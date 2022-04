테크

[함께 쓰는 풀리퀘]그 비밀번호가 안전하지 않은 이유②

‘풀리퀘’는 깃허브에서 타인의 코드에 리뷰를 요청하는 기능인 ‘풀 리퀘스트’의 줄임말입니다. 풀리퀘를 통해 코드는 더 발전하는데요. 알아두면 쓸모 있는 IT업계의 크고 작은 사건들을 변규홍 스켈터랩스 개발자가 격주로 ‘풀리퀘’ 드립니다. 세상에서 가장 안전한 비밀번호는 무엇일까? 정답은 ‘없다’. 웹사이트 ‘해브아이빈폰드’(HIBP, ';--have i been pwned?)에는 2022년 4월 20일 기준 117억건이 넘는 개인정보 유출 사례가 등록되어 있다. [1] [2] 이곳에 자신의 이메일 주소를 입력하면 <그림 1>처럼 HIBP 운영자가 수집한 개인정보 유출 사례 중 해당되는 경우가 있는지 알려준다. 필자도 확인해보니 2013년 어도비(Adobe) DB 유출 사고 때 이메일 주소와 함께 암호화된 비밀번호가 유출되었던 모양이다. 이처럼 제아무리 길고 복잡한 비밀번호일지라도 유출된 적이 있다면 이미 안전과는 거리가 멀다. 그리고 비밀번호가 유출되는 경로는 생각보다 다양하다. 이어서 몇 가지 실제 유출 사례와 함께 비밀번호가 언제 어떻게 위험해 처할 수 있는지 살펴보자. 믿는 키보드에 비밀번호 찍힌다: 키로거(KeyLogger) 은행 ATM기를 사용하다 보면, 바로 뒤에 선 사람이 비밀번호를 훔쳐볼 수 있으니 조심하라는 안내가 나오곤 한다. 스마트폰 잠금화면 패턴을 입력하다가 눈썰미 좋은 친구에게 패턴을 들킨 경험이 있다면, 비밀번호를 입력하는 바로 그 순간이야말로 비밀번호 유출이 일어나기 쉬운 때다. 그런데 여기서 질문을 던져보자. 당신이 지금 쓰고 있는 키보드, 누군가 훔쳐보고 있지 않다고 믿을 수 있는가?키보드를 몰래 감시하면서 언제 어떤 키가 눌렸는지 기록하고 유출하는 악성 코드, 키로거(KeyLogger)의 주된 용도 중 하나는 바로 비밀번호를 알아내는 것이다. 윈도우 사용자라면 온갖 종류의 악성 코드 제거 프로그램을 찾아다녀본 경험이 있을 것이다. 안드로이드 스마트폰을 사용하는 사람이라면 스마트폰의 키보드를 기본 내장 키보드가 아닌 다른 것으로 바꿀 때 ‘비밀번호 및 신용카드 번호와 같은 개인정보를 비롯하여 입력한 모든 텍스트가 수집될 수 있다'는 취지의 경고문을 본 기억이 있을 것이다. 비밀번호를 입력하려면 어쩔 수 없이 키보드를 거쳐야 하는데, 그 키보드를 믿을 수 없다면 너무나 당혹스러울 일이다.하지만 키보드에 의한 비밀번호 유출은 악의에 의해서든, 실수에 의해서든 얼마든지 일어날 수 있다. 그래서 지금도 국내외 유명 스마트폰 키보드 앱에서는 입력된 내용이 유출된 사례가 종종 보고되곤 하는데, 대개 통계 및 기능 개선 목적으로 개발자 혹은 회사가 수집한 데이터가 유출된 것이다. [3] 때때로 이렇게 유출된 자료에 비밀번호가 포함되는 경우도 있다.키보드 없이 비밀번호를 입력하는 방법을 생각하기는 쉽지 않다. 그럴 바에는 차라리 비밀번호가 아닌 다른 방법을 쓰는 게 나을 것이다. 가끔 공동인증서 관련 앱이나 금융 관련 앱을 쓰다 보면 ‘화상 키보드'를 통해서만 비밀번호를 입력할 수 있게 되어 있다. 키로거 등의 이유로 키보드를 믿지 못할 수 있으니, 차라리 마우스 클릭 등 화면의 위치를 통해 정보를 전달하면 그나마 낫지 않을까 하는 임시방편이다. 이러한 ‘화상 키보드'는 매번 조금씩 키의 배열이나 위치를 바꾸도록 설계된다. 키로거 중에는 마우스 클릭 위치와 시간을 기록하는 경우도 있기 때문이다.내가 지금 사용하는 컴퓨터에 악성 코드가 설치되어 있지는 않은지, 혹시 키보드 그 자체에 믿지 못할 구석은 없는지 고민해야 하는 이유다. 아무리 복잡한 비밀번호여도 키보드 정보가 유출된다면 소용이 없다. 비밀번호가 거쳐가는 웹 브라우저의 보안 연결 상태를 확인하자 아래 <그림 2>는 통일법제 데이터베이스 웹사이트와 블로터 웹사이트를 접속할 때 웹 브라우저의 주소창 왼편에 표시되는 내용을 비교한 것이다. 통일법제 데이터베이스 웹사이트의 주소는 http://www.unilaw.go.kr 이고 블로터 웹사이트의 주소는 https://bloter.net 이다. 눈썰미가 좋은 사람이라면 HTTP 프로토콜을 사용할 때 ‘이 사이트는 보안 연결(HTTPS)이 사용되지 않았습니다.(You are not securely connected to this site.)’라는 문구와 함께 비밀번호의 유출이 이뤄질 수 있다고 경고하는 모습을 볼 수 있다. HTTPS 프로토콜을 사용할 때 나오는, 사용자를 좀더 안심시키는 안내 문구와는 대조적이다.웹 브라우저 등에서 많이 쓰이는 HTTP 프로토콜과 HTTPS 프로토콜의 가장 큰 차이점은 웹 브라우저와 서버가 정보를 주고받을 때 오직 웹 브라우저와 서버 사이에서만 서로 알아볼 수 있는 형태로 암호화를 한다는 점이다. HTTPS 프로토콜은 통신이 본격적으로 시작되기 전에 서로 간에만 통신 내용을 암호화하고 해독할 수 있도록 준비하는 절차를 갖지만 HTTP에는 그런 절차가 없다. [4] 즉, HTTP 프로토콜에서는 모든 정보가 암호화되지 않은 평문으로 전달되는 셈이다. 동네 카페나 관공서의 와이파이(Wifi)를 사용중이라면, 이 와이파이 기기의 관리자에게는 내 스마트폰 혹은 컴퓨터와 웹 서버 사이에서 HTTP 프로토콜로 오가는 모든 내용이 평문으로 노출될 수 있다. 인터넷 네트워크에서 오가는 정보를 감시하는 패킷 스니핑(Packet Sniffing)에 취약하다는 말이다. 이에 HTTP 프로토콜을 사용한다면 ID와 비밀번호를 웹 브라우저에 입력한 것이 웹 서버로 가는 중간에 패킷 스니핑에 의해 누군가에게 유출될 수 있다는 점을 기억해야 한다. 조심할 사항이 하나 더 있다. 웹 브라우저가 웹 서버에게 비밀번호를 전달할 때 URL 주소 그 자체를 사용하는 경우(GET method를 사용하는 경우)를 피해야 한다. 예를 들어 www.example.com 이라는 웹사이트에 example 이라는 ID, wewritepullrequesttogether 라는 비밀번호를 써서 로그인할 때, ID 와 비밀번호를 URL https://www.example.com/login?id=example&password=wewritepullrequesttogether 처럼 전송하는 경우가 있을 수 있다. [5] 1990년대에는 생각보다 흔히 볼 수 있는 광경이었다. 특히 한국에서는 이상할 정도로 많은 웹사이트에서 회원 가입 시 주민등록번호를 요구하곤 했는데, 하필 HTTP GET method 를 사용하는 바람에 주민등록번호를 비롯한 온갖 민감한 정보를 URL 주소에 포함시켜서 서버에 전달하곤 했던 것이다. 웹 브라우저의 기본적인 기능 중 하나가 바로 최근에 접속했던 URL 주소(방문 이력)를 기억하는 기능이다. 회원가입이나 로그인을 하느라 URL 주소에 비밀번호가 남아버렸는데 그걸 지우지 않았다면? PC방 등의 장소에서 공용 PC를 사용하는 상황이라면 소중한 비밀번호를 그대로 웹 브라우저의 방문 이력 화면을 통해 다음 사람에게 넘겨주는 꼴이다.비밀번호를 사용하는 사람이라면 비밀번호가 최종적으로 서버에 전송되기까지의 과정 속에서 비밀번호가 유출될 가능성이 명백히 보이는 상황은 아닌지 유의해야 한다. HTTP 프로토콜을 사용한다거나, 아니면 URL 주소에 그대로 비밀번호를 담는 상황을 만난다면 즉시 비밀번호의 유출 가능성을 우려하도록 하자. 서버 자체의 보안이 취약한 경우도 있다 2012년 2월, 한국을 포함한 9개 나라 300여개 서버를 해킹한 네덜란드의 10대 청소년 블랙 햇 해커 Y가 치밀한 국제 공조 수사 끝에 검거되었다는 소식이 전해졌다. [6] [7] [8] 해커 Y는 어떻게 300여개나 되는 서버를 해킹할 수 있었을까? 실제 사건의 흐름과는 다소 다르지만 이해를 돕기 위해 조금 각색해 재구성해보면 이렇다.2001년 4월 공개 배포가 시작되어 2009년 9월을 끝으로 공식 배포가 종료된 제로보드(ZeroBoard) 4 버전은 2012년 한국인터넷진흥원(KISA)의 사용 중단 권고가 이어질 정도로 오랜 시간동안 많은 사랑을 받은 공개 CMS 소프트웨어다. 큰 어려움 없이 개인 또는 단체가 간단한 게시판을 갖춘 홈페이지를 운영할 수 있도록 해 주는 도구였다. [9] [10] [11] 2008년 제로보드 5버전이라고 할 수 있는 엑스프레스엔진(XpressEngine)이 공개되었지만, 그럼에도 많은 사람들은 여러 가지 이유로 제로보드 4버전을 계속 사용했다. 심지어 2013년에도 국내 유명 웹호스팅 업체에서 제로보드 4버전에서 엑스프레스엔진으로 데이터 이전(Migration)을 하는 방법을 자세히 해설할 정도였다. [12] 그러나 제로보드 4버전의 역사가 워낙 길고 또한 사용자층이 워낙 넓다 보니, 심각한 수준의 보안 취약점이 발견되기 시작했다. 심지어 이를 고친 버전이 나와도 정작 홈페이지 운영자들이 이를 놓치는 일도 빈번했다. CVE-2005-1820를 비롯한 이들 취약점을 활용하면, 이 취약점이 존재하는 제로보드 4 버전이 설치된 서버에 손쉽게 백도어(Backdoor)를 심을 수 있다. [13] 서버 관리자 권한을 가진 뒷문이 열리는 셈이다. 이렇게 관리자 권한을 확보한 해커는 서버의 DB나 파일을 살피는 것은 물론 서버에 또 다른 악성 코드를 당당하게 설치할 수 있다. 이를테면 홈페이지 혹은 서버 그 자체에 누군가 로그인하는 순간마다 로그인한 사람의 ID와 비밀번호를 해커에게 그대로 전송하게 할 수도 있다. [14] [15]7년 넘게 보안 업데이트 없이 방치된 제로보드 4 홈페이지가 설치된 서버는 꼼짝없이 해커 Y의 먹이가 되었다. 백도어가 설치되어 장악 당한 홈페이지와 서버는 누군가의 ID와 비밀번호를 계속 해커 Y에게 전달했다. 이중 일부는 이메일 주소의 ID, 비밀번호와 같았고, 또 일부는 다른 서버의 관리자 계정의 ID, 비밀번호와 일치했다. 해커 Y는 똑같은 ID와 비밀번호로 또 다른 리눅스 서버에 원격 접속을 시도하거나 이메일 계정에 로그인을 시도하는 과정을 반복했다. 즉, 처음엔 상대적으로 보안이 취약한 제로보드 4 기반의 서버에서 비밀번호가 계속 유출되는 상황을 만들고, 이렇게 알아낸 비밀번호로 다른 서버를 차차 장악해 나간 것이다. 보안 취약점이 있는 제로보드 4 버전을 사용하는 서버를 자동으로 찾는 해킹 도구와 새로 확보한 ID와 비밀번호를 똑같이 쓰는 서버를 자동으로 찾는 해킹 도구에 힘입어, 해커 Y는 순식간에 수백 대의 서버를 해킹하기에 이르렀다. 서로 다른 서버에 똑같은 ID와 비밀번호를 사용하는 사람들 덕분(?)이었다.보안 취약점이 있는 서버에 로그인하는 그 순간에 서버에서 비밀번호가 유출되어버리는 상황은 정말 난감하다. 서버 관리자가 제때에 보안 취약점을 패치했다면, 혹은 서버에 백도어가 심어진 정황을 확인하고 서버의 중요 프로그램이 변조된 상황을 감지했다면 좋았을 것이다. 하지만 이 경우에는 그러지 못했다. 결론: 계란도 비밀번호도 한 바구니에 담지 말자 여기까지 비밀번호가 유출될 수 있는 다양한 경로들을 살펴봤다. 키보드에서, 혹은 웹 브라우저에서, 혹은 보안이 취약한 서버에서 비밀번호가 유출되는 일은 얼마든지 발생할 수 있다. 비밀번호를 사용하는 사람이라면, 이런 시대를 살아가면서 조금이라도 비밀번호 유출에 의한 위험성을 덜 수 있는 방법은 딱 하나다. 웹 사이트마다, 서버마다 서로 다른 비밀번호를 사용하는 것이다. 계란도 비밀번호도 한 바구니에 담지 말아야 한다. ※각주[1] https://haveibeenpwned.com/[2] 이 웹 사이트의 제목은 그 자체로 SQL Injection 공격의 형태를 띠고 있다.[3] https://www.dailysecu.com/news/articleView.html?idxno=26738[4] HTTPS 등 SSL/TLS 의 구체적인 명세는 오늘 다루지 않는다. https://www.openssl.org/ 등을 살펴보자.[5] 이 상황에서는 URL 주소에 ‘?’ 글자 뒤에 ID 와 비밀번호가 ‘&’ 로 구분되어 각각 표현되어 있는 것을 볼 수 있다. 웹 사이트 설계자가 POST, PUT 등의 다른 방법을 쓰도록 해 놓았다면 최소한 정보가 URL 주소에 포함되는 상황은 피할 수 있다. 참고로, 한때 이런 이유 때문에 비밀번호에 특수문자를 쓰지 못하게 막는 경우가 있었다. URL 주소에 특수문자가 들어갈 때 온갖 문제가 발생하기 때문이다.[6] 보통 악의적인 공격 목적의 해커를 블랙 햇 해커, 보안 취약점 발견 등 선의의 해커를 화이트 햇 해커로 나눠 부르곤 한다. 이 용어를 쓸 때는 무슨 색 모자를 썼는지가 중요하기 때문에 ‘햇'(Hat, 모자)을 생략하지 않도록 주의해야 한다. 블랙 해커, 화이트 해커, 처럼 쓰지 말자.[7] 사건에 대한 자세한 내용은 정부 보도기사를 참고하자.https://www.korea.kr/news/pressReleaseView.do?newsId=155819543&pageIndex=3513[8] 나이와 해킹범죄의 규모는 숫자에 불과하다는 것을 잘 드러내는 또 하나의 사례이다. https://www.joongang.co.kr/article/23657229[9] XE(https://www.xpressengine.com/)의 전신인 그 제로보드를 말한다.[10] https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=1586[11] https://www.bloter.net/newsView/blt200809050001[12] https://blog.cafe24.com/1343[13] https://cosmic.mearie.org/2005/01/zeroboard-4.1-remote-exploit[14] 예를 들어 ssh 접속을 담당하는 sshd 자체를 악성 코드가 담긴 버전으로 교체하는 상황을 생각할 수 있다. 서버 관리자가 서버 관리를 위해 ssh 접속을 하면서 ID와 비밀번호를 입력하는 순간, 서버에서 비밀번호를 인증하는 바로 그 순간에 비밀번호가 서버로부터 해커에게 유출되도록 조작하는 것이다.[15] ssh 접속 시 비밀번호 인증 방식을 쓰지 말고 ssh-key 인증 방식을 사용했다면 그나마 나았을 것이다. ssh 접속은 사용하지만 ssh-key 가 익숙하지 않은 사람은 깃허브(Github)의 가이드 문서를 통해 익혀보자. https://docs.github.com/en/authentication/connecting-to-github-with-ssh/about-ssh