• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

인박스의 이메일도 조작 가능케 해주는 로프메이커 익스플로잇 2017.08.23

마치 홈페이지 업데이트 시키듯 이메일 내용 바꿀 수 있게 돼
메일 내용 속 URL을 악성 URL로 바꿔치는 등의 공격도 가능

[보안뉴스 문가용 기자] 인박스에 무사히 도착한 이메일이라고 해서 안전한 건 아니다. 요즘은 이메일 가로채기 기술이 극도로 발전해 공격자들이 스팸 필터를 아무렇지도 않게 우회하기 때문이라고 이메일 보안 업체 마임캐스트(Mimecast)는 설명한다.

[이미지 = iclickart]


그러한 예가 최근 마임캐스트가 발견한 로프메이커(Ropemaker)다. 로프메이커는 새로운 이메일 익스플로잇으로 이메일의 내용을 공격자가 마음대로 바꿀 수 있도록 해준다. 그것도 사용자의 메일함에 이미 도착한 메일이라도 말이다. 심지어 사용자의 이메일 인박스에 직접 접근하지 않아도 된다고 한다.

그러므로 로프메이커만 있으면 공격자들은 1) 이메일 내 멀쩡한 URL을 악성 URL로 바꾸거나 2) 텍스트 편집을 통해 사기성 내용을 꾸미거나 3) 아예 본문 텍스트를 통째로 악성 URL로 만들어버릴 수 있다.

마임캐스트의 사이버 보안 전략가인 매튜 가디너(Matthew Gardiner)는 로프메이커가 특정 제품이나 서비스의 취약점을 노리는 것이라고 말하기도 애매하고, 이메일이나 인터넷의 기본 구조에서부터 발생하는 문제라고 말하기도 애매하다고 말한다. “전혀 새로운 방식의 공격일 수도 있습니다. 로프메이커가 어떤 항목에 속하는 공격이냐를 결정하려면 좀 더 심도 깊은 논의가 진행되어야 할 것 같습니다.”

이 ‘항목화’가 중요한 이유는 로프메이커 공격이 발생했을 때 책임을 물어야 할 조직이나 단체가 존재하지 않기 때문이다. 도대체 어떤 문제로부터 이 공격이 탄생한 것이기에 그러는 것일까? 가디너는 “아웃룩이나 애플 메일처럼 PC를 기반으로 한 이메일 애플리케이션들이 이메일을 시각적으로 더 아름답고 역동적으로 만들기 위해 다양한 웹 기술을 활용하는 부분에서 공격이 성립된다”고 설명한다. 지메일처럼 브라우저를 기반으로 한 이메일 서비스의 경우, 로프메이커 공격이 통하지 않는다고도 덧붙였다.

“기본적으로 로프메이커는 여태까지 발전된 웹 기술들 때문에 존재한다고 볼 수 있습니다. 현재 인터넷 상에는 정말 많은 웹 기술들이 존재하는데, 이 기술들은 ‘호환성’이라는 이름 아래 상호작용을 하지요. A와 B라는 기술이 완전히 별개로 개발되고 사용되지만, 네트워크로 연결되는 순간 서로 호환이 되어야 하는 게 웹 기술들의 공통된 특징이라고 볼 수 있죠. 즉, 서로가 서로의 실행, 기능, 호환성에 영향을 주도록 얽히고설킨 관계라는 것입니다.”

예를 들어 웹에서는 로컬 사용자가 어떠한 행동을 취하지 않더라도 원격에서 마련되고 통제되는 콘텐츠와 자원들이 끊임없이 호출되곤 한다. 이 때 웹 페이지의 레이아웃, 폰트, 색 등 HTML 콘텐츠의 다양한 기능, 역할, 모양들은 CSS라는 것으로 정의된다. CSS는 통제 요소와 콘텐츠 요소를 분리해, 콘텐츠가 어떤 식으로 노출되어야 하는지를 명확히 한다.

이러한 CSS의 역할을 이메일이라는 상황에 대입해보자. 원격에서 호스팅된 CSS 파일만 있으면 통제 요소와 콘텐츠 요소에 접근이 가능해진다는 뜻이 된다. “웹 페이지도 계속해서 업데이트 되고, 내용이 바뀌고, 배경 음악이 바뀌고, 대문 이미지가 바뀌잖아요? 그런 것처럼 CSS를 통해 이메일 내용을 업데이트 할 수 있어요. 그러니까 로프메이커 공격은 CSS와 같은 웹 기술을 통해 이메일을 마치 홈페이지 바꾸듯 변경시킬 수 있게 해주는 거라고 볼 수 있습니다.”

그렇기에 원하는 style을 갖춘 CSS와 자동으로 연결하도록 옵션이 설정된 이메일 클라이언트는 이 공격에 위험할 수밖에 없다고 마임캐스트는 강조한다. 그러면서 두 가지 대표적인 공격 시나리오를 작성하기도 했다. “하나는 이메일 내부에 언급된 정상 URL을 악성 URL로 바꿔치기 하는 겁니다. 두 번째는 저희끼리 매트릭스 익스플로잇(Matrix Exploit)이라고도 부르는데, 공격자가 ASCII 텍스트 매트릭스를 한 글자 한 글자 전송하고 나서 원격 CSS 파일을 가지고 이를 통제해가며 받는 사람이 볼 화면을 조작하는 겁니다.”

애플 메일의 경우 원격 자원을 자동으로 활성화시키거나 사용하지 못하게 사용자가 옵션을 조정할 수 있다. “하지만 이 기능을 활용하는 사용자가 그리 많지는 않을 겁니다.” 또한 대부분의 이메일 클라이언트들은 로컬 CSS를 사용하긴 하지만, HTML은 원격 CSS의 사용을 가능하게 한다. 공격자로서는 이를 활용하는 게 가능하다. “일반 사용자들은 CSS가 어디에 호스팅되어 있는지 신경도 안 씁니다. 이메일 출처를 확인하려고 HTML을 열람할 때에야 CSS의 위치가 보일 뿐이죠. 하지만 누가 HTML 소스보기를 하겠습니까?”

마임캐스트는 “아직 이 공격이 대단히 많이 퍼진 건 아니”라고 설명한다. “지금이라도 CSS 등의 외부 소스를 자동으로 가져오는 걸 그만두어야 하고, 당분간 웹을 기반으로 한 메일 서비스를 사용하시는 편이 안전합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>