HTTPS로 보호되는 수십개 VISA 사이트들, Forbidden attack에 취약

[보안뉴스 민세아] HTTPS VISA 사이트가 공격에 노출돼 약 7만여 개의 서버가 위험에 처한 것으로 알려졌다.


알약 공식 블로그에 따르면, ‘포비든 어택(Forbidden attack)’이라는 해킹 공격 기술로 인해 수십 개 HTTPS VISA 사이트가 공격에 노출돼 있다는 소식이다.

발표에 의하면 사용자 브라우저에 변조된 콘텐츠를 담고, 악성 JavaScript 코드를 삽입한 해킹 공격과 184개의 취약한 서버를 세계 각국 출신의 연구그룹이 발견했는데, 이 중에는 독일 주식거래 사이트 Deutsche Börse와 폴란드 은행 그룹 Zwizek Banków Polskich가 포함된 것으로 알려졌다.

보안 엔지니어링에서 한번만 사용되는 nonce라는 임의의 비트 스트링이 있는데, 해당 익스플로잇은 데이터 암호화에 동일한 암호 nonce를 재사용하는 TLS 프로토콜 때문에 발생하는 것이다. nonce의 재사용으로 해커들은 사이트 콘텐츠를 인증하는데 사용되는 중요 요소들을 만들어낼 수 있다. 이는 약 10년 전부터 알려져 왔던 익스플로잇이다.

브라우저가 HTTPS로 보호되는 사이트를 처음으로 접속할 때 동일한 nonce를 사용하면, 해커들이 전송에 가짜 컨텐츠를 삽입해 이를 해커와 공유되게 할 수 있게 되는 것이다. 이는 암호화되지 않은 Wi-Fi 네트워크나 동일한 LAN 세그먼트 등의 채널을 통해 가능하다.

하지만 현재까지는 전송 시 변조만으로는 사용자에게 경고할 만한 의심 행위를 하지 않는 것으로 확인됐다.

연구진은 초기 타깃 발견 검사와 취약점 검사 두 가지로 나뉘어 진행된 연구조사의 발표 보고서를 통해 “해당 공격으로 해커들은 인증키를 알아내 메시지를 변조할 수 있다. nonce가 한번만 재사용되어도 인증에 실패하게 되기 때문에 HTTPS 변조 공격이 가능했다”고 밝혔다.

Deutsche Börse를 비롯한 몇몇 기관들은 해당 이슈를 패치했으나, Visa와 Zwizek Banków Polskich는 여전히 취약점에 노출되어 있는 것으로 알려졌다.

뿐만 아니라 해당 연구진들의 조사과정에서 IBM의 도미노(Domino) 웹서버와 래드웨어(Radware)의 로드밸런서에서 TLS 취약점을 발견했으나, 지금은 패치됐다고 밝혔다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>