• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

구글, 내부 취약점 데이터베이스 뚫리고 리캡챠도 뚫리고 2017.10.31

알렉스 버산이라는 보안 전문가, 구글 기업 메일 통해 내부 DB에 접근
엄청난 양의 취약점들...공격자들에게도 유용한 정보

[보안뉴스 문가용 기자] 알렉스 버산(Alex Birsan)이라는 보안 전문가가 구글 내부의 버그 추적 시스템을 침해해 가장 심각한 취약점들을 열람하는 데 성공했다. 구글은 이슈 트래커(Issue Tracker) 혹은 버거나이저(Buganizer)라고 내부적으로 부르는 구글 취약점 관리 시스템을 통해 보안 전문가들이나 버그 헌터들이 구글 제품과 서비스에서 찾아낸 문제들을 관리 및 저장해오고 있다.

[이미지 = iclickart]


버산은 “이슈 트래커의 존재에 대해 전혀 알지 못했다”고 말하며 “일부 외부인 자격으로도 이슈 트래커를 아는 사람도 있었던 것 같지만, 우리가 아는 건 빙산의 일각에 불과했다”고 정리한다. 버산은 구글의 기업 메일 주소를 스푸핑해서 시스템의 백엔드에 침투하는 데 성공했다. 구글 시스템은 버산의 접근 시도에 대해 ‘내부 직원’이라고 판단했고, 각종 버그에 관한 보고서들을 열람할 수 있도록 했다. “심지어 업데이트를 원하는 보고서들은 표시를 해둘 수 있도록 했습니다.”

버산은 이슈 트래커에 대해 “구글 내부적으로 유지하는 데이터베이스로 개발 과정에서 추가될 기능을 요구한다거나 버그가 발견되었을 때 해당 정보를 공유하는 데 사용된다”고 설명한다. 이는 “내부 직원에게는 공개되지만 외부인의 경우 구글이 선정한 특정 파트너들에게만 공개된다”고 설명한다.

“즉 누군가 구글 제품에서 문제를 발견하고, 이를 구글에 알렸다면 그 정보는 전부 이슈 트래커에 들어간다는 겁니다. 자기 제품의 취약점에 관한 정보니 당연히 내부적으로만 간직하고, 필요할 때 극히 일부분만 선택된 누군가에게 보이는 것이고요. 제가 본 바로는, 근무 시간 동안은 시간당 약 2000~3000개 문제들이 내부적으로 열람됩니다. 이 중 외부에 공개되는 건 0.1%에 불과합니다.”

버산은 이슈 트래커 내에서 ‘정말 심각한 수준의 위험성을 가진 취약점’ 혹은 ‘0순위’ 취약점들도 다수 발견했다고 말했다. 그는 트래커 이슈에 도달하기 위해 다양한 방법들을 동원했고, 이 과정에서 다수의 취약점들을 익스플로잇했는데, 각 취약점들마다 별개의 ‘버그바운티 보상’을 받았다. 그중 하나의 취약점은 7500달러에 달했으며, 버산은 총 15,600 달러의 보상금을 구글로부터 받았다.

버산은 “구글과 같은 기업이 관리하고 있는 버그 관련 정보들은 공격자들이 군침을 흘릴만한 먹잇감”이라고 말한다. “제로데이 공격 능력을 높이고자 하는 공격자들은 특히나 군침을 흘릴만하죠”는 보안 업체(Tripwire)의 수석 연구원인 크레이그 영(Craig Young)의 설명이다. “취약점 정보는 공격자에게 대단히 소중합니다. 왜냐하면 시간을 아낄 수 있기 때문입니다. 취약점 찾는 시간이 줄어들고, 익스플로잇 개발 시간이 늘어날수록 공격은 효율적으로 이뤄지죠.”

마크 버산이 직접 작성한 세부 기술 정보는 여기서 열람이 가능하다(영문).

한편 메릴랜드대학의 보안 연구원들은 봇으로 인한 자동화 공격을 탐지해내는 데 사용되는 구글의 리캡챠(reCaptcha)를 뚫어내는 데 성공했다. 이들은 언캡챠(unCaptcha)라는 툴을 만들어 리캡챠 V2의 오디오 기능을 익스플로잇 했다고 한다. “실제 웹사이트를 대상으로 리캡챠를 속이려는 시도를 450번 진행했고, 성공률이 85.15%였습니다. 공격에 걸리는 시간은 평균 5.42초였고요.”

리캡챠는 2014년 처음 도입된 것으로 사람과 봇을 구분하기 위해 고안됐다. 화면에 보이는 이미지를 보고 뭔가 행동을 취함으로써 스스로가 사람임을 입증할 수 있게 한 시스템인데, 이는 시각 장애자의 경우 통과하기가 매우 어렵다는 단점을 가지고 있다. 그래서 구글은 오디오 시스템도 여기에 도입했는데, 언캡챠는 바로 이 부분을 공략한다. “리캡챠의 오디오 옵션을 활성화시킵니다. 그러면 소리 파일이 다운로드 됩니다. 다음으로 음성을 텍스트로 변환시키는 온라인 서비스를 활용해 해당 사운드 파일이 어떤 글자를 내포하고 있는지 파악할 수 있습니다. 그러면 그 글자를 통해 인증 과정을 통과할 수 있게 되죠.”

구글의 리캡챠는 그 동안 반복적으로 ‘뚫려’왔다. 지난 3월만 하더라도 일부 보안 전문가들이 리캡챠를 뚫었다며 보고서를 발표한 바 있다. 당시 활용된 해킹 툴은 리브레이크캡챠(ReBreakCaptch)였고, 마찬가지로 리캡챠의 음성 옵션을 익스플로잇하는 방법이었다. 지난 해에도 블랙햇 행사에서 리캡챠를 뚫는 방법이 공개되어 주목을 받은 바 있다.

이번 메릴랜드대학 연구원들의 보고서는 이 링크를 통해 상세히 공개되어 있다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>