Home > 전체기사
고양이의 습격! 비즈니스용 스카이프 마비시키는 이모티콘들
  |  입력 : 2018-11-20 16:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이모티콘 100개 보내면 느려지고, 800개 보내면 거의 멈추는 현상
장난에 더 많이 활용될 수도 있지만 공격자 동기 충분하면 위험


[보안뉴스 문가용 기자] 비즈니스용 스카이프(Skype for Busienss)에서 서비스 거부 취약점이 발견됐다. 이는 이모티콘을 스카이프 클라이언트로 대량 보내면 발동시킬 수 있다고 한다.

[이미지 = iclickart]


이 취약점은 SEC 컨설트 취약점 연구소(SEC Consult Vulnerability Lab)에서 발견한 것으로, CVE-2018-8546이라는 번호가 붙었고, 익스플로잇이 대단히 쉽다는 치명적인 특징을 가지고 있다. 공격자 입장에서는 공격 대상을 설정하고, 비즈니스용 스카이프나 링크(Lync) 클라이언트로 이모티콘을 수백 개씩 보내기만 하면 된다.

SEC 컨설트의 전문가들은 이 취약점을 시연하기 위해 아기 고양이 이모티콘을 사용했는데, 이는 이 공격이 ‘키튼 오브 둠(Kitten of Doom)’이라는 가칭을 가지고 있기 때문이다. 이모티콘을 100개 정도 보내면 비즈니스용 스카이프 클라이언트가 느려지기 시작한다. 그리고 이모티콘을 증가하는 것과 비례하여 속도는 계속해서 느려진다.

이모티콘이 800개 정도에 다다르면 스카이프 클라이언트가 한 개의 요청에 응답하는 데 수초씩 걸리기 시작한다. “글자 하나를 타이핑 하면 몇 초 있다가 화면에 나타나는 식이죠. 이 상태에서 이모티콘을 더 보내면 결국 사용이 불가능한 상태가 됩니다. 이모티콘 전송을 멈출 때까지 스카이프는 쓸모없게 됩니다.”

이모티콘을 보내는 데 특별한 도구가 필요한 것도 아니다. 공격자는 공격 대상을 한 회의 세션으로 초대하기만 하면 된다. 스카이프를 통해 직접 연락을 취해도 공격 조건이 성립된다.

물론 800개 이모티콘만으로 모든 클라이언트가 멈추는 건 아니다. 이 취약점이 나타난 버전은 다음과 같다.
1) 비즈니스용 스카이프 2016 MSO(16.0.93) 64비트 혹은 그 이전 버전
2) 비즈니스용 스카이프 프리커서(초창기 버전)
3) 마이크로소프트 링크 2013(15.0) 64비트

다행스러운 건 이 공격으로 심대한 피해를 줄 가능성이 그리 높지 않다는 것이다. 피해자가 경험하는 건 귀엽고 장난스런 이모티콘이 계속해서 도착하는 것 뿐이며, 스카이프가 잠시 느려지다가 멈춘다고 해도, 그 상태가 지속되는 것도 아니다. 이모티콘이 안 오기 시작하면 디도스 상태도 다시 원래대로 돌아간다. 그나마 마비되는 것도 ‘채팅’뿐이지 음성 대화와 화상 회의와 같은 기능은 정상적으로 돌아간다.

그렇다면 무엇이 문제일까? SEC 컨설트 측은 제일 먼저 “링크나 비즈니스용 스카이프는 많은 조직들에서 매일처럼 사용하는, 상당히 중요한 역할을 하고 있는 툴들”이라고 지적한다. “경쟁사가 매일 같이 이 두 가지 프로그램을 통해 진행되는 중요 회의에 난입해서 고객의 기분을 상하게 만들 수 있고, 경쟁 부서나 앙심을 품은 같은 회사 직원의 업무를 방해하는 것도 가능합니다. 동기만 있다면 얼마든지 악용될 수 있다는 것입니다.”

다행히 마이크로소프트는 지난 주 패치 튜즈데이(Patch Tuesday)를 통해 CVE-2018-8546에 대한 픽스를 발표했다. 패치가 불가능한 여건에 처해 있다면 다음과 같은 절차를 통해 위험성을 완화시킬 수 있다.
1) Tools -> Options -> IM -> Show Emoticons in messages를 선택한다.
2) Privacy 옵션의 세팅을 연락처 목록에 있는 사람만 이모티콘을 보낼 수 있도록 조정한다.

이와 비슷한 문제는 2015년에도 발견된 바 있다. 애니메이션 기능을 가진 이모티콘을 폭탄처럼 보내 클라이언트의 CPU 사용률을 급격하게 높일 수 있게 해주는 취약점이었다고 SEC 컨설트 측은 설명했다.

3줄 요약
1. 비즈니스용 스카이프 일부 버전에서 디도스 취약점 발견됨.
2. 이모티콘을 대량으로 보내면 상대 스카이프나 링크가 작동을 멈추는 것.
3. 장난스러운 취약점이긴 하나 동기 분명하면 악용 가능함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)