약 10일의 휴가가 지나갔다. 매정하다 싶을 정도로 순식간에 지나 가버려 벌써 10월에 있는 황금연휴가 기다려진다. 아무튼, 달콤한 휴일은 지나갔어도 보안은 하루가 다르게 새로운 소식이 업데이트되었다. 한동안 컴퓨터를 멀리하며 보안 분야에서 무슨 일이 벌어졌는지 1의 관심조차 없었는데 생각 보다 쌓여 있는 소식을 보니 정말로 황금연휴가 지났구나 싶다. 아무튼, 휴일도 끝났으니 오늘은 그동안의 보안 소식을 정리하여 말해볼까 한다.
현대 자동차, 해킹 취약점 발견(4월 27일)[1][2]
지난 3월에 현대 자동차는 모바일 앱에서 2개의 취약점을 발견하였고 4월 29일 이를 공식적으로 발표하였다. 취약점은 각각 마이현대(MyHyundai)와 블루링크(Blue Link) 모바일 앱을 분석하면서 발견한 것으로 이 2개의 앱은 자동차에 추가한 스마트한 기능 중 하나다.
특히나 블루링크 앱은 2012년 이후에 출시되어 여러 현대자동차 모델에 적용하여 사용할 수 있도록 만들어진 가입 기반의 앱으로 차량 도난 시에 차의 위치를 원격으로 추적하거나 주차 상태, 잠긴 상태에서 원격으로 시동을 끄고 켤 수도 있다.
문제는 이 앱에서 사용하는 로그 파일이 각각 암호화되어 서버로 전송할 때 비 신뢰적인 통신 구간을 지나 전송되므로 중간에서 로그 파일을 도청하거나 가로챌 수 있다는 것이다. 또 다른 문제점은 암호화에 사용되는 키가 애플리케이션 내에 하드 코딩되어 있어 누구나 앱을 다운로드하여 키를 추출할 수 있다는 것이다. 이 앱에서 사용되는 로그 파일은 자동차 소유자의 개인 정보와 차량의 위치를 확인할 수 있는 GPS 데이터 등의 정보가 담긴 파일로 외부로 공개되기에는 민감한 정보가 담긴 파일이다.
현재 이 2개의 취약점은 보안 패치가 완료된 상태이며 만약 현대 자동차의 블루링크 모바일 앱을 이용하는 사용자라면 최신 버전으로 업데이트하는 것을 권고드린다.
DEFCON CTF 25(4월 29일)[3]
지난 4월 29일 전 세계에서 가장 유명한 해킹 대회 ‘DEFCON CTF 25’ 예선전이 개최되었다. 국내에서도 실력 좋은 여러 해커가 모여 그룹을 만들고 대회에 참가하였다. 한국만 아니라 미국, 일본, 유럽, 대만, 중국 등 인지도가 높은 대회인 만큼 참여국가도 다양했다.
이틀에 걸쳐 진행된 대회가 종료되는 시점에 박세준 님이 속해 있는 PPP가 1등을 하면서 가장 먼저 본선 진출권을 획득했다. 국내에서는 작년 3등, 재작년에는 우승을 거머쥔 DEFKOR를 포함하여 3팀이 본선 진출권을 가져갔다. DEFKOR는 고려대 정보보호동아리 Cykor를 필두로 구글프로젝트제로 팀에 있는 이정훈님과 고려대 정보보호대학원 이종호님이 함께한 연합팀이 4위를 차지했다. 이어 정보보호 전문기업 그레이해쉬의 멤버와 포항공대 정보보호동아리 PLUS, 삼성 소프트웨어센터, 외국 화이트해커들이 모여 만든 연합한 hacking4danbi가 6위를 차지했다. CodeRed와 보안 기업인 라온시큐리티 멤버, 리버스랩 멤버가 모여 만든 연합팀 RRR이 8위를 차지하며 본선 진출권을 거머쥐었다.
이 외에도 수많은 국내외 해커 그룹이 참여하여 뜻깊은 시간을 갖지 않았나 생각된다. 데프콘 본선은 이번 예선전을 시작으로 라스베가스에서 7월 말쯤 진행될 예정이다.
온라인 스트리밍 서비스 넷플릭스가 해킹당했다. The Dark Overlord라는 해커 그룹은 넷플릭스를 해킹한 후 Orange Is the New Black 시즌 5 프리미어 10개의 에피소드를 연속적으로 공개하였다.
넷플릭스에 따르면 Orange Is the New Black 시즌5 이 드라마는 6월 9일부터 오로지 넷플릭스에서만 공개하기로 되어 있었다. 보고서에 따르면 그들은 1월 31까지 70,442달러인 약 8천만 원을 넷플릭스에게 요구했었다. 하지만 스튜디오는 전혀 이에 대한 반응을 보이지 않았고 결국 The Dark Overlord는 해킹을 통해 탈취한 동영상을 토렌트 사이트에 올려 공유했다.
그들은 파일을 공유하면서 자신들에게 돈을 주는 것이 인터넷에 파일이 풀리는 것보다 더 싸게 먹힐 거라며 넷플릭스 관계자들에게 이에 대한 메시지를 남겼다. 더불어, 공개된 드라마 Orange Is the New Black 외에도 더 많은 드라마 목록을 가지고 있으며 자신의 요구사항을 들어주지 않으면 나머지 역시 토렌트 사이트에 올라갈 것이라고 협박하고 있다.
Google, Android 5월 보안패치(5월 2일)[7]
5월 2일 구글은 안드로이드의 17개의 치명적인 취약점을 패치했다고 발표했다. 그중 6개는 Android Mediaserver 구성요소를 이용하여 원격으로 악의적인 코드를 수행할 수 있는 보안등급이 높은 취약점이었다. Mediaserver 패치 외에도 구글의 넥서스 6P, 픽셀 XL, 넥서스 9를 포함한 안드로이드 Qualcomm 구성 요소와 관련하여 4가지의 취약점을 패치했다.
이번 패치 중 가장 심각한 취약점은 Mediaserver에 존재한다. Mediaserver는 지난 몇 년 동안 Stagefright 취약점을 포함한 이미지 및 비디오 파일을 처리할 때 많은 문제의 원인이 된 안드로이드 구성 요소 중 하나다. 이번에 발견된 취약점은 전자 메일이나 웹 검색, MMS와 같이 여러 방법으로 미디어 파일을 처리할 때 원격 코드를 실행시킬 수 있다. 즉, 공격자는 사용자를 속여 조작된 멀티미디어 파일을 사용자 장치에 다운로드하거나 전자 메일 또는 기타 메시지 응용 프로그램을 통해 미디어 파일을 공유하거나 임의 코드를 원격으로 실행하는 등 악의적으로 사용할 수 있다. 더군다나 사용자가 받은 파일을 따로 실행하지 않더라도 Mediaserver가 파일을 처리하므로 받는 것만으로도 문제가 될 수 있다. 본래 이 취약점은 1월에 발견되었지만 인제야 패치가 적용된 것 같다.
이 외에도 Qualcomm의 구성요소에서 네 가지의 주요 취약점을 통해 루트 권한을 가져올 수 있다. 이 취약점은 Qualcomm 부트 로더에서 발생한 취약점으로 CVE-2016-10275과 CVE-2016-10276로 CVE에 등록되어 있다. CVE를 통해 권한 상승 공격에 대한 조건을 조성하여 CVE-2017-0604취약점을 통해 로컬 악성 응용 프로그램이 커널에서 임의의 코드가 실행할 수 있게 한다.
5월 1일에 패치한 6개는 주요 보안 패치로 처리하는 반면 5월 5일에 적용한 패치는 여러 드라이버, 라이브러리 및 부트 로더에 영향을 미치는 보안 결함이 패치했다. 그러므로 안드로이드 사용자는 최신 버전으로 업데이트하는 것을 권고드린다.
=> 2017년 5월 10일간의 황금연휴 속 보안 이슈 ①
