마스토돈은 ‘탈중앙화 트위터’라고 정의해도 무방한 플랫폼이다. 마이크로블로깅을 할 수 있게 해 주는데, 사용자 각자가 서버와 인스턴스를 생성해 운영해야 하기 때문이다. 그러한 방식은 보안에 취약할 수밖에 없다.
[보안뉴스 문정후 기자] 마이크로 블로깅 플랫폼인 마스토돈(Mastodon)에서 발견된 취약점 4개가 지난 주에 패치됐다. 하지만 문제는 거기서 끝난 게 아니었다. 마스토돈과 같은 ‘탈중앙화’를 추구하는 플랫폼의 보안과 안전성에 대한 근본적인 의문들이 생겨나기 시작한 것이다. 이는 사실 오픈소스 생태계 자체에 관한 논제이기도 하다.
[이미지 = gettyimagesbank]
마스토돈의 창립자인 유겐 로치코(Eugen Rochko)는 깃허브에 보안 권고문을 발표하며 교차 사이트 스크립팅(XSS), 임의 파일 생성, 서비스 거부, URL 일부 임의 숨김 등의 공격을 가능하게 하는 취약점들이 해결됐다고 알렸다. CVSS를 기준으로 했을 때 4개의 취약점은 최저 5.4점, 최고 9.9점 사이에 분포해 있다는 설명도 있었다.
4개 취약점에 대한 패치는 이미 나온 상황이지만 위험이 사라진 건 아니다. 한 보안 전문가는 9.9점짜리 취약점에 대한 글을 게시하면서 “마스토돈 서버를 호스팅하고 있는 수많은 사용자와 조직들이 패치를 적용하지 않고 있다”고 경고했다. 그러면서 “이 9.9점짜리 취약점은 임의로 파일을 생성하게 해 주는 것이며, 실제 익스플로잇 공격에 활용될 가능성이 매우 높아 보인다”고도 알렸다. 이 취약점은 CVE-2023-36460이며 투트루트(TootRoot)라고 불리기도 한다.
보안 업체 제로폭스(ZeroFox)의 CDO인 브라이언 웨어(Bryan Ware)는 “인터넷 플랫폼에서 흔히 벌어지는 일”이라며 “취약점이 좋다는 건 아니지만, 너무 새로워 어찌할 바를 모를 정도의 그것도 아니”라는 의견을 제시한다. “인터넷 플랫폼에서 자주 보이는 취약점들이 이번 인터넷 플랫폼에서 도 불거진 겁니다. 당연하지만 위험한 것도 있고 비교적 괜찮은 것들도 있습니다. 사이버 공간에서의 여느 하루가 지난 것 뿐입니다.”
마스토돈 자체가 안전하지 않은 건가?
그 동안 마스토돈에서 보안 취약점이 한 번도 발견되지 않은 건 아니었다. HTML 주입 취약점이나 서버 설정 오류 등과 같은 문제들이 이따금씩 불거졌다. 공격자들은 그럴 때마다 각종 공격을 시도했었다. 지난 11월에는 수상한 서버 하나가 갑자기 나타나 마스토돈 사용자 수만 명의 데이터를 스크랩하기도 했었다.
마스토돈의 가장 불안한 점은 ‘탈중앙화 된 구조’를 가지고 있다는 것이다. 트위터나 페이스북처럼 단일 회사에서 운영과 관리를 하는 것이 아니라 사용자들이 직접 마스토돈 서버들 혹은 인스턴스들을 생성해 운영하는 방식이다. “각 인스턴스들은 독립적으로 운영됩니다. 그러므로 수많은 마스토돈 사용자들이 각각 다른 보안 수준으로 각자의 마이크로블로깅 서비스를 운영하는 겁니다. 그렇다면 마스토돈 생태계 전체의 보안 수준은 수많은 사용자들 중 가장 약한 사용자의 것과 같게 되겠죠.” 보안 업체 크리티컬스타트(Critical Start)의 수석 연구원 캘리 겐터(Callie Guenther)의 설명이다.
마스토돈을 공략하고 싶은 공격자 입장에서는 가장 취약한 인스턴스를 찾아 계정이나 인스턴스를 침해하면 된다. “이를 통해 민감한 정보에 접근하거나 디도스 공격을 실시하거나 임의로 코드를 실행시킬 수 있게 됩니다. 기업에서 마스토돈을 사용하고 있었다면 어떨까요? 각종 기업 비밀까지도 위험하게 되는 겁니다. 일부 사업 기능이 마비될 수도 있고요. 공격자 입장에서는 마스토돈 인스턴스의 취약점들만 조사해 업데이트 안 된 것을 찾아내기만 하면 됩니다.”
보안 업체 프루프포인트(Proofpoint)의 랜디 파그먼(Randy Pargman)은 “업무용 계정이나 소셜미디어 인스턴스들은 공격자들에게 매우 가치가 높은 것”이라고 지적한다. “공격자들은 이런 계정들을 활용해 정보나 돈을 직접적으로 훔쳐내지 않더라도 기업 명성이나 시장 신뢰도 하락을 야기할 수 있습니다. 그리고 그것이 더 큰 피해로 귀결될 때도 많습니다.”
마스토돈 환경의 보호 책임, 사용자에게 있어
파그먼은 “마스토돈의 탈중앙화 구조는 첫 번째 방어 책임이 사용자에게 있다는 의미”라고 지적한다. “마스토돈의 인스턴스들은 보통 한 사람의 개인이나 소규모 조직이 생성해 관리합니다. 취약점이 생기면 그 사용자가 패치해야 하고, 악성 행위 모니터링도 그 사용자가 해야 합니다. 그 외 각종 보안 관련 조치를 직접 실행해야 합니다. 큰 회사가 운영하는 플랫폼보다 높은 자유도를 누리게 되는 대신 스스로 안전을 위해 해야 할 것이 훨씬 많다는 것이죠.”
하지만 사용자들은 원래 패치를 잘 안 하기로 유명하다. 인간의 본성이 그렇다. 특별히 문제가 없다면 굳이 취약점 소식을 찾아내 패치하는 시간을 애써 내지 않으려 한다. 그것이 모스토돈과 같은 구조를 가진 모든 서비스들의 근원적인 문제점이라고 파그먼은 짚는다. “오픈소스의 보안이 대체적으로 허술할 수밖에 없는 것도 이와 비슷한 이유 때문입니다. 다만 사용자가 대단히 많은 오픈소스의 경우라면 귀찮음이나 성가심을 무릅쓰고 취약점을 찾아내 패치하는 부류들이 활동할 가능성이 높긴 합니다.”
겐터도 “마스토돈의 ‘사용이 자유롭다’는 이점을 최대한 누리려면 스스로 보안 강화의 책임도 질 수 있어야 한다”고 강조한다. “요즘 개발자들이 주요 공격 대상이 된 것은, 지난 수년 동안 오픈소스의 이점만 누리는 데 익숙해져 있기 때문입니다. 오픈소스를 누리려면 보안에 대한 책임도 질 수 있어야 하는데, 그 부분을 간과한 것이죠. 그래서 지금 소프트웨어 공급망이 폭격을 맞고 있는 것이고, 급기야 미국 정부가 소프트웨어 개발사가 보안 사고에 책임을 져야 한다고 발표하기까지 한 겁니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 마이크로 블로깅 플랫폼인 마스토돈(Mastodon)에서 발견된 취약점 4개가 지난 주에 패치됐다. 하지만 문제는 거기서 끝난 게 아니었다. 마스토돈과 같은 ‘탈중앙화’를 추구하는 플랫폼의 보안과 안전성에 대한 근본적인 의문들이 생겨나기 시작한 것이다. 이는 사실 오픈소스 생태계 자체에 관한 논제이기도 하다.
[이미지 = gettyimagesbank]
마스토돈의 창립자인 유겐 로치코(Eugen Rochko)는 깃허브에 보안 권고문을 발표하며 교차 사이트 스크립팅(XSS), 임의 파일 생성, 서비스 거부, URL 일부 임의 숨김 등의 공격을 가능하게 하는 취약점들이 해결됐다고 알렸다. CVSS를 기준으로 했을 때 4개의 취약점은 최저 5.4점, 최고 9.9점 사이에 분포해 있다는 설명도 있었다.
4개 취약점에 대한 패치는 이미 나온 상황이지만 위험이 사라진 건 아니다. 한 보안 전문가는 9.9점짜리 취약점에 대한 글을 게시하면서 “마스토돈 서버를 호스팅하고 있는 수많은 사용자와 조직들이 패치를 적용하지 않고 있다”고 경고했다. 그러면서 “이 9.9점짜리 취약점은 임의로 파일을 생성하게 해 주는 것이며, 실제 익스플로잇 공격에 활용될 가능성이 매우 높아 보인다”고도 알렸다. 이 취약점은 CVE-2023-36460이며 투트루트(TootRoot)라고 불리기도 한다.
보안 업체 제로폭스(ZeroFox)의 CDO인 브라이언 웨어(Bryan Ware)는 “인터넷 플랫폼에서 흔히 벌어지는 일”이라며 “취약점이 좋다는 건 아니지만, 너무 새로워 어찌할 바를 모를 정도의 그것도 아니”라는 의견을 제시한다. “인터넷 플랫폼에서 자주 보이는 취약점들이 이번 인터넷 플랫폼에서 도 불거진 겁니다. 당연하지만 위험한 것도 있고 비교적 괜찮은 것들도 있습니다. 사이버 공간에서의 여느 하루가 지난 것 뿐입니다.”
마스토돈 자체가 안전하지 않은 건가?
그 동안 마스토돈에서 보안 취약점이 한 번도 발견되지 않은 건 아니었다. HTML 주입 취약점이나 서버 설정 오류 등과 같은 문제들이 이따금씩 불거졌다. 공격자들은 그럴 때마다 각종 공격을 시도했었다. 지난 11월에는 수상한 서버 하나가 갑자기 나타나 마스토돈 사용자 수만 명의 데이터를 스크랩하기도 했었다.
마스토돈의 가장 불안한 점은 ‘탈중앙화 된 구조’를 가지고 있다는 것이다. 트위터나 페이스북처럼 단일 회사에서 운영과 관리를 하는 것이 아니라 사용자들이 직접 마스토돈 서버들 혹은 인스턴스들을 생성해 운영하는 방식이다. “각 인스턴스들은 독립적으로 운영됩니다. 그러므로 수많은 마스토돈 사용자들이 각각 다른 보안 수준으로 각자의 마이크로블로깅 서비스를 운영하는 겁니다. 그렇다면 마스토돈 생태계 전체의 보안 수준은 수많은 사용자들 중 가장 약한 사용자의 것과 같게 되겠죠.” 보안 업체 크리티컬스타트(Critical Start)의 수석 연구원 캘리 겐터(Callie Guenther)의 설명이다.
마스토돈을 공략하고 싶은 공격자 입장에서는 가장 취약한 인스턴스를 찾아 계정이나 인스턴스를 침해하면 된다. “이를 통해 민감한 정보에 접근하거나 디도스 공격을 실시하거나 임의로 코드를 실행시킬 수 있게 됩니다. 기업에서 마스토돈을 사용하고 있었다면 어떨까요? 각종 기업 비밀까지도 위험하게 되는 겁니다. 일부 사업 기능이 마비될 수도 있고요. 공격자 입장에서는 마스토돈 인스턴스의 취약점들만 조사해 업데이트 안 된 것을 찾아내기만 하면 됩니다.”
보안 업체 프루프포인트(Proofpoint)의 랜디 파그먼(Randy Pargman)은 “업무용 계정이나 소셜미디어 인스턴스들은 공격자들에게 매우 가치가 높은 것”이라고 지적한다. “공격자들은 이런 계정들을 활용해 정보나 돈을 직접적으로 훔쳐내지 않더라도 기업 명성이나 시장 신뢰도 하락을 야기할 수 있습니다. 그리고 그것이 더 큰 피해로 귀결될 때도 많습니다.”
마스토돈 환경의 보호 책임, 사용자에게 있어
파그먼은 “마스토돈의 탈중앙화 구조는 첫 번째 방어 책임이 사용자에게 있다는 의미”라고 지적한다. “마스토돈의 인스턴스들은 보통 한 사람의 개인이나 소규모 조직이 생성해 관리합니다. 취약점이 생기면 그 사용자가 패치해야 하고, 악성 행위 모니터링도 그 사용자가 해야 합니다. 그 외 각종 보안 관련 조치를 직접 실행해야 합니다. 큰 회사가 운영하는 플랫폼보다 높은 자유도를 누리게 되는 대신 스스로 안전을 위해 해야 할 것이 훨씬 많다는 것이죠.”
하지만 사용자들은 원래 패치를 잘 안 하기로 유명하다. 인간의 본성이 그렇다. 특별히 문제가 없다면 굳이 취약점 소식을 찾아내 패치하는 시간을 애써 내지 않으려 한다. 그것이 모스토돈과 같은 구조를 가진 모든 서비스들의 근원적인 문제점이라고 파그먼은 짚는다. “오픈소스의 보안이 대체적으로 허술할 수밖에 없는 것도 이와 비슷한 이유 때문입니다. 다만 사용자가 대단히 많은 오픈소스의 경우라면 귀찮음이나 성가심을 무릅쓰고 취약점을 찾아내 패치하는 부류들이 활동할 가능성이 높긴 합니다.”
겐터도 “마스토돈의 ‘사용이 자유롭다’는 이점을 최대한 누리려면 스스로 보안 강화의 책임도 질 수 있어야 한다”고 강조한다. “요즘 개발자들이 주요 공격 대상이 된 것은, 지난 수년 동안 오픈소스의 이점만 누리는 데 익숙해져 있기 때문입니다. 오픈소스를 누리려면 보안에 대한 책임도 질 수 있어야 하는데, 그 부분을 간과한 것이죠. 그래서 지금 소프트웨어 공급망이 폭격을 맞고 있는 것이고, 급기야 미국 정부가 소프트웨어 개발사가 보안 사고에 책임을 져야 한다고 발표하기까지 한 겁니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
