Home > 전체기사
페이팔, 크리덴셜 탈취 취약점 발견한 전문가에게 1만 5천 달러 지급
  |  입력 : 2020-01-10 12:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인증 과정 중에 발견한 치명적인 취약점...이메일과 비밀번호를 평문으로 노출시켜
버산은 핵심 세부 사항 비껴가며 취약점 공개...페이팔은 1만 5천 달러 상금으로 건네


[보안뉴스 문가용 기자] 한 보안 연구원이 페이팔에서 치명적인 취약점을 발견해 1만 5천 달러의 상금을 받았다. 공격자가 이 취약점을 익스플로잇 하면 사용자 이메일 주소와 비밀번호를 쉽게 얻어낼 수 있다고 한다.

[이미지 = iclickart]


연구원은 페이팔의 주요 인증 시스템의 구조를 분석하다가 이러한 취약점을 발견했다고 한다. “취약점은 페이팔이 교차 사이트 요청 조작(CSRF) 토큰과 사용자 세션 ID를 자바스크립트 파일에 저장하는 과정 중에 발생합니다.” 이 연구원은 알렉스 버산(Alex Birsan)이라는 인물로, “CSRF 토큰과 세션 ID와 같은 정보를 직접적으로 활용해 공격을 실시할 수 있는 건 아니지만, 이 두 가지 정보를 가지고 페이팔의 계정 보호 장치를 뚫어낼 방법이 없는 건 아니었다”고 말한다.

페이팔 사용자가 여러 번 로그인을 시도하면, 리캡챠 문제를 풀어야만 한다. 이 리캡챠 문제가 나타나는 페이지에는 구글의 캡챠(Google CAPTCHA)만이 호스팅 되어 있다. 사용자가 문제를 성공적으로 풀 경우, /auth/validatecaptcha에 HTTP POST 요청이 전달된다. “그러면서 사용자는 다시 한 번 인증 과정에 돌입하게 됩니다. 그러나 캡챠에 대한 사용자의 반응이 전달될 때 사용자가 그 전까지 제공한 모든 정보가 같이 전달됩니다. 이메일 주소와 평문으로 된 비밀번호가 여기에 포함되죠.”

버산이 발견한 바에 의하면, CSRF 토큰과 세션 ID는 또 다른 토큰 두 개와 함께 요청의 본문에 저장되어 있다고 한다. 이 모든 토큰들을 공격자가 다 알게 된다면 페이팔 크리덴셜을 취득하는 게 가능해진다는 게 버산의 연구 결과다.

“세 개의 토큰 값을 알아야 한다는 건데요, CSRF 토큰은 공격자가 가지고 있고, 나머지 두 개 중 하나는 리캡챠 토큰입니다. 사용자가 구글 리캡챠를 풀 때 구글이 제공하는 것이죠. 하지만 이 토큰은 세션과 전혀 관계가 없습니다. 즉, 리캡챠를 풀었다는 내용이 담긴 토큰이라면 아무 토큰을 가져다 써도 된다는 겁니다.” 나머지 한 개 토큰을 공략하는 방법은 버산이 미공개로 처리했다.

“그런 후 피해자가 같은 브라우저를 사용해 페이팔에 로그인을 완료했다면, 캐싱 된 무작위 크리덴셜은 사용자의 이메일 주소와 비밀번호로 대체됩니다. 그러면 몇 가지 추가 작업을 통해 /auth/validatecaptcha 엔드포인트에서 평문으로 된 크리덴셜을 얻어낼 수 있게 됩니다.” 버산의 설명이다. 모방 범죄를 고려해 핵심적인 세부 사항은 밝히지 않는다고 한다.

하지만 이런 공격을 성립시키려면 사용자가 페이팔로 로그인을 하기 전에 악성 웹사이트를 방문하도록 유도해야 한다. “이는 공격자들이 각종 소셜 엔지니어링이나 피싱 기법으로 해결할 수 있습니다. 또한 특정 체크아웃 페이지에서도 비슷한 공격을 통해 신용카드 데이터를 평문으로 받아볼 수 있다는 것도 알아냈습니다.”

버산은 이러한 내용을 해커원(HackerOne) 플랫폼을 통해 페이팔에 알렸다. 11월 18일이었다. 페이팔은 이 내용을 접수해 확인했고(이 절차에 18일이 걸렸다), 패치는 12월 11일에 발표됐다. 또한 페이팔은 버산에 1만 5300 달러를 상금으로 지급했다.

페이팔은 /auth/validatecaptcha 엔드포인트가 추가로 CSRF 토큰을 요청하도록 바꿨고, 이 토큰은 버산이 발견한 공격법으로 유출시킬 수 없다는 것이 확인되기도 했다. 버산은 “이번 패치로 우려가 됐던 많은 문제들이 해결됐다”고 말했다. 하지만 “시스템을 설계할 때 조금만 더 평가를 꼼꼼하게 했어도 막을 수 있던 문제였다”는 의견도 덧붙였다. “특히 비밀번호를 평문으로 저장하지 않는다는 건 보안의 기본 중 기본인데, 이게 간과됐다는 건 믿기 힘들었습니다.”

3줄 요약
1. 한 연구원, 페이팔 인증 과정 분석하다가 취약점 발견.
2. 크리덴셜을 평문으로 취득할 수 있게 해주는 것으로, 기본 중 기본이 간과되어 있던 것임.
3. 페이팔은 1만 5천 달러를 상금으로 줌.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)