참가자들이 차고 있던 배지...그 배지를 스캔하는 앱에서 나온 취약점
6시간 동안 브루트포스 공격 진행하면 모든 참가자 개인정보 유출돼

[보안뉴스 문가용 기자] 최근 미국의 라스베이거스에서 진행된 보안 행사 블랙햇(Black Hat)에서 보안 사고가 터졌다. 한 보안 전문가가 당시 행사장에서 사용됐던 배지 앱을 통해 참가자들의 등록 정보가 유출된 것을 발견하면서 이 사실이 밝혀졌다.


블랙햇 주최 측은 행사 참가자들에게 배지를 나눠줬다. 여기에는 NFC 태그 기능이 부착되어 있었다. 업체가 이 태그를 스캔하면, 참가자가 행사에 등록할 때 블랙햇에 제공한 정보가 업체 쪽으로 넘어가게 되어 있었다.

블랙햇에서 배지 스캐닝을 위해 사용한 건 BCARD다. 이는 시사회나 컨퍼런스 행사에서 자주 사용되는 배지 스캔 애플리케이션으로 ITN 인터내셔널(ITN International)이란 곳에서 개발한 것이다. 안드로이드 및 iOS 태블릿과 스마트폰에서 작동한다.

그런데 온라인에서 닌자스타일(NinjaStyle)이라는 이름을 사용하는 한 보안 전문가가 BCARD 애플리케이션을 분석했고, 그 과정 중 고유 배지ID 값을 통한 인증 과정을 거치지 않고도 참가자의 정보를 취득하게 해주는, 취약한 API를 발견했다.

그 후 닌자스타일은 “어쩌면 모든 블랙햇 참가자의 정보를 얻을 수도 있겠다”고 가정하고 브루트포스 공격을 실험해보았다. “0부터 100000까지의 숫자와 000000부터 100000까지의 숫자 중 몇 백개 정도를 대입해보았습니다. 전부 ‘그러한 배지가 없다’는 응답이 돌아오더군요. 그래서 100000에서부터 999999까지의 숫자 사이에 고유 ID가 있을 것이라고 유추할 수 있었습니다. 90만번 정도 대입하면 된다는 소린데, 블랙햇 참가자는 1만 8천 명 정도로 집계되더군요. 즉 무작위로 요청을 하면 2% 정도의 확률로 성공할 수 있다는 것이죠.”

거기서부터 그는 자신이 발견한 취약한 API에 브루트포스 공격을 실시하면 블랙햇에 참가한 모든 사람의 이름, 이메일 주소, 회사 이름, 전화번호, 거주지 주소를 알 수 있을 것이라는 결론을 내렸다. 계산을 해본 결과 6시간이면 충분했다고 한다.

닌자스타일은 이를 8월 9일 ITN 측에 알렸다. 연락을 주고받는 과정이 순탄하지만은 않았지만 결국 ITN은 8월 13일 문제를 해결할 수 있는 패치를 발표했다. ITN 측은 문제가 되었던 API를 비활성화시켰다고 설명했다. 어차피 오래된 시스템이었다는 설명을 덧붙이기도 했다.

사실 블랙햇 행사에서 사용된 앱으로부터 취약점이 발견된 것이 처음 있는 일은 아니다. 지난 2016년에 열린 블랙햇 행사에서 주최 측은 공식 블랙햇 애플리케이션을 급히 업데이트 해야만 했다. 다른 사람을 사칭하고 스파잉 할 수 있게 해주는 오류들이 몇 개 발견되었기 때문이다.

같은 해인 2016년, 또 다른 보안 행사인 RSA 컨퍼런스에서 사용된 배지 스캐닝 애플리케이션에서도 보안 오류가 발견되기도 했다. 애프리케이션의 코드 내에 디폴트 비밀번호가 그대로 남아있던 것이었다. 이를 통해 모든 보안 장치를 무용지물로 만드는 게 가능했다.

3줄 요약
1. 어쩌면 세계에서 가장 인기 높은 보안 행사 블랙햇에서 보안 문제 발견됨.
2. 참가자용 블랙햇 배지와 관련된 애플리케이션에서 정보 유출시키는 취약점 나타남.
3. 6시간만 투자하면 블랙햇 참가자 전원의 개인정보 취득 가능. 다행히 패치 됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>