다양한 리눅스와 유닉스 계열에서 발견된 취약점...TCP 연결 가로채 분석하게 해
암호화 기술을 가장 효과적으로 사용하려면 ‘종단간’에 적용하는 게 중요

[보안뉴스 문가용 기자] 공격 대상이 VPN에 연결되어 있는지 확인하고, VPN 터널에서의 TCP 연결을 가로챌 수 있게 해주는 취약점이 여러 리눅스와 유닉스 OS에서 발견됐다. 이 취약점은 CVE-2019-14899로 뉴멕시코대학의 보안 연구원들이 발견한 것이라고 한다.


연구원들은 이 문제를 발견하고서 각 리눅스와 유닉스 개발사들에만 먼저 전달했다. 그러고 나서 패치가 개발될 시간을 준 뒤 이번 주 SecLists.org(https://seclists.org/oss-sec/2019/q4/122)와 Openwall(https://www.openwall.com/lists/oss-security/2019/12/05/1)이라는 메일링 리스트 서비스를 통해 공개했다.

취약점에 노출된 리눅스 버전은 다음과 같다.
1) 우분투(Ubuntu)
2) 페도라(Fedora)
3) 데비안(Debian)

그 외 다음 OS에서도 같은 오류가 나타났다.
1) 프리BSD(FreeBSD)
2) 오픈BSD(OpenBSD)
3) 맥OS(macOS)
4) iOS
5) 안드로이드(Android)

실험을 위해 동원된 VPN 서비스는 다음과 같다.
1) 오픈VPN(OpenVPN)
2) 와이어가드(WireGuard)
3) IKEv2 VPN
4) IPSec VPN
그러면서 VPN 종류와 상관이 없이 영향을 주는 취약점이라는 결론에 도달했다고 밝혔다.

공격은 IPv4와 IPv6 연결 모두에 유효하다. 토르(Tor) 방식의 익명 네트워크에서는 통하지 않는다. 공격을 하려면 피해자들과 같은 네트워크에 있어야 한다. “공격자는 표적이 된 자가 VPN을 사용하고 있는지, 특정 웹사이트에 접속해 있는지 확인할 수 있고, TCP 스트림에 데이터를 주입할 수도 있습니다. 이로써 공격자는 VPN 터널 내 활성화 된 연결을 하이재킹 할 수도 있게 됩니다.”

아마존에서 만든 리눅스 버전인 아마존 리눅스(Amazon Linux)를 비롯해 각종 아마존 VPN 제품 개발자 콤 맥카테이(Colm MacCarthaigh)는 “아마존 제품에서는 취약점이 발견되지 않았다”고 발표했다. 하지만 “이번에 발견된 취약점은 대단히 인상적이었다”며 “DNS 스푸핑 공격과 함께 활용될 경우 꽤나 심각한 결과를 초래할 수 있을 것으로 보인다”고 말했다.
“암호화 된 DNS 요청과 응답들은 트래픽 분석을 통해 프로파일링 하는 게 가능합니다. 따라서 DNS 스푸핑 시도가 성공할 가능성도 높아집니다. DNS 보호법으로서 가장 보편적으로 알려진 DNSSEC은 이 공격을 막을 수가 없습니다. 암호화 기술과 관련된 보호법을 활용하려면 종단간(end-to-end) 암호화를 해야 가장 좋다는 것이 이번 취약점 발견으로 다시 한 번 증명되었다고 봅니다.” 맥카테이의 설명이다.

“네트워크 암호화라는 보안 장치를 뚫는 가장 효과적인 방법은 트래픽 분석이라는 사실 역시 이번 취약점 발표로 다시 한 번 드러났습니다. 암호화가 그냥 무턱대고 사용한다고 해서 높은 효과를 보이는 기술은 아니라는 걸 기억해야 합니다.”

3줄 요약
1. 리눅스와 유닉스 계열 OS에서 VPN 취약점 발견됨.
2. 취약점 악용할 경우 공격 표적이 VPN을 사용하고 있는지, 어떤 웹사이트에 접속해 있는지 등을 파악하며 추적할 수 있음.
3. DNS 스푸핑 공격과 결합될 경우 더 강력한 위력 발휘하는 것도 가능함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>