크랙, 인수분해 취약점, SSH 취약점...유럽연합에서도 암호화 언급
크랙 취약점은 패치도 아직 안 나와...다행히 익스플로잇 어려워
SSH 키 저장 및 관리 실태가 가장 큰 취약점...교육으로 해결 가능

[보안뉴스 문가용 기자] 지난 한 주는 암호화 기술 분야에 있어서 최악의 시기였다. 먼저는 키 재설치 공격을 가능하게 하는 크랙(KRACK) 취약점이 와이파이 및 무선 암호화 기술에서 발견됐고, 그 다음으로는 인수분해 취약점이 RSA 암호화 알고리즘에서 등장했다. 그런데 이게 다가 아니었다.

조금 덜 알려졌지만 SSH(시큐어 셸)에서도 약간의 문제가 발생했다. 워드프레스용 보안 서비스 전문 업체인 워드펜스(Wordfence)가 발견한 것으로, 한 위협 행위자가 2만 5천여 개 시스템을 매일 같이 스캔한다는 걸 발견했다. 이 단체 혹은 그 자가 사용하고 있는 키워드는 ssh, root, id_rsa 등이었다. 비밀 키가 잘못 저장되어 있는 경우를 노린 것이다.

워드펜스의 CEO인 마크 몬더(Mark Maunder)는 “지난 주 월요일부터 악성 IP 주소로부터 SSH 키를 스캐닝하는 비율이 하루 0번에서부터 25000여번으로 확 늘어났다”고 말했다. 그래서 워드펜스는 자사 고객들이 비밀 SSH 키를 잘 보관하고 있는지, 그 키들이 혹시 노출되어 있는 건 아닌지 확인할 수 있는 기능을 원래 서비스에 추가시켰다.

SSH는 텔넷, rsh/rsec을 대체하기 위해 만들어진 안전한 암호화 네트워크 프로토콜로 전 세계 구석구석 퍼져있지만 그 중요성이 간과되고 있다. 특히 원격 시스템으로부터의 로그인 과정을 보호하고 파일 전송도 안전하게 만들기 위해 고안된 것으로 워드프레스만이 아니라 관리자 대 기계(admin-to-machine), 기계 대 기계(machine-to-machine) 사이의 통신에 고루 활용된다.

워드펜스는 “아직까지 이러한 스캔 행위 후의 익스플로잇은 발견하지 못했다”고 말한다. “누군가 대량으로 SSH 키 관련 취약점을 수집해갔지만 실제 공격은 아직 일어나지 않았습니다. 불안하죠. 여기서 말하는 SSH 키 취약점이란, 사용자들이 키를 엉뚱한 폴더에 보관한다는 점이고요. 그러니 사실은 교육으로 해결할 수 있는 취약점이기도 합니다.”

보안 전문 업체 베나피(Venafi)도 최근 SSH 키와 관련한 연구 조사를 실시했다. 그 결과 90%의 사용자가 SSH 키가 어디에 저장되어 있는지 알고 있지 못하다는 걸 발견했다. “그 말인 즉, SSH 키가 잘못 저장되어 있다거나, 누군가 훔쳐갔다거나 오용하고 있다는 것도 알 수 없다는 뜻입니다.” 베나피의 설명이다.

SSH를 발명한 타투 일로넨(Tatu Ylonen) 본인 역시 조직들이 SSH 키를 제대로 관리하고 있지 않다고 애석해한 바 있다. 그러면서 가짜 SSH 키의 범람을 막기 위한 프로토콜 재정비가 필요하다고 주장했다. 하지만 이렇다할 진전은 사용자 측에서나 일로넨 측에서도 없는 상황이다.

한편 크랙 취약점 공개 그 이후
현대의 와이파이 호환 기기들 모두에게 영향을 주는 취약점인 크랙은 시스코에게 대단히 큰 문제로 다가왔다. 네트워크 분야의 거인 시스코는 지난 주 목요일 크랙 취약점이 발견된 이후 무려 71개의 제품에서 크랙과 관련된 취약점이 한 개 이상 발견됐다고 공지했다. 아직도 정식 패치는 나오지 않았고, 71개 제품의 고객들은 비공식적인 방법으로 보안을 강화시켜야 한다.

“시스코는 곧 소프트웨어 업데이트를 발표할 계획입니다. 그 동안 CVE-2017-13082 취약점에 대한 우회적인 조치를 취할 수 있습니다만 나머지 다른 취약점들은 그런 방법이 존재하지 않습니다.” 시스코가 공지 중 일부 내용이다. 71개 제품 외에 현재 개발 중에 있는 제품 22개도 크랙 취약점 점검을 다시 받아야 한다고 시스코는 밝혔다.

시스코 외에도 애플, 마이크로소프트, 구글 역시 크랙 취약점 소식을 듣고 패치 만들기에 나섰다. 마이크로소프트는 윈도우 7, 윈도우 8, 윈도우 8.1, 윈도우 10 기기들을 위한 패치를 발표했고, 애플은 아직 베타 버전만 완성시킨 상태다. 하지만 다행히도 전자프런티어재단(EFF)은 “이 취약점을 익스플로잇 하는 게 까다롭고, HTTPS로 암호화된 웹사이트의 경우 영향을 받지 않는다”고 발표했다.

유럽연합 집행위원회
그런 와중에 유럽연합 위원회의 회의에 암호화와 백도어에 대한 이야기가 다시 한 번 등장했다. 암호화 기술에 수사를 위한 백도어를 마련해야 한다는 건 모든 정부 기관 및 국제 기관의 입장이다. 다만 직접적으로 표현하느냐 에둘러 요구하느냐의 차이가 있을 뿐이다. 유럽연합은 후자였다.

“유럽연합 집행위원회는 사법 기관의 법 집행 능력을 지지합니다. 다만 무차별적인 규모의 시민들에게 영향을 줄 정도로 암호화 기술을 약화시키지 않는 선에서 말입니다.” 이는 언뜻 들어보면 사람들의 프라이버시를 우선시 하는 것처럼 들린다. 하지만 동시에 “수사에 필요한 전자 증거를 획득하기 위해서 유로폴이 복호화 기술을 개발하는 것 역시 지지한다”고 발표해 결국은 암호화를 깰 수 있다는 것에 그들의 최종적인 입장이 있다는 것이 확인됐다.

인수분해 취약점
그러한 과정 가운데 인수분해 취약점 역시 발견됐다. 발견된 곳은 인피니온 테크놀로지스에서 만든 TPM 칩셋에서였다. 이 칩셋은 암호화 키, 비밀번호, 인증서 등을 저장하는 데 사용되는 것으로, 카스퍼스키가 여기서 취약점을 발견해 공개했다. 공격자가 공개 키 정보를 획득해 비밀 키를 계산해 알아낼 수 있도록 해주는 취약점으로, 민감한 메시지의 복호화, 사용자 사칭, 서명 위조 등을 가능하게 해준다.

체코의 한 대학에서 발견한 이 취약점은 이미 2월에 구글, 마이크로소프트, HP, 레노보, 후지쯔에게 알려졌으며, 업데이트가 나왔다. “전자 시민권 서류, 인증 토큰, 신뢰받는 부트 기기, 소프트웨어 패키지 서명, TLS/HTTPS 키와 PGP 등 다양한 영역에서 취약한 키를 발견해 분석했습니다. 현재까지 찾은 취약한 키의 숫자는 76만 개이지만, 실제로는 이보다 두세 배 많을 것으로 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>