코스콤 공인인증서 ActiveX 컨트롤 취약점이 발표되었다.
뉴스 기사 : http://www.dt.co.kr/contents.htm?article_no=2007033002010351713002
기사에는 어처구니 없게도
코스콤 보안인증팀의 한 관계자는 "가능성은 적지만 해커가 해당 취약점을 이용 별도의 사이트를 제작해 사용자들의 접근을 유인해 정보를 빼내는 피싱에 악용될 수 있다"고 나오는데, 이 말을 한 사람은 보안에 대해 전적으로 무지한 사람이거나, 자사의 이미지 실추를 의식해 의도적으로 문제를 축소해서 표현한 것일 것이다.
ActiveX 에 보안 취약점이 있다는 것을 해커가 알았다고 해보자. 해커는 자기 웹 사이트에 간단히 몇 줄을 추가하기만 하면 된다. 평범한 사용자가 이 웹 사이트를 방문하면, 저절로 ActiveX 가 실행되고, 사용자 몰래 공격을 수행해 원격에서 명령어 프롬프트가 떨어지게 된다. 웜을 퍼뜨린다던지, 트로이목마를 설치할 수도 있다.
취약한 웹 사이트를 공략해 iframe 을 삽입해두는 중국발 해킹 사례처럼, 취약한 웹 사이트에 ActiveX 공격 코드를 심어두는 것도 방법이다. 어차피 몇 줄 안되기 때문에 사이트 관리자가 홈페이지 변경된 걸 알아채기 어렵다.
이 공격 방법의 장점은
1. 피해를 입은 사용자 스스로는 언제 어디서 피해를 입었는지 알 수 없다.
2. 피해 PC 에 직접 침투할 필요 없이 그물을 쳐두고 걸리기만 기다리면 된다.
3. 공격자의 위치나 신분이 드러날 위험이 거의 없다.
4. 널리 쓰이는 ActiveX 컨트롤이라면 단시간 내에 많은 PC 를 장악할 수 있다.
는 점이다.
위와 같은 장점 때문에 해커들 사이에 상당히 즐겨 사용되는 방법임에도 '가능성이 적다' 고 표현한 것은 잘못된 표현이다.
관련 제품을 사용 중인 모 포탈 보안 담당자가 '무책임한 보안 취약점 공개' 문제에 대해 불만을 토로하면서 이 문제가 조용히 일단락될 것으로 생각했는데, 오늘자 디지털 타임스의 기사를 보니 NCSC 에서 해당 채널을 모니터링하다가 정보를 터뜨렸나 보다.
머릿속에서 '어쨌든 보안 취약점에 대한 패치가 나오고, 일반인들에게도 문제의 위험성을 알려 피해를 예방했으니 결과적으로는 잘된 것 아닌가' 하는 생각이 들면서도, 한편으로는 '우리 사이의 문제를 상의 한번 없이 외부에 유출했다'는 배신감이 드는 것도 사실이다. 그 외에도 여러모로 복잡한 감정이 드는데, 왜 그런지는 곰곰히 자아 성찰을 해봐야 할 듯...
다른 분들 생각은 어떠신지?
--- 추가 ---
고민할 필요가 사라졌다.
Full-Disclosure 에 이미 해당 취약점이 public 하게 공개되어 있었다.
http://seclists.org/fulldisclosure/2007/Mar/0471.html
왜 비밀채널에만 공개된 거라고 생각했을까.... 쩝...
착각~
덧글
송재훈 2007/03/30 13:01 # 삭제 답글
관련 내용을 알고 다른 ActiveX를 테스트했는데 결과가 좀 나오더군요. 비공식적으로 업체에 전달할 예정인데 잘 조치를 할지 모르겠네요.
가짜집시 2007/03/30 13:09 # 답글
일반 사용자들의 경우 공인 인증서 관련 컨트롤들은 '철저한 검증'을 거쳐 '안정성이 증명된' 것으로 철석같이 믿고 있을 수 밖에 없습니다. 거기에 구멍이 나도 쉬쉬하고 있는 것이 업계 윤리라면 사용자 입장에서는 더 큰 배신감을 느낍니다.
헐랭이 2007/03/30 13:28 # 답글
송재훈 // 제 경험으로는 ActiveX 문제 쪽은 조치에 고려할 사항이 많더라구요.1. 각 회사 엔지니어들 기술 수준에 차이가 많고, 보안 회사 엔지니어 간에도 차이가 많았습니다.
2. 수 차례의 패치 후에도 여전히 문제가 해결되지 않는 경우가 많습니다.
3. 한 제품에 문제가 여러 개인 경우 조치에 시간이 오래 걸립니다.
버그 리포터 입장에선 그만큼 지루하게 업체와 실갱이를 해야 하는 피곤한 일이...
가짜집시 // 철저한 검증을 거쳐 안정성이 증명된 소프트웨어는 없습니다. S/W 는 안정성을 검증할 수 없기 때문이죠. 다만 '다양한 상황에도 안정적으로 운영되더라' 라는 테스트 결과만 있을 뿐입니다. 문제는 이런 테스트를 하는 업체가 국내에 거의 없다는 것이죠.
그리고 이 부분은 off-topic 입니다만, '쉬쉬하는 것이 업계 윤리' 라서 제가 배신감을 느꼈다는 게 아니고, 'non-public' 을 전제로 운영되는 그룹에서 공개된 정보를 'public' 하게 공개하는 것이 도덕적인가 하는 부분에서 여러 가지로 생각이 복잡하다는 내용으로 글을 적었습니다. 오해 없으셨으면 합니다.
민준아범 2007/04/03 13:41 # 삭제 답글
제품 릴리즈마다 QA(보안을 포함하는)는 당연한 것인데, 국내 대부분의 S/W 가 그런 당연한 절차를 간과 하고 있는것이 참 안타깝고만요...