웹사이트 로그인 과정에서 자바스크립트(JavaScript)를 이용해 계정정보를 암호화하는 기술을 무력화시킬 수 있는 취약점이 발견됐다.
 
네이버, 다음, 네이트 등 국내 주요 포털사이트와 유명 쇼핑몰 사이트, 아이핀 인증을 지원하는 사이트, 샵메일 관련 사이트, 유명 대학교 사이트, 은행 사이트 등이 이러한 취약점에 노출돼 있는 것으로 확인돼 이에 대한 보안이 보다 강화돼야 할 것으로 보인다.
 
국내 대부분의 웹사이트들은 로그인 과정에서 SSL을 적용하거나 자바스크립트 혹은 기타 모듈을 이용해 아이디와 패스워드, 즉 계정정보를 암호화한다. 이 중 SSL을 적용한 암호화의 경우 SSL Strip으로 이를 무력화시킬 수 있는 기법이 과거 블랙햇에서 소개된 바 있으며, 이번에 자바스크립트를 이용해 암호화하는 과정을 무력화시킬 수 있는 기법이 공개된 것이다.
 
이를 공개한 네트워크 보안 전문가 이경문씨는 “간단한 문자열 조작만으로 자바스크립트를 이용한 국내 주요 웹사이트들의 암호화 과정을 무력화시킬 수 있는 취약점을 발견했다”고 밝혔다.

 <SSL Strip과 자바스크립트 암호화 무력화 기법을 이용해 모 포털 사이트에서 로그인 시 계정정보가 노출되는 화면>
 
이경문씨는 자바스크립트 암호화 과정을 무력화 시키는 것이 어렵지 않다고 밝히고, 그 이유에 대해 첫째, 자바스크립트가 클라이언트 사이드(웹브라우저)에서 실행이 되며 코드 자체를 숨길 수 있는 것이 아니고, 둘째, 자바스크립트는 컴파일 방식이 아닌 스크립트 방식이기 때문에 코드 분석이 상대적으로 쉽고, 셋째, 내부적으로 암호화 기법(RSA, Hash) 등을 사용했다 하더라도 엉뚱한 곳의 문자열 변경만으로 암호화를 쉽게 해제할 수 있다고 설명했다.
 
금융 사이트의 경우, 모 은행 사이트를 대상으로 테스트해 본 결과 계좌 이체 정보를 쉽게 획득할 수 있었던 것으로 나타나 해당 취약점을 보완할 수 있는 방안이 시급히 마련돼야 한다는 지적이다.
 
특히 자바스크립트 암호화는 국내에서 많이 이용되는 암호화 기법이기 때문에 문제는 심각하다. 다만, 외국 주요 사이트 대부분은 자바스크립트 암호화를 지원하지 않기 때문에 이에 대한 공격, 즉 취약점 분석이 많이 이뤄지지 않은 것으로 보인다.
 
대응 방안에 대해 그는 “HSTS(HTTP Strict Transport Security) 기법을 도입해 SSL Strip을 막을 수 있도록 하고, 자바스크립트 암호화 만으로는 한계가 있기 때문에 이를 사용 시 다른 방식과 같이 병합해서 사용해야 한다”고 강조했다.
 
또한 “크롬 웹브라우저 사용자를 위해 http://dev.chromium.org/sts에 자사의 사이트를 등록하는 것도 고려해 볼만하며, 웹브라우저가 아닌 어플리케이션의 경우 SSL certificate pinning을 적용하는 것이 바람직하다”고 덧붙였다.
 
한편, 이에 대한 자세한 설명과 시연은 국제 해킹?보안 컨퍼런스 POC 트레이닝 코스(www.powerofcommunity.net/pt2014)에서 이뤄질 예정이다. 국내 보안인력들의 실력 향상을 위해 기획된 이번 POC 트레이닝 코스는 오는 29일과 30일 양일간 잠실에 위치한 공간POC에서 열린다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com