스스로 웹엑스 사용자이기도 한 IBM 연구원들, 웹엑스 샅샅이 파헤쳐
‘유령합류’ 취약점, 공격자들의 은밀한 합류 가능하게 해…로비도 공격 대상
[보안뉴스 문가용 기자] 시스코(Cisco)가 자사 협업 플랫폼인 웹엑스(Webex)를 위한 보안 패치 세 개를 발표했다. 이 취약점들을 통해 공격자들은 유령처럼 회의 세션에 접속해 염탐할 수 있게 된다고 한다. ‘유령처럼’이란, 다른 회의 참석자들에게 보이지 않게 접속이 가능하다는 것을 뜻한다.
[이미지 = utoimage]
취약점들을 제일 먼저 발견한 건 IBM의 연구원들이었다. IBM도 대부분의 직원들이 재택 근무를 시작했고, 자연스럽게 웹엑스로 대부분의 업무를 진행하게 되면서 “이 솔루션의 보안 상태는 어떨까?”라는 궁금증이 생겨 분석을 시작했다고 한다. IBM의 연구소인 IBM 리서치(IBM Research)의 이안 몰로이(Ian Molloy) 소장은 “웹엑스 사용과 관련된 보안 준수 사항을 연구하라는 게 원래의 지시 내용이었습니다.”
취약점이 주로 발견된 곳은 회의 참석자들 간 연결을 성립시키기 위해 웹엑스 솔루션이 활용하는 핸드셰이크(handshake) 프로세스라고 한다. 클라이언트와 서버가 ‘합류(join)’ 메시지를 서로 교환하는 과정에서 클라이언트 애플리케이션, 회의 ID, 회의실 세부 정보 등의 여러 가지 세부 항목들도 같이 교환되는 것이 문제다. 회의 URL을 보유하고 있다면 클라이언트와 서버 사이의 메시지를 조작하는 게 가능하고, 이를 통해 아무도 안 보이는 상태로 회의에 참석할 수 있다.
연구원들은 이런 공격이 성립하는 데 있어 결정적 역할을 하는 클라이언트 데이터를 확인하는 데 성공했다. 이 데이터를 조작할 경우 공격자는 유령이 될 수 있다고 한다. “유령이 되면 다른 참가자는 공격자를 보지 못하지만 공격자는 다른 참가자와 회의 내용 전부를 볼 수 있게 됩니다. 심지어 유령인 상태에서 채팅도 할 수 있지만, 이럴 경우 공격자가 스스로를 노출시키는 것과 같아 가능성이 매우 낮죠.”
이를 가능케 하는 취약점은 CVE-2020-3419로, ‘유령합류(Ghost Join)’라는 이름이 붙었다. 또 다른 취약점은 CVE-2020-3471로, 회의 호스트가 공격자를 퇴출시켜도 회의 세션에 남아있을 수 있게 해 준다. “코로나로 인해 가상 회의가 많아진 시점에 이런 식의 은밀한 접속은 매우 많은 민감한 정보를 노출시키는 결과를 초래할 있습니다. 결정적 정보가 아니더라도, 소셜 엔지니어링 공격을 추가로 진행할 수 있을 정도의 정보는 취득할 수 있게 됩니다.”
마지막 취약점은 CVE-2020-3441이며, 회의가 시작되기 전 로비에서 회의 참석자들의 개인정보를 열람할 수 있게 해 준다. 이름, 이메일 주소, IP 주소, 연결 방식과 장비 등을 볼 수 있게 된다. “이런 정보들은 회의가 시작하기 전부터 이미 취득이 가능한 것으로 분석됐습니다. 즉 특정 회의의 참석자가 누구인지, 그들이 어느 지역에 있는지 파악하는 게 가능하다는 겁니다. 표적 공격을 실시하기에 유용한 정보입니다.”
재택 근무자가 많아진 요즘, 이런 정보는 특히 더 유용할 것이라고 몰로이는 설명을 이어간다. “표적의 IP 주소를 안다 하더라도 기업용 방화벽 뒤에 있다면 공격이 어려웠을지도 모릅니다. 하지만 요즘엔 그렇지 않죠. 집에 방화벽을 설치한 사람들은 많지 않으니까요. 보안이 상대적으로 약한 가정용 라우터가 방어막의 전부인 상태에서 누군가 내 IP 주소를 가져간다는 건 심각한 위험입니다.”
위에 언급된 모든 공격은 맥OS, 윈도, iOS용 웹엑스 미팅즈(Webex Meetings)와 웹엑스 룸 키트(Webex Room Kit) 모두에서 적용 가능한 것으로 밝혀졌다. 게다가 높은 수준의 해킹 기술이 필요한 것도 아니라고 한다. 몰로이는 “흔한 CTF 대회에 참가할 정도의 실력과 장비만 있으면 익스플로잇이 가능하다”고 설명한다.
따라서 웹엑스를 적극적으로 활용하고 있는 조직들이라면 이번에 시스코가 발행한 패치들을 서둘러 적용하는 것이 중요하다고 IBM은 강조했다. 여기에다가 웹엑스의 사용자이기도 한 IBM은 “약속된 시간에 회의 로비를 닫는다”고 귀띔했다. 이 시간을 넘겨서 합류하려면 호스트가 수동 절차를 통해 확인 및 승인 작업을 진행해야 한다. “또한 회의 세션 비밀번호를 어렵게 만들기 시작하기도 했습니다. 보안 연구를 통해 솔루션 및 회의 참석 문화가 바뀌었다고 볼 수 있습니다.”
3줄 요약
1. 시스코의 화상 회의 솔루션인 웹엑스에서 세 가지 취약점 발견됨.
2. 그 중 하나는 아무에게도 보이지 않게, 유령처럼 합류할 수 있게 해 주는 취약점.
3. 로비에서부터 개인정보 취득 가능하게 해 주는 취약점도 존재.
[국제부 문가용 기자(globoan@boannews.com)]
‘유령합류’ 취약점, 공격자들의 은밀한 합류 가능하게 해…로비도 공격 대상
[보안뉴스 문가용 기자] 시스코(Cisco)가 자사 협업 플랫폼인 웹엑스(Webex)를 위한 보안 패치 세 개를 발표했다. 이 취약점들을 통해 공격자들은 유령처럼 회의 세션에 접속해 염탐할 수 있게 된다고 한다. ‘유령처럼’이란, 다른 회의 참석자들에게 보이지 않게 접속이 가능하다는 것을 뜻한다.
[이미지 = utoimage]
취약점들을 제일 먼저 발견한 건 IBM의 연구원들이었다. IBM도 대부분의 직원들이 재택 근무를 시작했고, 자연스럽게 웹엑스로 대부분의 업무를 진행하게 되면서 “이 솔루션의 보안 상태는 어떨까?”라는 궁금증이 생겨 분석을 시작했다고 한다. IBM의 연구소인 IBM 리서치(IBM Research)의 이안 몰로이(Ian Molloy) 소장은 “웹엑스 사용과 관련된 보안 준수 사항을 연구하라는 게 원래의 지시 내용이었습니다.”
취약점이 주로 발견된 곳은 회의 참석자들 간 연결을 성립시키기 위해 웹엑스 솔루션이 활용하는 핸드셰이크(handshake) 프로세스라고 한다. 클라이언트와 서버가 ‘합류(join)’ 메시지를 서로 교환하는 과정에서 클라이언트 애플리케이션, 회의 ID, 회의실 세부 정보 등의 여러 가지 세부 항목들도 같이 교환되는 것이 문제다. 회의 URL을 보유하고 있다면 클라이언트와 서버 사이의 메시지를 조작하는 게 가능하고, 이를 통해 아무도 안 보이는 상태로 회의에 참석할 수 있다.
연구원들은 이런 공격이 성립하는 데 있어 결정적 역할을 하는 클라이언트 데이터를 확인하는 데 성공했다. 이 데이터를 조작할 경우 공격자는 유령이 될 수 있다고 한다. “유령이 되면 다른 참가자는 공격자를 보지 못하지만 공격자는 다른 참가자와 회의 내용 전부를 볼 수 있게 됩니다. 심지어 유령인 상태에서 채팅도 할 수 있지만, 이럴 경우 공격자가 스스로를 노출시키는 것과 같아 가능성이 매우 낮죠.”
이를 가능케 하는 취약점은 CVE-2020-3419로, ‘유령합류(Ghost Join)’라는 이름이 붙었다. 또 다른 취약점은 CVE-2020-3471로, 회의 호스트가 공격자를 퇴출시켜도 회의 세션에 남아있을 수 있게 해 준다. “코로나로 인해 가상 회의가 많아진 시점에 이런 식의 은밀한 접속은 매우 많은 민감한 정보를 노출시키는 결과를 초래할 있습니다. 결정적 정보가 아니더라도, 소셜 엔지니어링 공격을 추가로 진행할 수 있을 정도의 정보는 취득할 수 있게 됩니다.”
마지막 취약점은 CVE-2020-3441이며, 회의가 시작되기 전 로비에서 회의 참석자들의 개인정보를 열람할 수 있게 해 준다. 이름, 이메일 주소, IP 주소, 연결 방식과 장비 등을 볼 수 있게 된다. “이런 정보들은 회의가 시작하기 전부터 이미 취득이 가능한 것으로 분석됐습니다. 즉 특정 회의의 참석자가 누구인지, 그들이 어느 지역에 있는지 파악하는 게 가능하다는 겁니다. 표적 공격을 실시하기에 유용한 정보입니다.”
재택 근무자가 많아진 요즘, 이런 정보는 특히 더 유용할 것이라고 몰로이는 설명을 이어간다. “표적의 IP 주소를 안다 하더라도 기업용 방화벽 뒤에 있다면 공격이 어려웠을지도 모릅니다. 하지만 요즘엔 그렇지 않죠. 집에 방화벽을 설치한 사람들은 많지 않으니까요. 보안이 상대적으로 약한 가정용 라우터가 방어막의 전부인 상태에서 누군가 내 IP 주소를 가져간다는 건 심각한 위험입니다.”
위에 언급된 모든 공격은 맥OS, 윈도, iOS용 웹엑스 미팅즈(Webex Meetings)와 웹엑스 룸 키트(Webex Room Kit) 모두에서 적용 가능한 것으로 밝혀졌다. 게다가 높은 수준의 해킹 기술이 필요한 것도 아니라고 한다. 몰로이는 “흔한 CTF 대회에 참가할 정도의 실력과 장비만 있으면 익스플로잇이 가능하다”고 설명한다.
따라서 웹엑스를 적극적으로 활용하고 있는 조직들이라면 이번에 시스코가 발행한 패치들을 서둘러 적용하는 것이 중요하다고 IBM은 강조했다. 여기에다가 웹엑스의 사용자이기도 한 IBM은 “약속된 시간에 회의 로비를 닫는다”고 귀띔했다. 이 시간을 넘겨서 합류하려면 호스트가 수동 절차를 통해 확인 및 승인 작업을 진행해야 한다. “또한 회의 세션 비밀번호를 어렵게 만들기 시작하기도 했습니다. 보안 연구를 통해 솔루션 및 회의 참석 문화가 바뀌었다고 볼 수 있습니다.”
3줄 요약
1. 시스코의 화상 회의 솔루션인 웹엑스에서 세 가지 취약점 발견됨.
2. 그 중 하나는 아무에게도 보이지 않게, 유령처럼 합류할 수 있게 해 주는 취약점.
3. 로비에서부터 개인정보 취득 가능하게 해 주는 취약점도 존재.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
