손경호 기자 sontech@zdnet.co.kr
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140503114356
하트블리드에 이어 오픈소스로 공개돼 구글, 페이스북, 마이크로소프트(MS), 링크드인 등에 널리 활용되고 있는 통합 사용자 인증 기술에서도 새로운 취약점이 발견됐다.
하트블리드 문제가 불거진 오픈SSL 외에도 오픈소스 소프트웨어(SW)에서 잇달아 보안성 문제가 지적되고 있는 것이다.
2일(현지시간) 씨넷은 여러 개 ID나 비밀번호 없이 통합 ID나 계정으로 여러 웹사이트에서 로그인할 수 있게 해주는 인증관련 표준기술인 '오쓰2.0(OAuth 2.0)'과 '오픈ID'가 취약점에 노출됐다고 보도했다.
외신에 따르면 싱가포르 난양 기술 대학 왕 징 연구원은 '코버트 리디렉션(Cover redirect)'이라고 명명한 새로운 취약점을 발견했다. 우리나라 말로 바꾸면 '은밀한 경로변경' 정도로 해석된다.
| |
| ▲ 오쓰2.0, 오픈ID에서 새로운 보안 취약점이 발견돼 구글, 페이스북 등 회사들이 조치에 나섰다. |
예를 들어 사용자가 악성링크를 클릭하면 페이스북 팝업창이 뜨고 사용자 인증을 위한 로그인을 요구한다. 실제 이메일 주소, 비밀번호를 입력해 인증에 성공하면 해당 정보를 유출시켜 사용자가 쓰는 여러 웹사이트에 저장된 정보를 탈취한다. 더구나 인증이 완료된 뒤에는 다른 악성 웹사이트로 접속경로를 변경해 추가적인 악성코드에 감염되게 할 수 있다.
오쓰2.0, 오픈ID는 태생적으로 여러 웹사이트, 웹애플리케이션을 사용할 때 번거로운 인증을 피하기 위해 통합 ID, 비밀번호를 쓴다. 그만큼 이 ID와 비밀번호가 유출됐을 경우 많은 웹사이트 정보가 유출될 수 있다.
왕 연구원은 실제로 페이스북측에 이 사실을 알렸다. 이에 대해 페이스북은 "오쓰2.0 인증과 관련된 위험성을 알게 됐다"며 "해당 인증을 사용하도록 허락된 애플리케이션들이 화이트리스트 플랫폼에 있도록 할 것"이라고 답변했다. 이어 페이스북측은 "버그 수정이 짧은 시간 내에 해결하기는 어렵다"고 덧붙였다.
화이트리스트는 블랙리스트와 반대로 오쓰2.0, 오픈ID를 사용하는 웹사이트나 웹애플리케이션을 리스트로 만든 뒤 이 리스트에 없는 웹사이트, 웹애플리케이션은 사용하지 못하도록 하는 방식이다.
문제는 오쓰2.0, 오픈ID를 제공하는 IT기업들이 많다는 점이다. 왕 연구원에 따르면 이 취약점은 구글, MS, 링크드인 등에도 영향을 준다.
오픈ID를 적용하고 있는 구글은 현재 문제에 대해 분석 중이다. 링크드인 역시 블로그를 통해 이 문제에 대해 공지했다. MS는 조사가 완료됐으며 서드파티 도메인에서 발견된 취약점일 뿐, MS가 서비스하고 있는 사이트에서 발견된 것은 아니라고 밝혔다.
왕 연구원은 "이 취약점은 패치하는 것은 쉬운 편"이라며 "만약 서드파티 애플리케이션이 화이트리스트를 기반으로 운영되도록 한다면 문제가 없을 것"이라고 말했다. 예를 들어 페이스북 로그인을 사용할 경우 허가된 웹애플리케이션이나 웹사이트에만 접속을 허용하는 것이다.
반면 실제로는 전 세계에 많은 서드파티 애플리케이션들이 여러가지 이유로 패치를 하고 있지 않기 때문에 심각한 문제로 불거질 수 있다고 덧붙였다.
링크드인 소속 식하 세갈 엔지니어는 왕 연구원이 이 문제를 공개하기 전부터 자사 사이트 로그인을 위해 화이트리스트를 사용하고 있다고 밝혔다.
페이팔 역시 블로그를 통해 이 문제에 대해 언급했다. 제임스 바레스 페이팔 최고기술책임자(CTO)는 "페이팔이 오쓰2.0, 오픈ID를 적용했을 때 우리는 상인, 고객들을 보호하기 위한 추가적인 보안대책을 마련했다"고 설명했다.
