클라우드플레어의 CEO, “그리 큰 위험 아닐 것”
일부 전문가들, “위험하지 않으면 왜 대대적으로 알렸나?”

[보안뉴스 문가용 기자] 콘텐츠 배포 네트워크 업체인 클라우드플레어(Cloudflare)에서 발견된 클라우드블리드(Cloudbleed) 취약점 때문에 수개월 동안 민감한 정보가 새나갔을 수 있다는 사실이 드러나며 지난 주 업계가 시끌시끌했다. 언제부터 언제까지, 누가 어떻게 이 문제점을 악용해왔는지 알아낼 방법이 없어 더 심각하게 다가왔던 문제였다.


다만 당시 클라우드플레어의 로그 조사 결과 공격자들이 이를 악용해왔다는 증거가 나타나지 않아 생각보다 큰 피해가 발생하지 않았을 가능성이 높다는 CEO의 발표가 있긴 했다. 클라우드플레이어의 CEO인 매튜 프린스(Matthew Prince)가 지난 주 수요일 “클라우드플레어의 고객 대부분이 무사한 것으로 보인다”고 발표한 것이다.

이 발표를 하기 전까지 클라우드플레어는 리버스 프록시 서버와 여러 검색엔진들의 캐시에 저장된 수천만 개의 웹 페이지들을 검사했으며, 클라우드플레어의 내부 쿠키와 헤더가 다량으로 노출되어 있다는 사실을 발견했다. 하지만 비밀번호, 신용카드 번호 등과 같은 민감한 정보가 누군가에게로 유출됐다는 정황은 발견하지 못했다.

클라우드블리드는 클라우드플레어가 엣지 서버(edge server)를 통과한 콘텐츠를 수정할 때 사용하는 스트림 파서(stream parser) 애플리케이션이 HTTP 요청을 처리할 때 나타나는 불완전성에서부터 발생한다. 스트림 파서 애플리케이션이 요청에 직접적으로 해당되는 HTML 페이지로부터 메모리를 읽을 뿐 아니라 다른 사용자의 HTTP 요청에 대한 응답 데이터가 담겨 있는, 인접 메모리(adjacent memory)의 내용도 읽는 것이다.

이러한 오류가 이미 발동된 페이지에 접근하면 페이지 맨 끝에 ‘무작위 텍스트’가 나타난다. “그렇기 때문에 이 텍스트가 무슨 정보인지 알아보기가 힘들다”고 매튜 프린스는 주장한다. 즉, 이 오류가 생각보다 심각하지 않다는 것. 하지만 이런 데이터들은 웹 스크래퍼와 검색엔진의 캐시에 저장돼 보관되기도 한다. 하지만 정보의 의미를 아무나 파악할 수 있다는 사실 자체에는 변화가 없기 때문에 “운이 지독히 없어야만 데이터를 잃는 게 가능한 수준”이라고 매튜는 주장했다.

“누군가 아무 집 창문에 대고 대화를 잠깐 엿들었을 때 중요한 정보가 얼마나 유출될까요? 보통은 쓸데없는 이야기 내용만 듣겠죠. 공격자 역시 운이 좋아야만 하지 않을까요? 이번에 발견된 클라우드블리드 취약점은 이런 예와 다를 게 없습니다. 운 좋게 민감한 정보가 입수될 수도 있겠지만, 그 확률은 현실적으로 매우 낮아 보입니다. 누군가 이 취약점을 먼저 발견했다고 한들 그리 매력적인 익스플로잇 요소가 아니라는 것이죠.”

그렇기 때문에 클라우드블리드로 가장 큰 피해를 입었을 것으로 보이는 사람 혹은 기업은, 클라우드플레어의 네트워크를 통해 가장 많은 요청을 전달한 이들이다. 한 달에 1천만 페이지의 요청을 했을 경우 유출된 정보의 확률은 1페이지도 되지 않는다고 하니, 이것보다 더 많은 요청을 한 사람들일수록 피해를 입었을 확률이 높다. 한 달에 5천만에서 10억 건의 페이지 요청을 한 경우, 약 56~112 페이지 정도가 유출되었을 것으로 보고 있다.

하지만 클라우드플레어의 이러한 발표에 대해 모두가 긍정적인 반응을 보이는 건 아니다. 웹 보안 전문업체인 하이테크 브리지(High-Tech Bridge)의 일리아 콜로첸코(Ilia Kolochenko) CEO의 경우 클라우드플레어가 매우 투명하게 해당 사건의 세부사항들을 공개했다고 보고 있으며 “매튜 프린스의 주장에 별다른 결점을 찾을 수가 없다”는 의견이다. 숫자가 조금씩 다를 수는 있겠지만 큰 흐름에는 동의한다는 것이다.

콜로첸코는 심지어 이번 사태를 하트블리드에 빗대어 ‘클라우드블리드’라고 부르는 것 자체도 동의하지 않는다. “하트블리드는 전 세계 거의 모든 조직과 모든 소프트웨어에 영향을 주는 어마어마한 사건이었습니다. 심지어 보안 전문업체라는 곳들도 대부분 이 취약점에서 자유롭지 못했죠. 클라우드플레어 사가 겪은 이번 사건과는 그 영향력과 규모 면에서 상대가 되지 않습니다.”

하지만 애플리케이션 보안 전문업체인 프레보티(Prevoty)의 쿠날 아난드(Kunal Anand) CTO는 클라우드플레어의 결과보고가 ‘의심된다’고 말하는 쪽이다. “일단, 클라우드플레어가 이걸 스스로 대대적으로 공개했다는 것 자체가 ‘간단치 않은 문제’임을 방증하죠. 프린스의 말 대로 정말 별거 아닌 사건이라면 왜 굳이 이를 세상에 공개했을까요?”

게다가 클라우드플레어의 주장에 따르면 HTTP 헤더, 쿠키에 민감한 정보가 별로 담겨있지 않을 거라는 생각을 할 수 있는데, 이는 잘못된 것이라고 쿠날은 주장한다. “HTTP 헤더, 쿠키 등에는 세션 식별자, 인증 쿠키, IP 주소 등 굉장히 민감한 정보가 담겨 있습니다. 이런 정보들 역시 악용 소지가 충분한 사적인 데이터죠.”

클라우드플레어는 여러 검색엔진들에 연락해 캐시를 지워달라고 요청하기도 했다. 쿠날은 “이런 과정에서 민감한 정보가 유출되었다는 증거 또한 삭제되었을 가능성이 높다”며, 클라우드플레어가 이를 의도한 것일 수도 있다고 주장한다. “게다가 캐시 지우기부터 서둘러 진행했기 때문에 지금에 와서는 사건의 정확한 규모를 파악하기가 힘들어졌죠.”

이번에 발견된 클라우드플레어 문제는 일단락 지어진 것으로 보인다. 다만 일부 보안 전문가들은 아직 클라우드블리드의 피해 규모를 확인할 수 없으니 조금은 더 기다려야 한다는 의견이다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련