장난에 더 많이 활용될 수도 있지만 공격자 동기 충분하면 위험
[보안뉴스 문가용 기자] 비즈니스용 스카이프(Skype for Busienss)에서 서비스 거부 취약점이 발견됐다. 이는 이모티콘을 스카이프 클라이언트로 대량 보내면 발동시킬 수 있다고 한다.
[이미지 = iclickart]
이 취약점은 SEC 컨설트 취약점 연구소(SEC Consult Vulnerability Lab)에서 발견한 것으로, CVE-2018-8546이라는 번호가 붙었고, 익스플로잇이 대단히 쉽다는 치명적인 특징을 가지고 있다. 공격자 입장에서는 공격 대상을 설정하고, 비즈니스용 스카이프나 링크(Lync) 클라이언트로 이모티콘을 수백 개씩 보내기만 하면 된다.
SEC 컨설트의 전문가들은 이 취약점을 시연하기 위해 아기 고양이 이모티콘을 사용했는데, 이는 이 공격이 ‘키튼 오브 둠(Kitten of Doom)’이라는 가칭을 가지고 있기 때문이다. 이모티콘을 100개 정도 보내면 비즈니스용 스카이프 클라이언트가 느려지기 시작한다. 그리고 이모티콘을 증가하는 것과 비례하여 속도는 계속해서 느려진다.
이모티콘이 800개 정도에 다다르면 스카이프 클라이언트가 한 개의 요청에 응답하는 데 수초씩 걸리기 시작한다. “글자 하나를 타이핑 하면 몇 초 있다가 화면에 나타나는 식이죠. 이 상태에서 이모티콘을 더 보내면 결국 사용이 불가능한 상태가 됩니다. 이모티콘 전송을 멈출 때까지 스카이프는 쓸모없게 됩니다.”
이모티콘을 보내는 데 특별한 도구가 필요한 것도 아니다. 공격자는 공격 대상을 한 회의 세션으로 초대하기만 하면 된다. 스카이프를 통해 직접 연락을 취해도 공격 조건이 성립된다.
물론 800개 이모티콘만으로 모든 클라이언트가 멈추는 건 아니다. 이 취약점이 나타난 버전은 다음과 같다.
1) 비즈니스용 스카이프 2016 MSO(16.0.93) 64비트 혹은 그 이전 버전
2) 비즈니스용 스카이프 프리커서(초창기 버전)
3) 마이크로소프트 링크 2013(15.0) 64비트
다행스러운 건 이 공격으로 심대한 피해를 줄 가능성이 그리 높지 않다는 것이다. 피해자가 경험하는 건 귀엽고 장난스런 이모티콘이 계속해서 도착하는 것 뿐이며, 스카이프가 잠시 느려지다가 멈춘다고 해도, 그 상태가 지속되는 것도 아니다. 이모티콘이 안 오기 시작하면 디도스 상태도 다시 원래대로 돌아간다. 그나마 마비되는 것도 ‘채팅’뿐이지 음성 대화와 화상 회의와 같은 기능은 정상적으로 돌아간다.
그렇다면 무엇이 문제일까? SEC 컨설트 측은 제일 먼저 “링크나 비즈니스용 스카이프는 많은 조직들에서 매일처럼 사용하는, 상당히 중요한 역할을 하고 있는 툴들”이라고 지적한다. “경쟁사가 매일 같이 이 두 가지 프로그램을 통해 진행되는 중요 회의에 난입해서 고객의 기분을 상하게 만들 수 있고, 경쟁 부서나 앙심을 품은 같은 회사 직원의 업무를 방해하는 것도 가능합니다. 동기만 있다면 얼마든지 악용될 수 있다는 것입니다.”
다행히 마이크로소프트는 지난 주 패치 튜즈데이(Patch Tuesday)를 통해 CVE-2018-8546에 대한 픽스를 발표했다. 패치가 불가능한 여건에 처해 있다면 다음과 같은 절차를 통해 위험성을 완화시킬 수 있다.
1) Tools -> Options -> IM -> Show Emoticons in messages를 선택한다.
2) Privacy 옵션의 세팅을 연락처 목록에 있는 사람만 이모티콘을 보낼 수 있도록 조정한다.
이와 비슷한 문제는 2015년에도 발견된 바 있다. 애니메이션 기능을 가진 이모티콘을 폭탄처럼 보내 클라이언트의 CPU 사용률을 급격하게 높일 수 있게 해주는 취약점이었다고 SEC 컨설트 측은 설명했다.
3줄 요약
1. 비즈니스용 스카이프 일부 버전에서 디도스 취약점 발견됨.
2. 이모티콘을 대량으로 보내면 상대 스카이프나 링크가 작동을 멈추는 것.
3. 장난스러운 취약점이긴 하나 동기 분명하면 악용 가능함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>