2024-03-29 19:05 (금)
구글 취약점 찾아 명예의 전당에 등록…이대진 학생!
상태바
구글 취약점 찾아 명예의 전당에 등록…이대진 학생!
  • 길민권
  • 승인 2012.05.01 17:36
이 기사를 공유합니다

구글 SNS 서비스 중 하나인 orkut.com에서 XSS 취약점 발견!
페이스북에 이어 구글에서도 500달러 보상금 받아
구글은 지난 2010년 11월부터 보안팀에서 취약점 보상 프로그램을 계속 해 오고 있다. 구글의 기본 개념은 이용자 보호를 위해 자신들이 찾지 못한 취약점을 찾아 주는 외부 해커나 보안전문가들에게 감사의 표시를 하겠다는 것이다. 구글은 취약점 등급을 정해 놓고 작게는 100달러에서 많게는 2만달러까지 보상액을 정해 놓고 취약점을 보내온 해커들에게 지급하고 있다.

 
즐거운 소식 하나를 전한다. 지난해 12월말 구글의 웹 애플리케이션을 대상으로 한 취약점을 보고한 부산 대연고등학교 2학년 이대진 학생이 구글로부터 500달러의 보상을 받게 됐다고 데일리시큐에 알려왔다.
 
해당 취약점은 구글의 SNS 서비스 중 하나인 orkut.com에서 발견됐다. 이대진 학생은 “orkut에서는 페이스북에서와 유사한 그룹을 형성할 수 있었으며 그룹장(group admin)을 대상으로한 XSS공격이 가능함을 보고해서 이번에 500달러의 상금을 책정 받았다”고 밝혔다.

 
그룹의 장(group admin)은 그룹에서 일어나는 모든 이벤트들(글 삭제, 글 수정, 글 이동)을 관리자가 확인할 수 있도록 만든 그룹 히스토리(group history)를 확인할 수 있다.
 
이 군은 이를 이용해 다음과 같은 시나리오로 악용가능성을 확인했다.
 
1. 그룹에 가입된 유저가 그룹에 글을 포스팅할 때 [제목]부분에 스크립트를 삽입. 이 이벤트 만으로도 Admin History에 기록되며 유저가 이 포스팅한 글을 삭제하는 것 또한 History기록에 남게된다. script와 관련된 태그를 필터링해 javascript 이벤트를 이용해서 우회했다.
 
2. 그룹 장(group admin)은 그룹 히스토리(group history)에 들어가 그룹의 현황을 확인

 3. 악성코드 실행
 
해당 취약점은 지난해 12월말 보고한지 일주일도 채 되지 않아 수정되었다. 이 군이 상금을 받을때는 구글로부터 2가지 선택권의 기회가 주어졌다.
 
즉 하나는 그대로 상금을 받는 것이고 또 하나는 자선단체에 상금을 기부하는 것이다. 단 책정된 금액의 2배를 기부할 수 있다. 예를 들어 보상금으로 책정된 금액이 500달러이면 1000달러를 기부할 수 있게 된다.
 

위의 메일은 구글로부터 500달러로 책정되었다는 메일의 원문이다.  
 
또 2012년 1월~3월 명예의 전당에 이 군이 오른 것을 확인할 수 있다.
(www.google.com/about/company/halloffame.html)

 
아직 구글 코리아에서는 2011년 12월 초 이후로 업데이트를 하지 않고 있다.
(구글 코리아: www.google.com/intl/ko/about/corporate/company/halloffame.html)
 
이 군은 “업데이트가 똑 같은 것이 아닌 것 같다. 가급적 최신정보를 얻을 수 있는 구글 본사 홈페이지를 통하는 것이 가장 좋을 것”이라고 말했다.
 
이대진 학생은 구글로부터 보상금을 받은 소감에 대해 “은행으로 돈을 받는 과정에서 USD(미국 화폐)와 관련해 약간의 문제가 있어 상금과 명예의 전당에 오르는 기간이 길어졌지만 4월 25일 명예의 전당에 올라가고 상금이 입금된 것을 확인했을 때 구글이라는 기업이 보안에 얼마나 큰 관심을 가지고 있는지 다시 한 번 몸소 느끼게 되는 계기가 됐다”고 말했다.
 
또 이 군은 “영어로 메일을 주고받으며 약식을 차린 표현과 그렇지 않은 표현에 대해 공부할 수 있는 계기가 되었던 것 같다. 지난번 페이스북으로부터 받은 상금은 동생의 학교 동복을 사 줬으니 이젠 하복을 맞춰줘야 할 때가 된 것 같다. 나머지는 부모님께 드릴 예정이다”라고 덧붙였다.
 
그는 “이젠 웹 뿐만 아니라 다른 분야에 관한 공부도 하며 재미있는 여러 분야를 찾아 다니려고 한다”며 “해커즈페어(2012)때 만났던 분들을 되새기며 즐겁게 공부하려고 한다”고 소감을 밝혔다.
 
한편 이대진 학생은 지난 2월 22일 페이스북에서 사용하는 메일을 보내는 업데이트 메일러에서 XSS 및 HTML Injection 취약점도 찾아내 2월 24일에 해당 취약점에 대해 페이스북 취약점 리포트 페이지(www.facebook.com/whitehat/report)에 게재했다.
 
이때 페이스북측은 이 군이 리포트한 취약점이 메일을 받는 모든 사람들이 대상이 되기 때문에 위험성이 높다고 판단해 750달러로 상금을 책정해 준 바 있다. 이후 페이스북은 3월 19일 UPS를 통해 750달러가 입금된 ‘Whitehat debit card’를 보내줬다.
 
이렇게 해커들이 나이나 경력을 떠나 자신의 연구결과물 자체로 노력을 인정받고 돈도 받을 수 있는 문화가 한국에도 정착된다면 보안분야에서 여러가지 긍정적 변화가 있을 것이라고 생각한다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★