모사에서 개발한 동영상플레이어의 취약점으로 인해 해당 동영상플레이어를 사용하는 기업에서는 주의가 필요하다는 것이 지난달 밝혀졌고 현재 취약점이 패치된 상태다.
 
이 취약점을 최초 발견한 이호준(TeamTMP 소속)씨는 “한달 전 인터넷강의를 하나 신청해서 들으려고 했는데 맥북에서는 인터넷 강의를 들을 수 없었다. 이유는 윈도우 운영체제의 인터넷 익스플로러에서만 사용 가능한 액티브X를 사용하기 때문에 맥킨토시 운영체제에서는 인터넷강의를 들을 수 없다. 가상윈도우를 이용해 들으려고 해봤지만 그것 역시 안되었다. 그래서 인터넷강의 파일을 통째로 가져와서 들어보면 어떨까 싶어서 연구하게 됐다”고 취약점 발견 동기를 밝혔다.
 
어떻게 인터넷강의가 무료로 다운로드 될 수 있을까. 그는 “동영상이 업로드 된 서버에 접근이 용이하며, 서버에서 동영상을 전송해줄 때 동영상의 특정 바이트구간과 그 구간에 대한 체크썸을 요구하는데 그 값을 찾기가 그리 어렵지 않았다”며 “체크썸 값만 계산할 수 있다면 동영상의 바이트구간을 0바이트부터 파일 전체 크기만큼으로 설정해 동영상을 다운로드 받아올 수 있다. 이렇게 받아오면 동영상 원본 파일을 그대로 받아오는 것이기에 구입 하지 않은 동영상도 받을 수 있게 된다”고 설명했다.
 
좀더 구체적으로 그는 “취약점이 발생 되는 부분은 채크썸을 생성하는 루틴을 너무 쉽게 찾을 수 있다는 점이다. 또 올바르게 접근하는지 체크해야 하는 ‘X-Streaming-Session’이 하는 역할이 실질적으로는 아무것도 없다”며 “인터넷강의 사이트의 소스보기만 해도 미디어 파일이 업로드 되어있는 주소가 노출되어 있다”고 지적했다.
 
해당 동영상플레이어 제작사와 사용기업은 현재 이 취약점을 패치한 상태이다.  
 
이 취약점을 발견한 이호준씨는 아이폰과 안드로이드폰 앱 개발도 하고 있으며 카카오톡을 PC로 사용할 수 있는 버전을 만들기도 했다. 이는 카카오톡의 요청으로 서비스가 중단된 상태다. 또 아이폰으로 네이버 카페 채팅을 할 수 있는 앱을 만들기도 했다. 이 또한 네이버 측의 요청으로 중단된 상태다.
 
그는 “개발뿐만 아니라 장애인 복지관에서 자원봉사로 장애우들에게 컴퓨터를 가르치기도 하고 이들의 불편한 현실을 고려해 인터넷을 편하게 사용하기 위한 프로그램을 개발 중”이라며 “앞으로 계획은 버그헌팅을 위주로 취약점들을 계속해서 권고해 주고 싶다. 또 정보보안 분야에 대해 계속 공부해 관련 사업을 해보고 싶다”고 포부를 밝혔다.
 
다음은 그가 연구해 개발한 내용들이다.
-부모들이 휴대폰으로 자녀 컴퓨터를 실시간으로 확인 할 수 있는 앱
(appgotcha.tistory.com)
-카카오톡 PC 버전
(blog.naver.com/nb_attacker?Redirect=Log&logNo=80145328286)
(pr0ph3t.tistory.com/179)
-네이버 카페 채팅 앱
(jnvb.tistory.com/108)
[데일리시큐=길민권 기자]