을 이끌던 크리스 에반스(Chris Evans)도 두각을 나타내는 인물이었으나 2015년 테슬라로 영입됐다. 이 가운데 2012년부터 세계의 해킹 대회를 휩쓴 이정훈 씨가 소리 소문 없이 소프트웨어를 파헤치고 있는 것이다.
와이어드지는 이 팀을 ‘구글의 비밀 병기’라고 부르기도 하고, 포춘지는 ‘해커들의 드림팀’이라고 칭하기도 하는데, 보안 전문가들 사이에서는 뛰어난 기술력을 뜻하는 ‘외계인 집단’이라는 별명도 가지고 있다. 멜트다운과 스펙터 사태 이전엔 인텔이 ‘외계인을 감금하고 있다’는 우스갯소리가 IT 업계 내 파다했었다.
하지만 구글 프로젝트 제로 팀이 칭송만 받는 건 아니다. 취약점을 발견하고 소프트웨어 업체에 알리는 것까진 좋은데, 90일의 기한을 넘기면 패치가 나오든 말든 대중에게 공개하는 원칙을 고수하고 있기 때문이다. 구글 측은 “90일이면 패치 개발이 충분한 기간”이라고 주장하지만 반대로 “상황에 따라 얼마든지 짧은 시일이 될 수 있다”는 주장도 거세다.
무엇보다 패치가 나오지 않은 상태에서 취약점부터 알리면 불필요한 피해자가 생길 가능성이 높아진다는 게 구글의 ‘90일 정책’을 반대하는 사람들이 내세우는 이유다. 그러나 구글은 현재까지도 90일 정책을 지키고 있고, 이는 서서히 업계 내 ‘표준’처럼 굳어져가고 있다.
또 구글의 각종 서비스나 안드로이드에서도 취약점이 적잖이 발견되고 있는 가운데 ‘왜 자기 회사의 결함은 눈 감아 주고 다른 회사 서비스와 제품만 뒤져서 취약점을 찾느냐’는 비판도 있다. 취약점 정보를 쌓아두고 비밀리에 간직하고 있거나 정부와 물밑 거래를 하고 있는 건 아닌가 하는 의심의 시선도 존재한다.
[국제부 문가용 기자(globoan@boannews.com)]
취약점 발견의 1등 공신 프로젝트 제로 팀, 한국인 이정훈의 활동도 활발
[보안뉴스 문가용 기자] 구글 프로젝트 제로 팀의 타비스 오르만디(Tavis Ormandy)는 트랜스미션 비트토렌트(Transmission BitTorrent) 클라이언트에서 원격 코드 실행을 가능케 해주는 치명적인 취약점을 발견했다.
[이미지=iclickart]
트랜스미션은 인기가 많은 오픈소스 비트토렌트 클라이언트로 윈도우, 맥, 리눅스에서 사용이 가능하다. 오르만디는 최근 이러한 토렌트 클라이언트를 여러 개 분석했고, 이 중 트랜스미션에서 심각한 취약점을 발견했다고 밝혔다. “공격자가 트랜스미션을 통해 사용자 시스템에 침투해 코드를 실행할 수 있습니다.”
단, 공격이 성립하려면 공격 대상이 되는 인물이 특별히 조작한 웹사이트에 접속을 해야만 한다. “트랜스미션은 ‘클라이언트-서버’의 구조를 가지고 있습니다. 사용자 인터페이스가 클라이언트이며, 사용자가 보지 못하는 배경에서 데몬(daemon)이 다운로드와 시드 파일 등을 관리하는 기능을 가지고 있죠.”
그 인터페이스와 데몬은 서버와의 통신을 위해 JSON RPC 요청을 보낸다. 이 때 사용되는 포트는 9091번이며, “디폴트상 데몬은 로컬호스트(localhost)에서 온 요청만을 수락하도록 되어 있다.” 하지만 이 때 DNS 리바인딩(DNS rebinding)이라는 공격 기법을 활용하면 로컬호스트를 확인하는 과정 자체를 우회할 수 있게 된다고 오르만디는 설명한다.
다음과 같은 시나리오로 악용이 가능하다.
1) 웹사이트를 하나 만들고 그 사이트의 서브도메인으로 가는 아이프레임을 추가한다.
2) DNS 서버를 설정해 공격자가 통제하는 주소와 로컬호스트(127.0.0.1)에서 통제되는 주소가 번갈아 응답되도록 만든다.
3) 이 때 TTL 시간을 최대한 줄인다.
이 웹사이트에 누군가 접속하면, 브라우저가 공격자 통제 하에 있는 DNS 서버로 접속한 뒤 다시 로컬호스트로 옮겨가게 된다.
“익스플로잇 자체는 간단합니다.” 오르만디 자신도 개념증명용 익스플로잇에 성공했다. “윈도우와 리눅스 환경에서 크롬과 파이어폭스로 실험했고, 다 성공했습니다.” 이 취약점은 CVE-2018-5702로 분류되었으며 11월 30일 트랜스미션 개발자들에게 전달됐다. 하지만 아직 공식 패치는 발표되지 않은 상황이다.
이에 오르만디는 지난 주 개발자들에게 다시 연락을 취해 깃허브를 통해 패치를 공식 발표하겠다는 답을 받아냈다. 물론 정확한 날짜까지는 아직 나오지 않았다. 맥OS와 리눅스 버전의 경우 원격 접근이 가능한 상태여야만 익스플로잇이 가능하다고 한다. 그리고 원격 접근은 디폴트상 금지되어 있다.
한편 구글의 또 다른 전문가인 세바스천 레키즈(Sebastian Lekies) 역시 이 문제를 발견해 트랜스미션 팀에 별도로 보고했다고 밝혔다. 그것도 심지어 5년 전에 말이다. 하지만 아무런 답장도 없었다고 한다. 2016년에는 트랜스미션 웹사이트가 뚫려 악성 설치파일이 심겨지기도 했다.
구글 프로젝트 제로 팀
타비스 오르만디가 속한 구글 프로젝트 제로 팀은 다양한 취약점을 찾아내는 집단으로 유명하다. 이번에 찾아낸 토렌트 클라이언트 외에 이미 올해 1월에만 인텔, ARM, AMD 프로세서에서 멜트다운(Meltdown)과 스펙터(Spectre) 취약점을 찾아내 세상을 떠들썩하게 한 바 있다. 또한 마이크로소프트가 공개한 1월 취약점 공개 내용을 보면 상당수의 취약점 제보자가 구글 프로젝트 팀으로 표기되어 있기도 하다.
여기서 눈에 띄는 건 Lokihardt라는 닉네임이다. 예를 들어 CVE-2018-0776의 제보자는 “Lokihardt of Google Project Zero”라고 표기되어 있는데, 이는 외신 등에서도 ‘세계 최고의 해커’라는 수식어를 붙여주는 이정훈 씨의 것이다.
보안 커뮤니티 내에서는 유명 인사라고 할 수 있는 해커들이 그 동안 구글 프로젝트 팀에 다수 합류했거나 거쳐 갔다. 지금은 구글 프로젝트 제로 팀의 상징과도 같은 타비스 오르만디도 이전부터 유명한 해커였고, 아이폰 탈옥으로 유명한 조지 호츠(George Hotz) 혹은 지오핫(GeoHot)도 구글 프로젝트 제로 팀에 2014년 합류했다. 이 팀을 이끌던 크리스 에반스(Chris Evans)도 두각을 나타내는 인물이었으나 2015년 테슬라로 영입됐다. 이 가운데 2012년부터 세계의 해킹 대회를 휩쓴 이정훈 씨가 소리 소문 없이 소프트웨어를 파헤치고 있는 것이다.
와이어드지는 이 팀을 ‘구글의 비밀 병기’라고 부르기도 하고, 포춘지는 ‘해커들의 드림팀’이라고 칭하기도 하는데, 보안 전문가들 사이에서는 뛰어난 기술력을 뜻하는 ‘외계인 집단’이라는 별명도 가지고 있다. 멜트다운과 스펙터 사태 이전엔 인텔이 ‘외계인을 감금하고 있다’는 우스갯소리가 IT 업계 내 파다했었다.
하지만 구글 프로젝트 제로 팀이 칭송만 받는 건 아니다. 취약점을 발견하고 소프트웨어 업체에 알리는 것까진 좋은데, 90일의 기한을 넘기면 패치가 나오든 말든 대중에게 공개하는 원칙을 고수하고 있기 때문이다. 구글 측은 “90일이면 패치 개발이 충분한 기간”이라고 주장하지만 반대로 “상황에 따라 얼마든지 짧은 시일이 될 수 있다”는 주장도 거세다.
무엇보다 패치가 나오지 않은 상태에서 취약점부터 알리면 불필요한 피해자가 생길 가능성이 높아진다는 게 구글의 ‘90일 정책’을 반대하는 사람들이 내세우는 이유다. 그러나 구글은 현재까지도 90일 정책을 지키고 있고, 이는 서서히 업계 내 ‘표준’처럼 굳어져가고 있다.
또 구글의 각종 서비스나 안드로이드에서도 취약점이 적잖이 발견되고 있는 가운데 ‘왜 자기 회사의 결함은 눈 감아 주고 다른 회사 서비스와 제품만 뒤져서 취약점을 찾느냐’는 비판도 있다. 취약점 정보를 쌓아두고 비밀리에 간직하고 있거나 정부와 물밑 거래를 하고 있는 건 아닌가 하는 의심의 시선도 존재한다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
