대형 통신사도 간과하기 쉬운 IDOR 취약점, 버라이즌에도 있었다

2019-09-11 16:22
  • 카카오톡
  • url
영국의 한 보안 전문가, 내부 서브도메인 발견한 후 조사 이어나가
200만 개 매개변수 대입시키면 고객의 개인정보 실린 계약서에 접근 가능해


[보안뉴스 문가용 기자] 대형 통신사 버라이즌의 무선 통신 시스템에서 취약점이 발견됐다. 해커들이 미리 발견해 익스플로잇 했을 경우 2백만 명의 고객 연락처를 탈취하는 데 성공했을 거라고 한다.


[이미지 = iclickart]

이러한 상황을 발견한 건 영국의 보안 전문가 데일리 비(Daley Bee)라는 인물이다. 원래는 버라이즌 무선 시스템을 분석하다가, 한 서브도메인을 우연히 발견하게 되었다고 한다. 내부에서 직원들이 고객 정보를 열람할 때 사용하는, 일종의 포털과 같은 것이었다.

이 서브도메인으로부터 분석을 이어갔고, 얼마 지나지 않아 한 PDF 파일에 연결되는 URL까지 찾아낼 수 있었다. 버라이즌 무선 서비스에 가입한 고객들의 연락처가 담긴 파일이었다. 매달 일정 금액의 단말 금액을 버라이즌에 내는 고객들의 연락처였다.

물론 파일이 곧바로 열린 건 아니었다. 인증을 거쳐야만 접근이 가능했다. 브루트포스 공격으로 URL의 GET 매개변수를 두드렸고, 그 결과 한 계약서를 열람하는 데 성공했다. 거기서 계약서 번호와 한 전화번호를 매칭시킬 수 있었다.

그러면서 “매개변수의 값을 바꾸면 또 다른 계약서에 접근할 수 있다는 것을 발견해냈다”고 한다. “즉, 불안전 직접 객체 참조(insecure direct object reference, IDOR) 취약점을 발견한 것입니다. IDOR 취약점은 익스플로잇이 간단하기로 유명한 취약점이죠.”

비가 이런 식으로 찾아낸 계약서들에는 민감한 개인정보가 저장되어 있었다.
1) 이름
2) 주소
3) 전화번호
4) 장비 모델
5) 장비 일렬번호
6) 고객 서명

“아주 간단하게, 조금만 신경을 더 쓰면 괜찮았을 걸 무시해서 큰 일이 벌어진 전형적인 경우입니다.” 비의 설명이다. 그는 블로그를 통해 “IDOR 취약점을 발견하고 몇 번 실험을 한 후 1310000000번에서부터 1311999999번까지 매개변수를 입력하면 각가 다른 계약서가 나온다는 걸 계산해낼 수 있었다”며 “약 2백만 명이 노출된 상황”이라고 요약했다.

비는 6월 중순에 이러한 사실을 버라이즌 측에 알렸다. 약 한 달 후 패치가 발표됐다. 아쉽게도 버라이즌은 버그바운티 프로그램을 진행하지 않으며, 따라서 이 발견에 대한 상금을 받을 수는 없었다고 한다.

“하지만 버라이즌은 제가 찾아낸 취약점을 실제로 확인을 했고, 그 결과를 숨기지 않았습니다. 저한테도 2백만 명이 잠재적으로 위험할 수 있었다고 인정했습니다. 보통은 답장을 하지 않거나, 자체 조사 결과를 공유하지 않고 내부적으로 쉬쉬하거든요.”

버라이즌은 “회사가 이 사실을 알게 된 건 지난 6월”이라며, “내부 보안 팀에 즉각 전달해 문제를 파악한 후 해결하기 위한 조치를 취했다”고 대변인을 통해 발표했다. 그러면서 “아직까지 실제 공격에 피해를 입은 고객은 없는 것으로 조사됐다”고 덧붙였다.

3줄 요약
1. 버라이즌의 무선 시스템에서 불안전 직접 객체 참조 취약점 발견됨.
2. 매개변수를 하나하나 집어넣으면 계약서가 튀어나옴.
3. 버라이즌은 한 달 만에 패치 완료. 2백만 고객 위험했음도 인정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

Copyright Mediadot Corp. All Rights Reserved.

MENU

PC버전

닫기