Home > 전체기사
유명 업체들의 기업용 VPN 앱에서 취약점 발견돼
  |  입력 : 2019-04-17 10:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인증 토큰과 세션 쿠키를 암호화 없이 로컬에 그대로 저장
물리적 접근 성공하거나 시스템 침해하면 VPN 세션도 장악 당할 수 있어


[보안뉴스 문가용 기자] 시스코(Cisco), F5 네트웍스(F5 Networks), 팔로알토 네트웍스(Palo Alto Networks), 펄스 시큐어(Pulse Secure)에서 만든 VPN 앱들에서 문제가 발견됐다. 인증 토큰과 세션 쿠키를 암호화 없이 사용자 컴퓨터에 저장한다는 것이다. 이에 대해 미국의 사이버 보안 및 기반 시설 안보국(Cybersecurity and Infrastructure Security Agency, CISA)가 발표했다.

[이미지 = iclickart]


“VPN앱이 인증 토큰과 세션 쿠키를 그런 식으로 저장한다는 건, 사용자 장비에 로컬 접근이 가능한 공격자가 VPN 세션을 스푸핑하고, 사용자인 것처럼 가동시킬 수 있다는 뜻이 됩니다.” VPN이라는 것이 인터넷의 A라는 지점에서 B라는 지점을 안전하고 은밀하게 연결하는 데 사용된다는 것을 생각했을 때 이는 치명적인 결함일 수 있다.

“공격자가 VPN 사용자의 엔드포인트에 지속적으로 접근할 수 있게 되거나, 쿠키를 빼돌릴 수 있게 된다면, 사용자의 VPN 세션을 똑같이 재생함으로써 인증 장치들을 우회할 수 있게 됩니다. 사용자가 VPN을 통해 접근하고 사용했던 애플리케이션들을 공격자들도 사용할 수 있게 되는 겁니다.” CISA의 설명이다.

문제가 발견된 VPN들 중 쿠키를 로그 파일과 메모리 내에 불안전하게 저장하는 것으로 나타난 플랫폼들은 다음과 같다.
1) CVE-2019-1573 : 팔로알토의 ▲윈도우용 글로벌프로텍트 에이전트 4.1.0(GlobalProtect Agent 4.1.0 for Windows), ▲ 맥OS용 글로벌프로텍트 에이전트 4.1.10(GlobalProtect Agent 4.1.10 for macOS) 및 그 이전 버전.
2) CVE-2013-6024 : 펄스 시큐어의 ▲ 커넥트 시큐어(Connect Secure) 8.1R14 이전 버전, 8.2, 8.3R6, 9.0R2, ▲ F5 BIG-IP APM 11.41 및 이전 버전의 엣지 클라이언트(Edge Client)요소들, ▲ BIG-IP 엣지 게이트웨이(Edge Gateway) 11.3 및 이전 버전, ▲ 파이어패스(FirePass) 7.0 및 이전 버전.

여기에 더해 시스코의 애니커넥트(AnyConnect) 4.7.x 및 그 이전 버전들은 쿠키를 메모리 내에 부정확하게 저장한다고 한다. CISA는 “다른 플랫폼들에서도 비슷한 현상이 충분히 있을 수 있다”며 “VPN 애플리케이션들에서 흔히 나타나는 현상으로 의심된다”고 말했다.

보안 업체 시큐리티퍼스트(SecurityFirst)의 CMO인 댄 터클러(Dan Tuchler)는 “지금 언급되고 있는 VPN들은 유명 업체들이 기업용으로 만든 것들”이라고 강조한다. “기업의 자산을 보호하기 위해 승인을 받은 정상 사용자들만 접근할 수 있도록 만든 것입니다. 하지만 이렇게 기초적인 부분에서 문제가 발견됐다는 건 심각한 일입니다.”

그러면서 그는 “브랜드 이름과 ‘기업용 제품’이라는 분류만으로 자산을 안전하게 지킬 수 없다”고 강조한다. “네트워크의 경계선이라는 개념이 얼마나 모호한 것인지 이해하고, 제로트러스트(zero-trust) 모델을 도입하는 게 중요합니다. 공격자가 네트워크에 침투하는 데 성공한 후 고가치의 자산에 접근하기 시작했을 때를 가정하고 데이터를 암호화하고, 접근과 사용에 있어 안전한 정책을 적용하며, 항상 모니터링해야 하죠. 좋은 회사의 VPN을 사용했다는 것만으로 뭔가가 보호될 거라는 생각은 거의 항상 틀립니다.”

팔로알토는 글로벌프로텍트 4.1.1 버전을 통해 위 문제를 패치했다. F5도 12.1.3과 13.1.0 및 상위 버전들을 통해 자사 제품에서 나타난 문제들을 해결했다. 사실 F5는 불안전한 메모리 저장 문제를 2013년부터 알고 있었다고 CISA는 설명한다. 시스코의 애니커넥트와 펄스 시큐어의 커넥트 시큐어 제품의 경우, 아직 패치가 나오지 않고 있다.

(기사 업데이트 : 펄스시큐어의 경우 Pulse Desktop Client 9.0R3를 포함한 그 이후 버전과 Pulse Desktop Client 5.3R7을 포함한 그 이후 버전, 펄스커넥트시큐어(PCS) 9.0R3 및 그 이후 버전, 8.3R7 및 그 이후 버전, 8.1R14 및 그 이후 버전을 통해 픽스 배포를 완료했다.)

이번에 발표된 취약점들은 전부 중간 등급의 위험성을 가지고 있는 것으로 결정됐다. 악용을 위해서는 공격자가 사용자의 컴퓨터를 먼저 침해하거나 물리적으로 접근해야 하기 때문이다.

보안 업체 콤패리테크(Comparitech)의 프라이버시 고문인 폴 비쇼프(Paul Bischoff)는 “중간급 위험도를 가진 취약점이라고 해서 간과하면 안 된다”고 강조한다. “이 VPN을 사용하는 조직들이라면 보안과 자산 보호에 큰 신경을 쓰고 있는 경우가 많을 텐데, 그런 곳이라면 해커들이 더 집요하게 표적 공격을 할 수 있습니다. 공격을 성립시키기 위한 전제조건이란 건 해커들에게 그리 큰 문제가 되지 않을 때가 많습니다.”

3줄 요약
1. 시스코, F5 네트웍스, 팔로알토 네트웍스, 펄스 시큐어에서 제공하는 VPN 앱들에서 취약점 발견됨.
2. 세션 쿠키 등을 로컬에 암호화 하지 않고 저장하는 것으로, 공격자가 해당 시스템을 침해하면 사용자 흉내 내 VPN 사용 가능.
3. 유명 업체의 솔루션 하나만으로 모든 보안 문제가 해결되지 않는다는 점 기억해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향