미국 대학 연구팀에서 5개 프로그램 철저히 분석

몇몇 프로그램은 보안의 기본마저 무시한 수준

[보안뉴스 문가용] 웹 기반형 암호 관리 프로그램에서 다량의 취약점이 발견되어 암호 관리 프로그램 개발사들은 당분간 가시방석 신세가 될 전망이다. 자세한 기술 정보는 8월 샌디에고에서 열릴 유즈닉스(Usenix) 컨퍼런스에서 가감 없이 공개될 예정이지만 대략의 과정과 결론을 담은 리뷰는 이미 발표된 상황이다.

이 사실을 발견한 연구팀은 버클리에 있는 캘리포니아대학 소속으로 치웨이 리(Zhiwei Li) 씨가 이끌고 있으며 이 취약점들을 크게 네 가지로 분류하고 있다. 또한 리뷰에는 각 취약점에 대한 케이스 스터디도 포함되어 있다. 이 네 가지 항목은 북마클릿 취약점, 웹 취약점, 인증 취약점, 사용자 인터페이스 취약점이다.

“심각한 상황이었습니다. 암호 관리 프로그램 다섯 개를 분석했고 저희 팀은 이 중 네 개를 뚫고 사용자의 정보를 빼낼 수 있었습니다. 게다가 일회용 암호, 북마클릿, 공유 암호 등 여러 기능에 걸쳐 다양한 취약점을 발견했습니다. 이런 취약점이 발생하는 원인도 한두 가지가 아니었습니다. 로직에 문제가 있거나 인증에 오류가 있기도 했고 웹 보안 모델에 대한 몰이해가 보이기도 했습니다. 거기다 CSRF나 XSS 같이 흔히 보이는 취약점은 덤이었고요. 아직 암호 관리 프로그램은 가야 할 길이 먼 듯 합니다.”

이들이 실험한 암호 관리 프로그램은 래스트패스(LastPass), 로보폼(RoboForm), 마이1로긴(My1login), 패스워드박스(PasswordBox), 니드마이패스워드(NeedMyPassword)였다. 캘리포니아대학의 이 팀은 프로그램들에서 발견된 취약점들을 정리해서 각 회사에 알려주었고 몇몇 회사들은 벌써 업데이트 제작에 들어갔다고 한다. 래스트패스, 로보폼, 마이1로긴이 제공하는 기능들 중 몇몇의 경우는 사용자 정보로의 접근이 매우 용이해 해킹 작업이 필요 없을 정도였고 심지어 자바스크립트의 북마클릿 코드를 활용한 자동채우기도 가능했다고.

“북마클릿 기능을 가진 제품 세 개 모두에서 치명적인 취약점을 발견할 수 있었습니다. 사용자가 감염된 채 북마클릿 기능을 클릭하면 개인정보가 곧바로 공격자에게 전송되더라고요.” 이 중 래스트패스는 빠르게 취약점을 수정했고 “사용자의 1%도 안 되는 수만이 북마클릿 기능을 사용했기 때문에 피해가 크지 않을 것이라고 본다”고 입장을 표명했다.

래스트패스는 이 기능뿐 아니라 1회용 암호 기능을 통한 공격의 가능성도 이번 기회에 차단했다. “이 기능이 가지고 있던 취약점을 CSRF 방식으로 공격하니 사용자의 정보가 저장되어 있는 모든 사이트를 파악하고 래스트패스를 통해 사용자가 만든 데이터베이스까지도 탈취할 수 있었습니다. 암호를 해제하는 과정조차 필요가 없었습니다.”

래스트패스는 이에 대해 “1회용 암호 기능을 통한 공격은 ‘타깃형 공격’에만 취약했습니다. 즉 공격자가 사용자의 사용자이름을 알아야만 공격이 가능해진다는 것이죠. 그렇게 극적인 개인 맞춤형 공격은 아직 한 번도 본 적이 없습니다”라며 “설사 그런 공격이 실제로 일어났다고 하더라도 공격자에겐 암호화된 사용자 정보를 해독할 방법이 없습니다”라고 설명했다.

이번 보고서의 의의는 어디까지나 암호 관리 프로그램 개발자들이 좀 더 나은 프로그램을 만들도록 하기 위함이라고 강조한 치웨이 리 씨는 “저희가 발견한 취약점이 너무 다양해서 패치 작업이 쉽지 않을 것입니다. 저희의 보고서가 이번 사건을 해결할 패치보다 암호 관리 프로그램의 기본부터 다지는 역할을 했으면 좋겠습니다. 또한 이런 취약점들을 자동으로 적발해내는 자동화 프로그램 역시 개발되어 패치 없이도 튼튼한 암호 관리 프로그램이 시중에 나오길 기대합니다”라고 거듭 강조했다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>