2019-08-21 00:41 (수)
[데프콘 27] 박현준, AWS SDK 취약점 연구결과 발표 “모바일 앱과 클라우드 보안 위험수준”
상태바
[데프콘 27] 박현준, AWS SDK 취약점 연구결과 발표 “모바일 앱과 클라우드 보안 위험수준”
  • 길민권 기자
  • 승인 2019.08.12 06:03
이 기사를 공유합니다

“2천700개 앱 분석중, 현재 260개 앱 취약한 것으로 조사돼…취약한 앱 계속 늘어날 전망"
2019년 데프콘 27 데모 랩스에서 고려대학교 정보보호대학원 박현준(삼성SDS 프로)씨가 AWS SDK 취약점 연구 결과를 발표하고 있다. 모바일 앱과 클라우드 전문가들이 대거 참석.
2019년 데프콘 27 데모 랩스에서 고려대학교 정보보호대학원 박현준(삼성SDS 프로. 사진 가운데 발표자)씨가 AWS SDK 취약점 연구 결과를 발표하고 있다. 모바일 앱과 클라우드 전문가들이 대거 참석.

세계 최대 해커들의 축제인 ‘데프콘 27(DEF CON 27)’이 8월 8일부터 11일까지 미국 라스베이거스에서 성황리에 개최됐다.

이번 데프콘 27은 한국 해커들이 CTF 해킹대회도 참가했지만 각종 빌리지에서 해킹대회를 운영하기도 하고 데모랩(DEFCON DEMO LABS)에서 그동안 연구한 내용을 발표하는 스피커 참가자가 늘어났다는 점에서 큰 의미가 있었다.

특히 지난 9일 라스베이거스 플래닛 헐리우드 호텔에서 열린 ‘데프콘 데모 랩스(DEFCON DEMO LABS)’에서 박현준(고려대학교 정보보호대학원) 삼성SDS 프로와 김소연 프로는 ‘soFrida-Dynamic Analysis Tool for Mobile Apps with Cloud Backend’라는 주제로 발표를 진행해 큰 관심을 끌었다.

그의 발표장에는 모바일 애플리케이션 보안전문가, 모바일 전문 해커, 모바일 애플리케이션 개발자, 클라우드 서비스 제공사, 클라우드 사용자 등 전문가들이 참석했고 다양한 질문과 답변이 이어졌다.

AWS 정보유출 사고 대부분, 클라우드 보안 이해 부족 or 개발자 실수

데모 랩스 발표 이후 데일리시큐와 인터뷰를 진행한 박현준 프로는 AWS SDK 취약점을 연구하게 된 이유에 대해 “AWS(아마존 웹 서비스)는 퍼블릭 클라우드 시장에서 가장 큰 점유율을 갖고 있으나 매년 대규모 정보유출 사고가 발생하고 있다. 이러한 AWS 정보유출 사고의 대부분은 클라우드 보안에 대한 이해가 부족하거나 개발자의 실수로 인한 것”이라며 “예를 들어 AWS의 스토리지 서비스인 S3의 버킷이 퍼블릭 상태로 노출되어 있거나, 깃허브(github)와 같은 형상관리 사이트에 개발자가 실수로 AWS인증용 Credential을 하드코딩해 올려놓는 경우 이러한 사고로 이어지게 된다”고 설명했다.

이어 “그러나 공격자의 관점에서 이러한 개발자의 실수를 찾아내는 것은 쉽지 않다. 따라서 모바일 앱을 통해 클라우드 취약점을 찾는 방법을 고민했고 AWS SDK 후킹을 통해 AWS Credential 정보를 획득할 수 있다는 것을 발견하게 돼 이번에 데프콘에서 발표를 하게 됐다”고 덧붙였다.

데프콘 27에서 발표를 진행하고 있는 박현준 삼성SDS 프로.
데프콘 27에서 발표를 진행하고 있는 박현준 삼성SDS 프로.(고려대 정보보호대학원)

그의 고려대학교 정보보호대학원에서 연구과정을 종합해 보면 다음과 같다.

AWS는 자사의 서비스를 개발자들이 편리하게 이용하고 개발할 수 있도록 SDK를 제공하고 있다. SDK를 이용하면 개발자들은 AWS 관련 함수를 호출하는 것으로 AWS 서비스를 모바일 애플리케이션에 구현할 수 있다.

해커, AWS가 제공하는 SDK 함수 후킹하면 정보 가로챌 수 있어

그러나 만약 공격자가, AWS가 제공하는 SDK(Software Development Kit) 함수를 후킹하게 되면, 인증과정에서 주고 받는 Credential 정보를 중간에서 가로챌 수 있다는 것이다.

이를 증명하기 위해 그는 구글 플레이에 등록되어 있는 무료앱 160개국 60개 카테고리별 인기도 상위 500개 앱을 조사했다. 전체 400만개 앱 중 2천700개 앱이 AWS SDK를 사용하는 것으로 확인됐다.

이후 2천700개 앱을 인기도(앱 다운로드 수)순으로 분석했으며, 현재까지 260개의 앱에 대해 취약점을 발견했다고 밝혔다. 특히 이번 조사에서 1억건이 넘게 다운로드 된 앱들도 AWS SDK 취약점에 노출된 앱들이 있는 것으로 조사됐다.

한편 국내 앱의 경우 60여 개의 앱에서 취약점이 발견되어 KISA및 국보연, 금융보안원 등에 지난 6월 19일 제보를 완료한 상태다. 그러나 나머지 200여 개 해외 앱의 경우 개발자들에게 별도로 연락했지만 단 3명의 개발자만 회신이 왔을 뿐 나머지는 아무런 반응도 없었다고 한다.

그는 “클라우드 취약점의 경우 데이터 유출과 직결되는 문제기 때문에 이를 해결하기 위해 AWS 본사 보안팀에게 협조를 요청했고, 현재까지도 계속해서 협업해 취약점을 조치하고 있다”고 밝혔다.

발표 이후 참관객들과 질의응답 시간을 갖고 있는 박현준 프로.
발표 직후 참관객들과 질의응답 시간을 갖고 있는 박현준 프로.

한편 그는 이번 취약점에 대해 연구하면서 모바일 앱과 클라우드에 대한 보안이 매우 미흡하다는 점을 느껴 안타까웠다고 말한다.

우선, 보안 취약점을 해결하기 위한 채널의 부재를 들었다.

그는 “이번에 해당 문제점을 해결하기 위해 개발자들과 구글 플레이팀에 연락했지만 단 3명의 개발자만이 회신이 왔다. 또한 별도의 버그바운티 프로그램을 운영중인 회사도 극히 드문 상태였다”며 “이는 모바일 앱 보안에 대해 개발자조차도 관심을 기울이지 않는 다는 것을 의미한다”고 안타까워했다.

다음은, 개발자들이 AWS와 같은 퍼블릭 클라우드 보안에 대한 이해도 부족을 들었다. 클라우드를 사용한 앱 개발은 빠른 속도와 유용성에 초점을 맞추다 보니 상대적으로 보안에 대한 인식과 노력이 부족한 상태라고 지적했다.

클라우드 백엔드 자원에 대한 모니터링과 관제 반드시 실시해야

마지막으로 클라우드에 대한 관제나 모니터링이 전혀 이루어지지 않는다는 점이다. AWS의 경우 로깅과 모니터링에 비용이 발생하다 보니 클라우드 자원에 대한 이상행위 모니터링이나 관제를 사용하지 않는 경우가 대부분이었다고 밝혔다.

그는 “이번 문제를 해결하기 위해서는 개발자들이 클라우드 키에 대한 권한설정을 철저히 하고 버그바운티 프로그램과 같은 보안 채널을 운영해야 하며, 클라우드 백엔드 자원에 대한 모니터링과 관제를 반드시 실시해야 한다”고 강조했다.

끝으로 그는 데프콘 발표소감에 대해 “전세계 해커들이 모인 데프콘에서 그동안 발견한 취약점과 분석 도구를 소개할 수 있어 굉장히 기뻤다. 그리고 현장에서 많은 해커들이 모바일 앱과 클라우드 보안에 관심을 갖고 있다는 것을 확인할 수 있었다”며 “향후 지속적으로 클라우드 보안에 대해 연구해 다음에는 블랙햇 발표에도 참가했으면 하는 바람이다. 더불어 연구와 발표까지 여러모로 도와준 고려대학교 정보보호대학원 김승주 교수와 삼성SDS 김소연 프로 그리고 삼성SDS 관계자들에게 깊은 감사의 말씀을 전한다”고 밝혔다.

좀더 자세한 내용을 알려면 아래 링크를 참조하면 된다.

-https://sofrida.github.io

★정보보안 대표 미디어 데일리시큐!★