지난해 도입한 오라클 새 보안기능에서 취약점 발견

취약점 공략법 알려지지 않아 아직은 위험한 상태 아냐

[보안뉴스 문가용] 오라클의 데이터베이스 전문가인 데이비드 릿치필드(David Litchfield) 씨는 오라클에서 도입한 데이터 표시제안 기능(Data Redaction)이 민감한 정보를 숨겨주는 ‘영악한’ 방법이라고 평했다. 하지만 이 ‘영악한’ 방법도 무결하지는 않았음이 드러났다.

주민번호나 신용카드 번호 등의 민감한 데이터를 침입자의 눈으로부터 숨겨주는 원래 기능 자체에도 결점이 있지만 웹용 SQL 인젝션을 통한 해킹도 가능하다는 사실이 밝혀진 것.

오라클의 표시제안이란 데이터베이스 관리자가 SQL 쿼리 결과에서 민감한 정보를 선택적으로 혹은 전체적으로 마스킹할 수 있도록 권한을 주는 기능이다. 이러면 사용자는 관리자가 허가한 정보만을 열람할 수 있게 된다. 오라클은 11g Release 2의 데이터베이스도 업데이트 해서 이 기능을 추가시키고 있다.

오라클의 보안 소프트웨어 총괄 책임을 맡고 있는 트로이 키치(Troy Kitch) 씨는 지난해 블로그를 통해 데이터 표시제안 기능에 대해서 다음과 같이 표현했다. “표시제안 기능은 SQL 쿼리 결과가 출력되기 전에 민감한 정보를 선택해서 그때그때 숨겨주는 기능으로, 권한이 없는 사용자가 정보값을 볼 수 없게끔 만들어줍니다. 동일한 데이터베이스 정보에 접근하는 애플리케이션 모듈 전체의 데이터베이스를 일괄적으로 마스킹하는 기능입니다. 또, 기존의 데이터베이스 마스킹 기법은 애플리케이션 코딩과 새로운 소프트웨어 요소들에 대한 의존도가 높았던 반면 오라클의 표지제안 기능은 데이터베이스 커널에서 직접 실행됩니다.”

하지만 릿치필드 씨는 직접 실험을 해보며 이 기능 역시 ‘무사통과’하는 것이 가능하다는 것을 밝혀냈다. “제법 취약한 구석이 많았습니다. 최종 테스트를 거치지 않았나 싶을 정도로요. 적어도 모의해킹 같은 건 안 한 게 분명합니다.” 그는 설명을 이어갔다. “오라클의 표시제안 기능은 잘 구현만 된다면 현장에서 무척 유용하게 쓰일 방법이긴 합니다. 하지만 사용자의 열람은 제한해도 관리자의 열람 행위는 막지 않기 때문에 공격자가 자신의 권한을 높이면 숨겨진 정보에 얼마든지 접근할 수 있습니다.”

이것뿐만이 아니다. 아예 이 표시제안 기능을 없는 것마냥 취급하는 것도 가능하다는 게 릿치필드 씨의 실험결과다. 여러 방법이 있지만 특별히 웹 기반 SQL 인젝션 취약점을 공략하면 간단하게 이 기능을 지나쳐버릴 수 있다고 한다. 릿치필드 씨는 자신이 찾아낸 이런 방법들을 다음 달에 열리는 블랙햇 컨퍼런스에서 공개할 예정이다. 물론 오라클 쪽에 이미 이런 취약점들에 대한 보고를 마친 상태이며 오라클은 현재 이에 대한 개선작업을 진행하고 있는 중이다.

릿치필드 씨는 “이 기능의 컨셉 자체는 굉장히 유용하며 리스크를 크게 줄여주기 때문에 앞으로 데이터베이스 보안 분야에서 큰 인기를 끌 것으로 예상합니다. 제가 찾은 취약점들이 오라클을 폄하하는 게 아니라 강화하는 데 일조했으면 좋겠습니다. 게다가 아직 패치 작업이 진행 중이라고는 하나 여전히 강력하고 보안성이 높은 소프트웨어임에 분명합니다. 아직 해킹 방법이 널리 알려지지도 않은 상태고요.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>