Home > 전체기사
프랑스 정부가 자체 개발한 메신저 앱, 한 시간 만에 해킹돼
  |  입력 : 2019-04-23 17:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
전신 발명가인 클로드 샤프 이름 딴 앱...한 보안 전문가가 금방 해킹
이메일 인증 시스템에서 허술한 점 발견돼...소스코드 개발사들이 오류 해결


[보안뉴스 문가용 기자] 프랑스 정부가 지난 주 메신저 애플리케이션을 자체적으로 개발해 발표했다. 이름은 티샵(Tchap)으로, 프랑스 정부는 “텔레그램보다 더 안전하다”고 장담했다. 하지만 정부의 장담이 부끄럽게도, 1주일도 되지 않아 티샵은 해킹당했다.

[이미지 = iclickart]


프랑스의 보안 전문가인 로베르 밥티스트(Robert Baptiste)는 구글 플레이 스토어에서 해당 앱을 다운로드 받아 설치했고, 곧바로 계정 생성 시 발동되는 이메일 인증 시스템에 문제가 있다는 걸 발견해냈다고 한다.

타샵은 계정 생성에 제한이 있는 앱이다. @gouv.fr이나 @elysee.fr 등 정부 기관의 이메일 계정을 가지고 있는 사람들만이 사용할 수 있는 앱이기 때문이다. 밥티스트는 앱을 다운로드 받아 계정을 생성하면서, 자신이 보유하고 있던 일반 이메일 주소에, 프랑스 공공 기관의 이메일 주소를 덧붙였다. 그러자 그 이메일 주소가 진짜 이메일 주소가 아님에도 무사히 통과됐다. 그리고 그는 각종 채팅 그룹을 열람할 수 있게 됐다.

밥티스트는 앱에 대한 정적 분석과 동적 분석을 전부 실시했다. 계정 등록 과정에서 앱이 이메일 주소의 진위 여부를 가려내기 위해 토큰을 요청한다는 사실을 알아냈다. 그는 토큰 필드를 조작하고, 특이한 형태를 가진 이메일 주소 형태를 기입함으로써 인증 시스템을 속이는 데 성공했다.

밥티스트의 첫 번째 시도는 실패로 돌아갔다. “제 이메일을 fs0c131y@protonmail.com@elysee.fr이라는 이메일 주소를 사용했습니다. 하지만 확인용 이메일을 받을 수 없었죠. 그래서 ‘어쩌면 앱의 인증 시스템이 공개되어 있는 @elysee.fr 이메일 주소를 기다리고 있는지도 모르겠다’고 생각했습니다.” 그래서 구글을 통해 presidence@elysee.fr이라는 실제 이메일 주소를 찾아냈고, 이메일 주소를 fs0c131y@protonmail.com@presidence@elysee.fr로 바꿔서 다시 시도했다.

“그랬더니 되더군요. 이메일 함을 확인해보니 티샵에서 온 이메일이 도착해있었습니다. 인증 확인을 실시할 수 있었고, 열린 채팅 방에 참여할 수 있게 되었습니다. 이 모든 과정이 다운로드서부터 전부 합해서 한 시간도 걸리지 않았습니다.”

티샵의 기반이 되는 코드를 제공한 매트릭스(Matrix) 측은 이 소식을 접하고 버그를 수정했다. “티샵 앱은 라이엇(Riot) 코드의 일종인 사이던트(sydent)를 기반으로 하고 있습니다. 그리고 이 사이던트는 파이선의 email.utils.parseaddr이라는 함수를 사용해 입력된 이메일 주소를 확인하고 인증 시스템으로 전달합니다. 하지만 이 함수에 a@b.com@c.com이라는 식으로 변형된 이메일 주소를 입력할 경우, @c.com 부분이 조용히 삭제된다는 걸 발견했습니다. 아무런 오류 표시도 없이 말이죠. 그래서 누군가 a@malicious.org@important.com에 대한 인증 토큰을 요청할 경우, 토큰이 a@malicious.org로 전송됩니다. 그러면서 a@mailcious@org@important.com은 정상으로 처리되고요.”

매트릭스는 밥티스트가 해킹 사실을 알린 바로 그 날 코드를 수정했다. 현재는 이메일 인증이 위와 같은 방식으로 허술하게 통과되지 않는다. 보안 업체 시놉시스(Synopsys)의 관리자인 나빌 하난(Nabil Hannan)은 “메시지 앱을 만드는 것 자체도 매우 어려운 일인데, 티샵의 경우 일부 정부 요원들에게만 허락된 것이기 때문에 더 까다로웠을 것”이라고 말한다. “그렇다면 더 인증에 신경을 썼어야 했는데, 오히려 그 부분이 가장 간과된 것으로 보입니다. 사실상 누군가 정부 이메일처럼 생긴 이메일을 입력하기만 하면 그대로 믿는 시스템이었으니 말입니다.”

밥티스트는 이전에도 비슷한 앱의 허술함을 파헤친 적이 있다. 인도의 파탄잘리(Patanjali)라는 회사가 킴브호(Kimbho)라는 메시지 앱을 내놓으며, “왓츠앱보다 프라이버시 보호에 특화되어 있다”고 발표한 적이 있는데, 밥티스트가 해당 앱을 분석하면서 “보안의 악몽과 같은 앱”이라며 조목조목 잘못된 점을 짚어냈던 것이다. 덕분에 킴브호는 시장 진출을 제대로 할 수 없었다.

티샵은 프랑스 정부가 전신을 발명한 클로드 샤프(Claude Chappe)의 이름을 따 만든 보안 메신저 앱으로, 프랑스 정부 관계자들은 왓츠앱이나 텔레그램 대신 사용할 것을 필수로 만들 계획이다.

3줄 요약
1. 프랑스 정부 기관의 공직자 및 관계자들 사이에서만 사용 가능한 메시지 앱 티샵.
2. 한 보안 전문가가 1시간도 되지 않아 해킹에 성공함. 인증 시스템이 허술했음.
3. 오류는 정정됐고, 프랑스 정부는 티샵을 공직자들 사이에서 필수로 만들 계획임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)