Home > 전체기사
트럼프 대선 캠페인 공식 사이트, 백엔드까지 노출됐었다
  |  입력 : 2019-10-21 10:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유명 오픈소스 PHP 웹 앱 프레임워크 라라벨의 디버그 기능, 열린 채 방치
백엔드에 침투해 민감한 정보 가져가면 이메일 가로채거나 대신 발송 가능해


[보안뉴스 문가용 기자] 미국 트럼프 대통령의 공식 캠페인용 웹사이트가 중요한 정보를 노출하고 있는 것으로 나타났다. 해커들이 이 정보를 확보해 활용할 경우 트럼프 캠페인 내 이메일을 엿볼 수 있을 뿐만 아니라, 트럼프 캠페인이 발송한 것처럼 메일을 내보낼 수도 있게 된다고 한다.

[이미지 = iclickart]


이를 발견한 보안 업체 콤패리테크(Comparitech)의 밥 디아첸코(Bob Diachenko)와 세바스찬 콜(Sebastien Kaul)에 의하면 “문제의 핵심은 라라벨(Laravel)”이라고 한다. “라라벨은 인기가 높은 오픈소스 PHP 웹 애플리케이션 프레임워크입니다. 여기에는 디버그 모드가 하나 있는데, 개발자들이 오류와 설정 오류를 찾는 데 사용하라고 만들어진 것입니다.”

이 디버그 모드는 원래 개발 단계에서만 사용하도록 의도된 것이다. 그러나 많은 개발자들이 웹사이트를 완성해서 운영을 시작하면서 이 디버그 모드 닫는 것을 잊어버린다. 온라인 상에서 문이 열린 웹사이트인데 디버그 모드까지 활성화되어 있다? “대단히 위험한 상태입니다. 여러 가지 백인데 정보가 노출될 수 있어요. 크리덴셜과 비밀 키 등이 말이죠.”

디아첸코와 콜은 이런 점을 깨닫고는 라라발의 디버그 모드가 활성화 된 웹사이트를 인터넷에서 스캔하기 시작했다. “그 결과 약 760개 사이트를 찾아낼 수 있었습니다. 이 중 민감한 설정 정보를 노출시키고 있는 건 약 10~20% 정도 될 것이라고 추측하고 있습니다. 여기에는 donaldjtrump.com이라는 트럼프 대통령의 공식 캠페인 사이트도 포함되어 있고요.”

콤페리테크에 의하면 트럼프의 캠페인 웹사이트는 메일 서버 정보를 평문으로 노출시키고 있다고 한다. “이 정보를 공격자가 활용할 경우 바깥으로 나가는 이메일을 중간에서 가로챌 수도 있고, 트럼프 캠페인의 일원이 보낸 것처럼 메일을 보낼 수도 있게 됩니다. 캠페인을 방해하기에 안성맞춤인 것이죠.”

하지만 트럼프 웹사이트에서 이 디버그 모드가 얼마나 오랜 시간 활성화된 채로 방치된 것인지는 정확히 알 수 없다고 한다. “이를 웹사이트 운영자와 캠페인 측에 알렸고, 이 부분을 해결하는 데 약 5일이 걸렸습니다. 대처가 빠르다고 말하기는 힘듭니다.”

설사 이 5일이 전부였다고 하더라도 문제는 충분히 커질 수 있다는 게 디아첸코의 설명이다. “24시간 동안만 열려 있었다고 하더라도 위험성은 충분합니다. 이론 상 이 시간 안에 내부 정보에 접근했던 사람이라면 누구라도 트럼프 캠페인의 일원인 것처럼 온라인 상에서 신분을 위장할 수 있거든요. 딱 한 번만 성공하면 치명적으로 작용할 수 있는 위험이기 때문에 단 하루라도 영향력이 클 수 있습니다.”

하지만 트럼프 캠페인 측은 “이미 해결된 문제”라고만 대응하고 있는 실정이다. “그 동안 아무런 피해도 없었고, 위험에 처한 디지털 자산도 없으며, 새나간 정보도 없다고 자신하고 있습니다. 그러면서 낡은 코드가 가진 취약점은 어쩔 수 없다는 식입니다.” 디아첸코의 설명이다.

라라벨의 디버그 모드가 열린 채 웹사이트를 운영할 경우 민감한 정보가 노출될 수 있다는 건 이미 널리 알려진 사실이다. 작년에도 디아첸코와 콜은 쇼단(Shodan)과 바이너리에지(BinaryEdge) 등의 검색 엔진을 사용해 566개의 취약한 웹사이트를 찾아내 경고한 바 있다.

이 외에도 작업이 다 끝난 뒤 마무리를 깔끔하게 짓지 못하여 생기는 보안 문제는 심심찮게 나타나곤 한다. 개발자들의 사이트 유지 관리를 위하여 열어둔 백도어를 해커들이 찾아내기도 하고, 보안 전문가들이 침투 테스트를 위해 만들어둔 공격 경로를 닫아두지 않아 실제 공격이 발생하기도 한다. 그 외 퇴사자들의 계정을 삭제하지 않는 것도 공격자들에게 큰 도움이 된다.

3줄 요약
1. 트럼프 캠페인 공식 사이트, 사실상 백엔드까지 열린 상태.
2. 라라벨이라는 PHP 웹 앱 프레임워크의 디버그 모드가 문제.
3. 개발 끝나고 비활성화시켜야 하는데, 그걸 깜빡하면 백엔드까지 침투 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)