최초 보고에 쉘쇼크 언급되어 수사에 혼선

야후와 최초 발견 보안전문가 사이 공방전이 더 눈길

[보안뉴스 문가용] 야후의 CISO인 알렉스 스타모스(Alex Stamos)는 이번 주말에 일어난 해킹 사고와 쉘쇼크는 연관이 없다고 입장을 표명했다. 스타모스는 또한 해킹 공격이 일어나는 동안 어떠한 사용자 정보도 외부 세력에 의해 접근당한 기록이 없다고 했다. 프리랜서 보안전문가인 조나단 홀(Jonathan Hall)이 루마니아의 해커들이 배시 버그를 이용해 최근 야후의 네트워크 서버에 침입했다는 발표를 한 후였다.

물론 처음에는 야후 측에서도 쉘쇼크와 관련이 있다는 것으로 발표했다. “하지만 사건을 꼼꼼하게 조사하다보니 쉘쇼크와는 전혀 별개의 사건이었습니다. 이번에 야후 서버에 침투한 공격자들은 자신들의 익스플로잇을 변화시켜서 IDS/IDP와 WAF 필터들을 우회할 수 있었습니다. 야후 스포츠 팀에서 당시 웹 로그의 파싱과 디버깅에 활용하던 감시 스크립트 내에 있던 명령 삽입 버그에 꼭 맞도록 자기들이 기존에 가지고 있던 익스플로잇을 변화시킨 것이죠.” 스타모스의 설명이다.

스타모스에 의하면 이번에 공격을 받은 서버는 세 개에 불과하다. 그리고 이 서버들은 라이브 게임 스트리밍 데이터를 제공하는 네트워크와는 분리되어 있으며, 그렇기 때문에 사용자 정보는 무사하다는 게 그들의 설명이다. “처음 보고된 ‘쉘쇼크로 인한 피해’라는 내용 때문에 수사가 처음에는 혼선을 겪었습니다. 이미 저희는 쉘쇼크 패치를 전부 완료한 상태였기 때문이죠.”

“네트워크와 문제가 발생한 서버가 서로 분리되어 있다는 걸 확인한 후 스택 전체의 공격 코드를 추적하기 시작했습니다. 수사 끝에 문제의 뿌리에 도달할 수 있었는데, 쉘쇼크는 전혀 아니었습니다. 이 사례가 공격자나 방어자 모두에게 좋은 사례로 남았으면 좋겠습니다. 버그나 취약점을 수사할 때 미리 선입견을 절대 가지면 안 된다는 것이죠.”

하지만 조나단 홀은 이를 다 믿지 못하겠다는 입장이다. 공격자들이 맞춤형으로 변화시켰다는 익스플로잇이 쉘쇼크 페이로드였다는 것이다. “문제가 전부 해결되었다는 것도, 사용자 정보가 모두 안전하다는 것도 사실 못 믿겠습니다. 야후의 이번 해킹 사건은 분명히 쉘쇼크 취약점에서부터 비롯되었으며 야후의 주장처럼 야후 스포츠의 서버에서부터 시작한 것도 아닙니다. 어떻게 아냐고요? 그 자리에서 실시간으로 지켜봤으니까요.”

사실 사건 자체만큼 홀과 야후의 공방전도 뭇 사람들의 이목을 끌고 있다. 처음 이 사건이 만천하에 공개되었을 때 홀은 야후 측에서 자신의 보고에 대해 전혀 응답하지 않는다고 했으며 급기야는 야후의 CEO인 머리사 메이어(Marissa) Mayher)에게 트윗과 이메일까지 보내기에 이르렀다.

하지만 야후 측의 이야기는 다르다. 홀의 메시지는 야후에서 운영하고 있는 버그바운티 프로그램에 하나도 접수가 되지 않았다는 것이다. 버그바운티 프로그램뿐 아니라 야후 보안 팀원의 이메일 계정에 그 어떤 메일도 들어오지 않았다는 게 그들의 주장이다. “저희는 메이어 CEO에게 메일이 도착한지 1시간 만에 수사에 착수했습니다. 저희 팀에서 메일을 받았어도 똑같이 응대했을 겁니다.”

“야후는 외부에서 들어오는 버그 관련 보고에 관심이 많습니다. 저희 명성과 사업에 직접적인 영향을 끼치는 것이기 때문이죠.” 이 부분에서는 조나단 홀 역시 어느 정도는 수긍하는 분위기다. 야후의 버그바운티 프로그램에 대해 인지하지 못했다고 인정한 것이다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>