Home > 전체기사
아마존 알렉사 통해 중요하고 민감한 정보 가져갈 수 있다
  |  입력 : 2020-08-14 12:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아마존 알렉사의 스킬들에 있는 XSS 취약점과 CORS 설정 오류
은행 정보와 개인정보 탈취 가능...사용자들도 이런 점 인지하고 있어야


[보안뉴스 문가용 기자] 아마존의 알렉사를 통해 중요한 정보를 가져갈 수 있다는 연구 결과가 발표됐다. 이를 발표한 보안 업체 체크포인트(Check Point)에 의하면 아마존 알렉사 서브도메인들에 있는 여러 개의 오류들 때문에 이런 일이 발생할 수 있다고 하며, 이 오류들을 원격에서 성공적으로 익스플로잇 할 수 있다고 한다.

[이미지 = utoimage]


체크포인트의 제품 취약점 분석 전문가인 오데드 바누누(Oded Vanunu)는 “알렉사와 같은 종류의 장비들이 얼마나 프라이버시에 치명적인 위협이 될 수 있는지 알리기 위해 이번 연구를 실시했다”고 보고서를 통해 밝히며 “이미 세계 여러 곳에서 널리 사용되고 있는 알렉사가 연구 대상이 된 건 자연스러운 일이었다”고 설명했다. 이번 보고서는 대대적으로 발표되기 이전인 6월, 이미 아마존에게 전달된 바 있다. 아마존은 이를 접수하고 보안 문제를 해결했고, 이 덕분에 이번 연구 발표가 안전하게 이뤄질 수 있었다.

먼저 체크포인트는 알렉사와 연결되는 모바일 애플리케이션을 실험했다고 한다. 그리고 스크립트를 사용해 SSL을 우회함으로써 앱과 알렉사 사이에 오가는 트래픽을 평문으로 열람하는 데 성공했다. 거기서부터 앱에서 전송되는 요청들을 볼 수 있게 됐고, 이중 일부가 잘못 설정된 CORS 정책을 가지고 있다는 게 드러났다(CORS는 특정 웹 페이지에 있는 자원들을 XMLHttpRequest를 통해 요청할 수 있도록 해주는 메소드). CORS는 잘못 설정될 경우 악성 도메인으로부터의 요청까지도 접수한다.

“CORS가 잘못 설정되었다는 건, 아마존의 서브도메인 아무거나 사용해 요청을 전달할 수 있다는 뜻입니다. 공격자가 아마존 서브도메인 하나를 골라 코드 주입 기능을 탑재시킨다면 이 잘못된 설정을 통해 여러 가지 공격을 실행할 수 있게 됩니다.” 체크포인트의 설명이다. “여기에 더해 앱에서 발견된 XSS 오류를 함께 익스플로잇 하게 되면, 알렉사에 설치된 모든 스킬들의 목록을 받을 수 있게 됩니다. 이때 응답과 함께 CSRF 토큰이 같이 돌아오는데요, 이를 공격자들이 가로채면 피해자인 것처럼 여러 가지 행위를 할 수 있게 됩니다.”

이런 원리가 실제 공격 사례에서는 어떤 식으로 나타나게 될까? 체크포인트의 보고서에 따르면 다음과 같다.
1) 알렉사 사용자를 속여 악성 링크를 클릭하도록 한다.
2) 클릭을 하게 되면 사용자는 공격자가 이미 손을 써둔 서브도메인으로 연결된다.
3) 공격자는 알렉사에 설치된 앱이 무엇인지 알 수 있게 된다.
4) 또한 사용자의 CSRF 토큰을 확보하는 데도 성공한다.
5) 원격에서 사용자인 것처럼 접속해 추가 스킬 및 앱들을 설치한다.
6) 혹은 사용자의 ‘음성 명령 히스토리’에 접근해 각종 민감 정보를 취득한다.

바누누는 보고서를 통해 “공격 흐름이 대단히 어렵기는커녕 쉬운 편에 속한다”며 “실력 수준에 따라 단계별로 좀 더 ‘부드러운’ 공격을 할 수는 있겠지만, 뛰어난 상위 해커들만 할 수 있는 건 아니”라고 강조했다. 그러면서 “실험을 통해 은행 정보, 사용자 이름, 전화번호까지 확보할 수 있었다”고 말했다.

알렉사를 비롯해 구글 홈(Google Home) 등과 같은 가상 어시스턴트들에서는 프라이버시가 꾸준하게 발굴되고 있다. “이런 이력들과 이번 연구를 통해 현재의 알렉사 사용자들에게 바라는 건 하나입니다. ‘내가 이 장비로 꽤나 많은 정보를 보내고 있다’는 걸 인지하는 것이 바로 그것입니다. 가상 어시스턴트들이 제공하는 편리함을 아무런 생각이나 인지 없이 누리기만 하는 건 스스로를 큰 위험에 처하게 하는 행동입니다.”

3줄 요약
1. 아마존 알렉사에 설치된 앱 통해 민감한 정보 유출될 수 있음.
2. 가상 어시스턴트들을 통한 프라이버시 문제가 꾸준히 발견되는 편.
3. 가상 어시스턴트들의 편리함 누릴 때 ‘내가 개인정보를 꾸준히 입력하고 있다’는 걸 인지해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)