보안에 민감한 조직과 인물들이 사용하는 특수한 이메일 서비스
대부분 생각보다 약해...암호화 뚫지 않아도 주변으로 파고들 방법 많아

[보안뉴스 문가용 기자] 보안 전문가들이 암호화된 이메일들이라고 해서 항상 안전한 건 아니라는 사실을 밝혀냈다. 이는 암호화된 이메일 클라이언트 중 대중들 사이에서 널리 사용되고 있는 서비스 20개 이상을 분석해 이러한 결과를 얻어냈다고 한다.


‘좋다’고 하는 암호화 알고리즘들은 현재 시판되고 있는 일반 컴퓨터들로 뚫어내는 게 불가능하다. 그래서 암호화 자체를 부수려고 시도하는 공격자들은 거의 없다. 대신 암호화가 시스템에 구축될 때 생길 수 있는 작은 틈새를 노린다. 암호화 알고리즘 자체가 아니라, 그것을 붙들고 있는 시스템들을 공략한다는 것이다. 이메일 시스템의 경우 강력한 암호화 알고리즘이 있다고 하더라도, 이를 서비스 내에 녹여내는 게 까다롭기 때문에 이런 식의 공격에 특히 취약하다고 한다.

최근 독일의 보훔대학교와 뮌스터대학교가 공동으로 이메일 서비스들 사이에서 표준처럼 사용되고 있는 두 개의 암호화 알고리즘인 오픈PGP(OpenPGP)와 S/MIME과, 실제 구축 현황을 분석했다. 그 결과 수많은 이메일 서비스들이 생각만큼 안전한 게 아니라는 사실이 드러났다. 물론 여기서 말하는 이메일 서비스란, 일반적인 네이버 메일이나 구글 지메일과 같은 걸 말하는 게 아니다.

암호화 이메일이라는 특수 서비스를 말하는데, 보안에 민감한 단체나 인물들이 주로 사용한다. 즉, 보안이 치명적인 가치를 가지고 있는 상황에서 주로 사용되는 서비스인데, 이게 생각보다 취약하다는 것이다. “오픈PGP를 기반으로 한 이메일 클라이언트 20개중 14개, S/MIME을 지원하는 이메일 클라이언트 22개중 15개가 디지털 시그니처 스푸핑 공격에 노출되어 있었습니다.”

오픈PGP에서나 S/MIME에서나, 사용자의 시그니처는 단말간 인증에 사용되며, 사용자가 이 시그니처를 보관한다. S/MIME의 경우, 인증기관이 발행해준 인증서가 사용되며, 오픈PGP의 기반이 되는 ‘PGP 신뢰의 웹(PGP Web of Trust)’ 방식의 경우 오픈키체인(OpenKeychain)이나 R2메일2(R2Mail2), 호드/IMP(Horde/IMP)와 같은 신뢰 모델들이 인증서를 대신하기도 한다.

이 두 가지 알고리즘을 기반으로 한 이메일 서비스들은 크게 다섯 가지 유형의 공격에 노출되어 있었다. 1) CMS 공격, 2) GnuPG API 공격, 3) MIME 공격, 4) ID 공격, 5) UI 공격이 바로 그것이다. 공격이 성립하려면 공격자가 이메일 서비스에 연루된 아무 관계자에게 이메일 스푸핑 공격을 할 수 있고, 그 관계자의 S/MIME이나 오픈PGP 시그니처를 가지고 있어야 한다. ID 공격의 경우 피해자가 공격자의 시그니처를 신뢰하고 있어야 한다는 조건이 하나 더 붙긴 하는데, S/MIME 환경에서는 이게 그리 어렵지 않다. 오픈PGP의 경우에는 소셜 엔지니어링 공격을 추가해야 한다.

위 다섯 가지 공격으로 이뤄낼 수 있는 효과는 총 세 가지다.
1) 완벽한 시그니처 조작 : 어떤 문제도 나타나지 않는다.
2) 부분적 시그니처 조작 : 사용자의 첫 번째 상호작용이 발생할 때만 시그니처가 동일하게 나타난다.
3) 불완전한 시그니처 조작 : 유효한 조작 공격을 구성하는 요소들이 일부만 완성되고, 사용자가 비교적 쉽게 이상한 점을 느낄 수 있다.

CMS 공격의 경우 S/MIME 내 CMS가 매우 복잡하게 구성되어 있다는 걸 악용하는 걸 기본으로 삼고 있다. 연구원들은 CMS 공격은 ‘완벽한 시그니처 조작’을 야기할 수 있다고 하며, 따라서 피해자는 이미 암호화된 이메일 서비스가 안전하다고 서명된 이메일을 통해 공격을 받을 수 있다고 설명한다. 이러한 공격 기법의 한 가지인 이콘텐츠 컨퓨전(eContent Confusion)이 있는데 선더버드(Thunderbird), 포스트박스(Postbox), 메일메이트(MailMate), iOS 메일(iOS Mail)과 같은 서비스가 이 공격에 취약하다고 한다.

GunPG 공격 역시 구조의 복잡성 때문에 발생하는 공격이라고 볼 수 있다. “GPG라는 요소 자체가 명령행 인터페이스와 380개 정도의 옵션과 명령어로 구성되어 있는데, 이는 정말 풍부하고 넓은 공격 표면이 됩니다. 공격자들은 상태 줄들을 전부 스푸핑하고 임의의 데이터를 애플리케이션에 주입함으로써, 임의의 공개 키에 대한 인증 과정을 조작할 수 있게 됩니다.”

MIME 공격은 원래의 HTML S/MIME 메시지에서 일부 요소가 코멘트 처리 등으로 빠졌을 때 발생될 수 있다고 한다. “이메일 클라이언트가 단수 HTML 문서의 일부를 생성하고 나서, 서명이 된 부분을 코멘트 처리로 빼내거나 HTML 태그로 임베드시키거나, CSS 속성 내에 삽입하면 완벽한 조작이 가능하게 됩니다.” 선더버드와 애플메일(Apple Mail) 등이 이 공격에 취약하다고 한다.

ID 공격은 나머지 공격 유형에 비해 그리 강력하지 않다. 시그니처 등을 조작하는 순간에 탐지가 가능하기 때문이다. 그렇지만 공격자는 여전히 이메일을 가짜로 서명하여 공격 대상자에게 보낼 수 있으며, 헤더의 스푸핑이 가능하게 된다. 헤더를 신경 쓰지 않는다면 공격에 당할 수 있다고 한다.

UI 공격은, 사용자에게 시그니처 인증 결과를 보여주는 방식에 대한 공격이다. 일부 클라이언트에서 이메일 콘텐츠 내에 인증 결과를 보여주기도 하는데, 이걸 공격자가 악용할 수 있다고 한다. 라운드큐브(Roundcube) 이메일 서비스가 이 공격에 취약하다고 알려져 있는데, 이 외에도 16가지 서비스가 비슷한 약점을 가지고 있다고 한다.

이 연구 결과를 통해 안전하다고 여겨졌던 PGP와 S/MIME 생태계가 생각보다 취약하다는 사실이 입증됐다. “암호화 자체를 수학적으로 뚫어내는 공격이 아니라, 암호화가 구축되고 실현화되는 부분을 노리니까 대다수가 뚫렸습니다. 그것도 거의 완벽하게 말이죠. 시그니처를 스푸핑할 수 있게 되면 아무리 강력한 암호화 알고리즘이라도 소용이 없게 됩니다.”

연구원들은 모든 이메일 서비스 제공업체에 이러한 결과와, 보완 방법을 전달했다고 한다.

3줄 요약
1. 암호화 알고리즘 그 자체를 뚫는 건 공격자 입장에서 어렵고 비효율적인 일.
2. 그러나 암호화가 구현되는 시스템, 구축되어 있는 상태를 노리면 가능성이 높아짐.
3. 암호화 된 이메일을 제공하는 서비스 20개 넘게 조사했더니 대부분 취약.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>