“구글 안드로이드·애플 iOS·MS 윈도에 깔린 웹브라우저, FREAK 통한 해킹 위험 노출”
- Tech
구글의 안드로이드, 애플의 iOS, 그리고 마이크로소프트의 윈도 운영체제(OS)에 탑재된 웹브라우저가 해킹 위험에 노출되어 있는 것으로 알려졌다.
인터넷 통신 암호화에 사용되는 TLS/SSL 프로토콜 취약점(FREAK)이 발견된 것인데, 이 취약점이 있으면 컴퓨터나 스마트폰의 암호화 기능을 해킹하기 쉽도록 약화시켜 개인정보를 빼낼 수 있고 추가적인 악성코드도 주입할 수 있다.
이는 미국 정부가 해외 수출 소프트웨어의 암호화와 관련해 한때 적용했던 규제 탓으로, 미국 정부는 자국에서 개발한 최신 암호화 기술(RSA 암호화키)을 수출할 수 있도록 허용하는 대신 소프트웨어 제작사들이 외국으로 상품을 수출할 때 ‘고급 암호화 기술’ 수출을 막기 위해 암호화 프로그램의 보안 수준을 ‘수출 등급’으로 낮추도록 하는 규제를 운영하다 폐지했다.
해외 수출 소프트웨어 제품에는 보안성이 높은 암호화 프로그램을 사용하지 못하도록 한 것인데, 최대 512비트 길이의 암호화키를 통해 구현하는 기술에 대해서만 수출을 허가했다.
그러나 규제가 사라지고서도 보안 수준을 낮춘 암호화 프로그램은 전 세계적으로 이용된 소프트웨어에 광범위하게 사용됐고 보안 전문가들은 최근 이 암호화 프로그램에서 새로운 보안 취약점을 찾아내 ‘괴짜'(FREAK)라는 이름을 붙였다.
특히 전문가들은 사용자의 웹브라우저가 보안 수준이 낮은 암호화 프로그램을 이용하도록 강제한 뒤 수 시간 만에 컴퓨터나 스마트폰을 해킹해 비밀번호나 개인정보를 빼낼 수 있다는 사실도 확인했다.
존스홉킨스대 교수이자 암호학 전문가인 매튜 D 그린이 블로그에 올린 글에 따르면, 펜실베니아대 암호화 전문가인 나디아 헤닝거는 아마존웹서비스(AWS)가 제공하는 가상서버를 104달러에 구매한 뒤 단 7.5시간만에 512비트 암호화키를 해독할 수 있었다.
해커가 이러한 방법으로 암호화키를 알아내면 중간자 공격을 통해 개인정보를 훔쳐내거나 추가적인 악성코드를 주입하는 일이 가능해져 피해가 불가피하다.
그런데 미시간대 컴퓨터공학자들은 지난 3일을 기준으로 암호화 프로그램이 적용된 전체 웹사이트(1억4000만개) 중 정부 기관과 신용카드 회사 아메리칸익스프레스, 소셜커머스업체 그루폰 등을 포함해 약 3분의 1이 넘는 36.7%가 ‘FREAK(괴짜)’ 취약점을 지니고 있다고 밝혔다.
심지어 전 세계를 대상으로 콘텐츠딜리버리네트워크(CDN) 서비스를 제공하고 있는 아카마이와 함께 미국 국가안보국(NSA), 연방수사국(FBI), 백악관 웹사이트까지 이 취약점에 노출돼 있는 것으로 파악됐다. 페이스북의 경우 ‘connect.facebook.net’을 공격해 ‘좋아요’ 수까지 조작할 수 있는 것으로 알려졌다.
오픈SSL의 1.0.1K 이전 버전을 사용하는 안드로이드나 리눅스 OS에 내장된 웹브라우저들, 애플의 Secure Transport를 사용하는 애플 OS iOS에 내장된 웹브라우저 사파리에 이 취약점이 있는 것으로 나타났다.
마이크로소프트(MS)도 윈도 상에서 TLS/SSL 구현에 사용되고 있는 보안 채널(Schannel)에 취약점이 존재하는 것을 확인하고 사태 파악에 나섰다.
그러나 MS의 윈도에 깔린 최신 버전 웹브라우저와 구글의 크롬 41 이후 최신 버전, 모질라의 파이어폭스 등에는 이런 취약점이 나타나지 않았다.
‘FREAK’ 취약점을 해결하기 위해서는 애플의 경우 브라우저를 오페라28로 업데이트해야 하고, 안드로이드와 리눅스 OS에서 활용하고 있는 오픈SSL의 경우, 올해 1월에 배포된 최신 버전인 1.02 버전으로 업데이트를 해야 한다.
애플과 구글은 ‘FREAK’ 취약점을 해결할 소프트웨어 업데이트를 준비하고 있는 중이다. MS도 이달 중 임시 보안 업데이트를 공개하고 취약점을 수정할 방침이다.
관련 기업, 기관들도 이 취약점을 해결하기 위해 임시보안책을 마련하고 보안업데이트 작업을 진행 중이다.
그러나 워낙 광범위하게 적용될 수 있는 취약점이라 문제 해결에는 오랜 시간이 걸릴 것으로 예상된다.
현재는 수동으로 웹서버 설정 등을 바꿔주는 수준으로 이 문제를 해결하고 있다.
FREAK과 관련한 기타 문의사항은 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204를 참고하거나 한국인터넷진흥원 인터넷침해대응센터(118)로 문의하면 된다.
* FREAK(Factoring Attack on RSA-EXPORT Keys) 취약점은 공격자가 중간자 공격으로 취약점을 안고 있는 클라이언트(PC, 스마트폰 등)와 서버(웹사이트) 사이에서 SSL이나 TLS 연결을 가로채고 암호화 통신을 위해 사용되는 RSA 암호화키를 해독하기 쉬운 수출용 RSA(512비트 RAS) 암호화키로 다운그레이드시키는 취약점으로, 이 방법을 악용하면 공격자들이 더 쉽게 암호화 통신 내역을 훔쳐보거나 또 다른 악성코드를 주입시키는 일이 가능해진다.
테스트 결과, 공개적으로 취약점이 드러나게 되면 36% 정도의 https를 사용하는 웹사이트들이 잠재적인 위협에 노출된다.