Home > 전체기사
크로미움 기반 브라우저들의 취약점, 1년 넘게 방치돼
  |  입력 : 2020-08-11 19:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
크로미움 기반 웹 브라우저들에서 발견된 중간급 취약점, CVE-2020-6519
안전의 기본인 CSP를 우회하게 해줘...자동차의 에어백이나 안전벨트가 고장난 격


[보안뉴스 문가용 기자] 구글의 크로미움(Chroimum) 기반 웹 브라우저들에서 취약점이 발견됐다. 공격자들은 이를 통해 웹사이트의 콘텐츠 보안 정책(CSP)를 회피할 수 있게 된다고 한다. 그런 상태에서 데이터를 훔치고 악성 코드를 실행하는 것도 가능하게 된다.

[이미지 = utoimage]


이 취약점은 CVE-2020-6519로, 크롬, 오페라, 에지 브라우저 모두에서 발견되고 있다. 또한 윈도우, 맥, 안드로이드와 같은 플랫폼에서 전부 익스플로잇 될 수 있다고 한다. 따라서 수억 명에 달하는 웹 사용자들이 현재 위험에 노출되어 있다고 볼 수 있다고 보안 업체 페리미터엑스(PerimeterX)의 보안 전문가 갈 와이즈먼(Gal Weizman)은 경고한다. 크롬의 경우 73~83버전까지가 위험하다.

CSP는 웹 표준의 일종으로, XSS나 데이터 주입 등 특정 웹 기반 공격을 막기 위해 마련됐다. 웹 관리자들은 CSP가 있어서 안전한 도메인과 그렇지 않은 도메인을 구분하거나 지정할 수 있게 된다. CSP와 호환이 되는 브라우저라면 안전한 도메인에서만 스크립트를 로딩해 실행한다. 대부분의 웹사이트에서 이 CSP를 적용하고 있다고 한다.

CVE-2020-6519를 익스플로잇 하기 위해서 공격자는 제일 먼저 웹 서버에 접근할 수 있어야 한다. 그런 후에 해당 서버에서 사용되고 있는 자바스크립트 코드를 조작한다. 자바스크립트 내에서 frame-src나 child-src를 추가해 주입된 코드를 로딩 및 실행시키도록 하는 것이다. 그 결과 CSP를 우회할 수 있으며, 따라서 사이트 내 보안 정책을 무시할 수 있게 된다고 한다.

이처럼 웹 서버의 인증 과정을 거치는 방식 등 ‘인증 후’에 일어나는 공격이기 때문에 이 취약점은 CVSS 기준으로 6.5점을 받는 데 그쳤다. 이는 ‘중간급’ 취약점에 해당한다. 그러나 CSP에 영향을 준다는 점에서 충분히 심각하다고 볼 수 있다. 일각에서는 이 문제가 자동차 안전벨트나 에어백에서 결함이 생긴 것과 비슷하다는 비교도 나오고 있다. 자동차 운행과는 전혀 상관이 없지만, 충돌 시 운전자나 동승자를 크게 다치게 할 수 있는 취약점이라는 것이다.

와이즈먼은 해당 취약점을 발표하며 “CSP가 있어서 안전하다고 ‘잘못’ 느끼기 때문에 오히려 더 큰 사고에 노출될 수 있다”는 점을 지적했다. “CSP가 있기 때문에 서드파티 스크립트를 마음 놓고 로딩하다가 해킹에 당할 수 있습니다. 그렇기 때문에 CSP를 깨트린다는 건 안전이라는 측면에서 대단히 큰 영향을 미칠 수 있습니다.”

와이즈만에 의하면 이 문제는 1년 넘게 크로미움 기반 브라우저들에 존재해왔다고 한다. 지금이야 패치가 된 상태지만, 워낙 긴 기간 동안 노출된 상태였기 때문에 취약점의 영향을 지금에 와서 정확히 파악하는 게 대단히 어려운 일이라고 경고하기도 했다. “조만간 이 취약점으로 인한 보안 사고나 데이터 유출과 관련된 사건이 드러날 것이라고 예상합니다.”

크로미움 기반 브라우저들을 사용하는 사람들이라면 브라우저를 최신 버전으로 업데이트 하는 것이 안전하다고 와이즈만은 강조했다.

3줄 요약
1. 크로미움 기반 브라우저에서 1년 넘은 취약점 발견됨.
2. 크롬, 오페라, 에지 등에 영향이 있음. 최신 버전 업데이트가 필수.
3. 이 취약점을 통해 CSP를 무력화시킬 수 있어 큰 피해로 이어질 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)