애플 웹사이트에 '심각한' 보안취약점 무더기 발견돼
2020-10-11 15:46
외부 보안전문가 5인, 3개월간 취약점 55건 찾아 제보
애플 "연구자들이 취약점 첫 발견…사용자 피해 없어"
제보내용 절반에 보상금 29만 달러…총 50만 달러 예상
애플 "연구자들이 취약점 첫 발견…사용자 피해 없어"
제보내용 절반에 보상금 29만 달러…총 50만 달러 예상
애플의 기업 네트워크 시스템에서 회사와 온라인서비스 사용자의 민감한 정보를 탈취당할 수 있는 심각한 보안 취약점이 무더기로 발견됐다. 애플은 이 취약점을 찾아 제보한 보안 전문가들에게 우리 돈 3억원 가량을 보상하기로 했다.
온라인 IT미디어 아스테크니카는 최근 샘 커리(Sam Curry) 등 5명의 보안전문가 팀이 애플의 기업 네트워크에서 55건의 취약점을 찾아냈고, 애플은 이들에게 28만8500달러(약 3억3000만원)를 지급하기로 했다고 보도했다.
샘 커리는 웹사이트 보안을 전문분야로 삼고 있는 연구원으로, 다른 4명의 보안 연구원들과 팀을 꾸려 애플의 기업 네트워크에서 보안 취약점을 찾아내는 해킹 프로젝트를 진행했다. 이 프로젝트는 지난 7월 6일부터 10월 6일까지 3개월간 진행됐다.
3개월간 애플의 기업 네트워크에서 발견된 보안 취약점 가운데 잠재적 피해 정도가 치명적인(critical) 수준으로 분류된 취약점이 11건이다. 애플은 커리 연구원이 제보한 보안 취약점 문제를 우선 수정하고, 취약점 가운데 절반 가량에 대해 28만8500달러의 보상금을 책정해 지급하겠다고 약속했다. 나머지 절반에 대한 보상이 책정되면 전체 보상금 액수는 50만 달러를 넘을 수 있다.
커리 연구원은 자신의 팀이 제보한 보안취약점에 대해 "공격자에게 사용된다면 애플은 막대한 정보 유출과 정합성 손실에 직면하게 될 것"이라며 "예를 들어 공격자는 (애플의) 사용자 정보 관리용 내부 툴에 접근하고 그 시스템을 추가로 변경해 해커의 의도대로 작동하게끔 할 수 있다"고 경고했다.
보도에 따르면 애플은 이 사안과 관련해 다음과 같은 공식 입장을 밝혔다.
"애플에서 우리는 네트워크를 철저히 보호하고 위협 탐지와 대응을 전담 수행하는 정보보안 전문가 팀을 보유하고 있다. 연구원들이 보고서에 상세히 설명한 문제를 우리에게 경고한 직후 우리는 취약점을 수정하고 이런 유형의 문제가 향후 발생하지 않도록 조치했다. 시스템 기록에 따르면 이 연구원들이 취약점을 최초로 발견했으므로 우리는 사용자 데이터가 오용되지 않았다고 확신한다. 우리는 우리 사용자들의 지속적인 안전을 돕는 보안연구원들과의 협력을 중시하고 이번 제보한 팀의 도움을 인정했으며 '애플 시큐리티 바운티' 프로그램을 통해 지급할 것이다."
시스템의 사용 승인 및 인증 단계 우회를 통한 원격코드실행(RCE), 정제되지 않은 파일명을 통한 명령어 주입, 외부 유출된 기밀과 노출된 관리도구를 통한 RCE 등 공격을 허용하는 취약점이 있었다. 권한설정 오류로 인증을 우회시켜 전역 관리자 접근을 허용하는 문제, 직원·사용자 계정 침해로 내부 애플리케이션 접근을 허용할 수 있는 메모리 누수 결함, 정제되지 않은 입력 파라미터를 통해 데이터분석시스템 조회 명령어 주입 공격을 허용하는 취약점도 있었다.
애플 클라우드서비스 '아이클라우드(iCloud)'의 사용자 계정이 완전히 빼앗길 수 있는 웜 저장형 크로스사이트스크립트(XSS) 공격 취약점, 공격자가 내부 소스코드와 접근제한 자원을 읽어들일 수 있게 하는 '서버 측 요청 위조(SSRF)' 허용 취약점도 드러났다. SSRF는 서버간의 네트워크에 이뤄지는 요청의 경로나 내용을 바꿔, 해당 요청을 받는 서버가 처리하는 기업 내부 데이터를 빼낼 수 있는 공격 기법이다.
이밖에 내부 고객과 직원들이 이슈를 추적하는 업무에 사용하는 애플의 내부 지원 포털에 해커가 접근할 수 있게 만드는 블라인드 XSS 공격을 허용하는 문제가 있었다. 또 해커가 내부 자원에 접근하고 아마존웹서비스(AWS) 계정접근관리(IAM) 시스템의 키를 재발급받도록 하는 서버 측 팬텀JS 실행 공격에도 노출돼 있었다.
발견된 취약점 55건 가운데 이밖에 위험도가 높은(high) 취약점이 29건, 중급(medium)인 취약점이 13건, 낮은(low) 취약점이 2건이었다.
표적이 된 상대는 웹브라우저에서 아이클라우드 서비스로 악성 이메일을 여는 것만으로 해킹될 수 있다. 이때 해킹된 상대는 공격자가 의도한 동작을 수행하게 된다. 커리 연구원은 이 저장형 XSS 취약점 공격을 수행할 때 이메일 수신자의 연락처에 있는 다른 사람들에게 자동으로 똑같은 이메일을 유포시키는 식으로 피해 규모를 확대할 수 있다고 지적했다. 이런 점에서 이 저장형 XSS가 마치 감염 컴퓨터에서 자가복제하는 악성코드 '웜(worm)' 같은 특성을 갖는다고 묘사했다.
이와 함께 '애플 디스팅기시드 에듀케이터(ADE)' 웹사이트의 취약점이 심각한 것으로 꼽혔다. 웹사이트 계정에 특정한 문자열로 고정된 기본 패스워드를 지정할 수 있게 만드는 취약점이다. 이는 계정명, 사용자의 성과 이름, 이메일 주소, 직장명을 포함한 등록양식을 제출할 때 발급된다. 커리 연구원은 "누구든 이 시스템을 사용했고 수동으로 인증을 할 수 있는 기능이 있다면, 기본 패스워드를 사용해 계정에 로그인함으로써 '애플로 로그인'을 우회할 수 있다"고 설명했다.
커리 연구원은 이 취약점을 써서 여러 애플 계정 사용자로 로그인을 시도해 'erb'라는 사용자명을 식별하고 해당 계정에 수동으로 로그인할 수 있었다. 로그인을 시도한 여러 다른 사용자 계정 중 네트워크 핵심 관리자 권한을 보유한 것도 있었다. 해커는 이 인터페이스를 제어해 ADE 웹사이트 하위 도메인을 제어하는 웹서버에 임의의 명령을 실행하고 사용자 계정 자격증명을 저장하는 내부 LDAP 서비스에 접근하고, 이후 애플의 다른 내부 네트워크에도 접근할 수 있게 된다.
온라인 IT미디어 아스테크니카는 최근 샘 커리(Sam Curry) 등 5명의 보안전문가 팀이 애플의 기업 네트워크에서 55건의 취약점을 찾아냈고, 애플은 이들에게 28만8500달러(약 3억3000만원)를 지급하기로 했다고 보도했다.
샘 커리는 웹사이트 보안을 전문분야로 삼고 있는 연구원으로, 다른 4명의 보안 연구원들과 팀을 꾸려 애플의 기업 네트워크에서 보안 취약점을 찾아내는 해킹 프로젝트를 진행했다. 이 프로젝트는 지난 7월 6일부터 10월 6일까지 3개월간 진행됐다.
3개월간 애플의 기업 네트워크에서 발견된 보안 취약점 가운데 잠재적 피해 정도가 치명적인(critical) 수준으로 분류된 취약점이 11건이다. 애플은 커리 연구원이 제보한 보안 취약점 문제를 우선 수정하고, 취약점 가운데 절반 가량에 대해 28만8500달러의 보상금을 책정해 지급하겠다고 약속했다. 나머지 절반에 대한 보상이 책정되면 전체 보상금 액수는 50만 달러를 넘을 수 있다.
커리 연구원은 자신의 팀이 제보한 보안취약점에 대해 "공격자에게 사용된다면 애플은 막대한 정보 유출과 정합성 손실에 직면하게 될 것"이라며 "예를 들어 공격자는 (애플의) 사용자 정보 관리용 내부 툴에 접근하고 그 시스템을 추가로 변경해 해커의 의도대로 작동하게끔 할 수 있다"고 경고했다.
보도에 따르면 애플은 이 사안과 관련해 다음과 같은 공식 입장을 밝혔다.
"애플에서 우리는 네트워크를 철저히 보호하고 위협 탐지와 대응을 전담 수행하는 정보보안 전문가 팀을 보유하고 있다. 연구원들이 보고서에 상세히 설명한 문제를 우리에게 경고한 직후 우리는 취약점을 수정하고 이런 유형의 문제가 향후 발생하지 않도록 조치했다. 시스템 기록에 따르면 이 연구원들이 취약점을 최초로 발견했으므로 우리는 사용자 데이터가 오용되지 않았다고 확신한다. 우리는 우리 사용자들의 지속적인 안전을 돕는 보안연구원들과의 협력을 중시하고 이번 제보한 팀의 도움을 인정했으며 '애플 시큐리티 바운티' 프로그램을 통해 지급할 것이다."
내부 시스템에서 애플 계정 쓰는 직원·사용자 정보 유출 위험
보안에 치명적인 수준으로 분류된 취약점 11건의 특징은 다음과 같이 요약된다.시스템의 사용 승인 및 인증 단계 우회를 통한 원격코드실행(RCE), 정제되지 않은 파일명을 통한 명령어 주입, 외부 유출된 기밀과 노출된 관리도구를 통한 RCE 등 공격을 허용하는 취약점이 있었다. 권한설정 오류로 인증을 우회시켜 전역 관리자 접근을 허용하는 문제, 직원·사용자 계정 침해로 내부 애플리케이션 접근을 허용할 수 있는 메모리 누수 결함, 정제되지 않은 입력 파라미터를 통해 데이터분석시스템 조회 명령어 주입 공격을 허용하는 취약점도 있었다.
애플 클라우드서비스 '아이클라우드(iCloud)'의 사용자 계정이 완전히 빼앗길 수 있는 웜 저장형 크로스사이트스크립트(XSS) 공격 취약점, 공격자가 내부 소스코드와 접근제한 자원을 읽어들일 수 있게 하는 '서버 측 요청 위조(SSRF)' 허용 취약점도 드러났다. SSRF는 서버간의 네트워크에 이뤄지는 요청의 경로나 내용을 바꿔, 해당 요청을 받는 서버가 처리하는 기업 내부 데이터를 빼낼 수 있는 공격 기법이다.
이밖에 내부 고객과 직원들이 이슈를 추적하는 업무에 사용하는 애플의 내부 지원 포털에 해커가 접근할 수 있게 만드는 블라인드 XSS 공격을 허용하는 문제가 있었다. 또 해커가 내부 자원에 접근하고 아마존웹서비스(AWS) 계정접근관리(IAM) 시스템의 키를 재발급받도록 하는 서버 측 팬텀JS 실행 공격에도 노출돼 있었다.
발견된 취약점 55건 가운데 이밖에 위험도가 높은(high) 취약점이 29건, 중급(medium)인 취약점이 13건, 낮은(low) 취약점이 2건이었다.
아이클라우드·ADE 웹사이트에 악성코드 공격·인증 우회 취약점
아스테크니카 보도에 특히 심각하다고 지목된 것은 저장형 XSS 취약점이다. 이는 '아이클라우드닷컴' 도메인을 사용하는 애플 웹사이트의 서버에 사용된 자바스크립트 처리기(parser) 상의 보안취약점이다. 아이클라우드는 애플 메일 서비스를 제공하기 때문에, 공격자는 아이클라우드닷컴, 맥닷컴 등 도메인 기반의 이메일 주소를 사용하는 사람에게 공격코드를 포함한 이메일을 보내는 식으로 이 결함을 악용할 수 있다.표적이 된 상대는 웹브라우저에서 아이클라우드 서비스로 악성 이메일을 여는 것만으로 해킹될 수 있다. 이때 해킹된 상대는 공격자가 의도한 동작을 수행하게 된다. 커리 연구원은 이 저장형 XSS 취약점 공격을 수행할 때 이메일 수신자의 연락처에 있는 다른 사람들에게 자동으로 똑같은 이메일을 유포시키는 식으로 피해 규모를 확대할 수 있다고 지적했다. 이런 점에서 이 저장형 XSS가 마치 감염 컴퓨터에서 자가복제하는 악성코드 '웜(worm)' 같은 특성을 갖는다고 묘사했다.
이와 함께 '애플 디스팅기시드 에듀케이터(ADE)' 웹사이트의 취약점이 심각한 것으로 꼽혔다. 웹사이트 계정에 특정한 문자열로 고정된 기본 패스워드를 지정할 수 있게 만드는 취약점이다. 이는 계정명, 사용자의 성과 이름, 이메일 주소, 직장명을 포함한 등록양식을 제출할 때 발급된다. 커리 연구원은 "누구든 이 시스템을 사용했고 수동으로 인증을 할 수 있는 기능이 있다면, 기본 패스워드를 사용해 계정에 로그인함으로써 '애플로 로그인'을 우회할 수 있다"고 설명했다.
커리 연구원은 이 취약점을 써서 여러 애플 계정 사용자로 로그인을 시도해 'erb'라는 사용자명을 식별하고 해당 계정에 수동으로 로그인할 수 있었다. 로그인을 시도한 여러 다른 사용자 계정 중 네트워크 핵심 관리자 권한을 보유한 것도 있었다. 해커는 이 인터페이스를 제어해 ADE 웹사이트 하위 도메인을 제어하는 웹서버에 임의의 명령을 실행하고 사용자 계정 자격증명을 저장하는 내부 LDAP 서비스에 접근하고, 이후 애플의 다른 내부 네트워크에도 접근할 수 있게 된다.