SSL보안서버인증서와 ActiveX 인증서, Verisign Thawte 파트너, 전자인증, 웹서버인증서 제공업무를 해 오고 있는 X사 웹사이트에 너무도 기초적인 파일 다운르도 취약점이 발견됐다. 보안관련 사이트에서는 있어서는 안될 취약점이란 점에서 사이트 전반에 대한 보안점검이 필요한 상황이다.
 
해당 취약점은 24일 인증서를 받으려던 한 고객이 X사 인증서 다운로드 페이지에 접속해 다운로드 하던 과정에서 우연히 발견됐다. (현재 취약점에 대해 인정하고 신속하게 패치를 했기 때문에 실명을 공개하지 않고 X사로 표기함.)
 
이 취약점을 발견해 데일리시큐에 제보한 아이렌소프트 장현준씨는 “해당 사이트의 파일 다운로드 취약점으로 인해 시스템상 임의의 파일을 다운로드 할 수 있는 상황이었다”며 “원인은 $file_name의 유효성을 검사하지 않았기 때문”이라고 지적했다.
 
장씨는 “이런 취약점은 해커 입장에서는 취약점으로 취급도 하지 않을 정도로 간단한 공격 방법이다. X사와 같은 보안인증서 대행 업체가 이런 취약점을 모르고 있었던 것은 문제”라며 “해당 취약점을 공격자가 악용한다면 X사 내부 시스템의 모든 파일을 다운로드할 수 있으며 패스워드와 인증서 DB파일도 모두 가져올 수 있었을 것이다. 웹쉘 설치도 물론 가능하다”고 말했다.
 
또한 그는 “악성 해커라면 탈취한 인증서를 악용할 수도 있다. 코드사인 인증서DB라면 더욱 위험하다. 배포처 진위 여부를 판별할 수 없기 때문에 이를 악용해 배포 프로그램에 악성코드를 심어 유포할 수 있다”며 “일반 사용자는 신뢰할 수 있는 기관에서 배포한 프로그램으로 오인하고 아무 의심없이 프로그램을 다운로드하게 된다. 공격자는 쉽게 악성코드 유포를 할 수 있게 되는 상황”이라고 경고했다.
 
그는 “이런 취약점은 해커 입장에서는 공격이라고 하기도 민망할 정도의 기초적인 공격에 당하게 되는 취약점이다. 80년대에나 있을 법한 취약점이 보안인증서를 취급하는 업체 사이트에 존재하고 있어 인증서를 받으려다 깜짝 놀랐다”며 “해당 URL에 문제가 있는 것만 발견했는데 X사 웹사이트 자체도 문제가 있을 수 있으니 전반적인 점검이 필요할 것”이라고 밝혔다.
 
장씨는 “해결 방안으로 $file_name값에 ".." 혹은 "/" 와 같은 문자가 들어가지 않게 유효성을 검사하도록 수정하고 chroot 등의 방법을 이용해 상위 디렉토리 파일을 다운로드 하는 것을 금지시켜야 한다”고 조언했다.
 
현재 X사의 보안인증서를 사용하고 있는 곳은 국가기관, 금융기관, 인터넷포털, 기업, 대학교 등 많은 국내 기관들이 고객사로 홈페이지에 올라 와 있다.  
 
X사는 26일 데일리시큐를 통해 취약점 내용을 전달받고 그에 대한 수정작업을 완료했다. X사 대표는 “취약점에 대해 알려줘서 감사하다. 패치작업이 완료됐다. 기존에 모두 노출되는 방식에서 데이터를 모두 암호화시켜서 전송시키는 방식으로 교체했다. 따라서 암호화 키를 모르면 해킹이 불가능하다”며 “그리고 이전 방식에서도 서버의 데이터가 유출될 수는 있으나 고객정보를 저장하는 DB는 따로 나뉘어져 있었고 DB와 서버 SSL 접속은 특정 IP로 제한되어 있기 때문에 서버 정보의 변조는 불가능한 상황이다. 현재 방식에서는 암호화 방식이 악의적으로 유출되지 않는 이상 안전하다. 앞으로도 보안관리에 더욱 만전을 기하겠다”고 답했다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com