등록 과정과 암호 리셋 절차에 문제 발견
제작사 측은 소셜 기능 없애고 자동 업데이트 실시

[보안뉴스 문가용] 올림픽이 코앞으로 다가온 것보다 정보보안 업계 종사자들에게 더 큰 소식이 있으니 바로 블랙햇(Black Hat)이다. 블랙햇을 주관하는 UBM은 iOS 및 안드로이드용 앱을 제작해 블랙햇에 대한 정보를 사용자들이 쉽게 접할 수 있도록 하고 있는데, 보안 전문업체인 룩아웃(Lookout)이 최근 몇 가지 치명적인 오류를 발견했다.

해당 앱 이름은 Black Hat USA 2016으로 UBM이 의뢰해 더블더치(DoubleDutch)라는 개발사에서 제작했으며, 설치시 사용자들에게 블랙햇의 주제, 강연자, 참가 업체, 스폰서 등의 정보를 제공하는 것을 주요 기능으로 하고 있다. 올해는 특별히 소셜 네트워크 요소도 첨가되어 행사 기간 동안 만난 사람들과도 보다 긴밀한 연락을 주고받을 수 있게 해놓았다.

하지만 이 소셜 기능은 룩아웃의 취약점 발견 이후 삭제되었다. 삭제되기 전 버전의 앱에서 발견된 취약점은 공격자들이 크리덴셜을 탈취한 후 사용자인 것처럼 위조로 로그인을 할 수 있게 해준다고 한다.

앱을 설치한 사용자들은 이전에 사용된 메일 주소만 아니라면 그 어떤 주소로도 ‘등록’을 할 수 있다. 등록한 이메일에 대한 확인 작업이 따로 수행되지 않는다. 메일 주소만 알면 얼마든지 다른 사람으로 가장해, 가짜로 활동 피드를 업로드하거나 메시지를 보낼 수 있는 것. 게다가 계정 등록 시 적어 넣어야 하는 프로필 정보란에도 사실상 아무런 제한이 없어 이런 식의 공격은 매우 쉬워진다.

룩아웃은 이것 외에 암호를 새로 설정하는 기능에도 문제가 있다고 지적했다. 로그인 한 상태의 사용자가 패스워드가 리셋된 계정에도 접속이 가능하다는 걸 발견한 것. 이는 인증 토큰이 암호화 리셋 후 종료되지 않도록 설정되어 있어서 발생한 문제다. “누군가를 겨냥해 그 사람이 가장 사용할 확률이 높은 이메일로 먼저 등록하는 공격도 가능한데, 암호를 바꿔도 방어를 할 수가 없는 것이니 공격이 끝나지 않을 거라는 뜻이 되죠.”

현재 해당 앱의 업데이트는 자동으로 이루어지고 있는 상태다. 블랙햇 뿐 아니라 보안을 중심으로 한 컨퍼런스 전용 앱에서 취약점이 발견된 건 이번이 처음이 아니다. RSA 컨퍼런스 앱에서도 올해 초 취약점이 발견된 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>