2024-03-29 22:50 (금)
Dropbox에 대한 3가지 공격 방법 공개
상태바
Dropbox에 대한 3가지 공격 방법 공개
  • 길민권
  • 승인 2011.08.25 21:55
이 기사를 공유합니다

Dropbox에 보존된 파일에 불법접근하는 방법 3가지 존재
[박춘식 교수의 보안이야기] 지난 8월8일부터 12일까지 미국 샌프란시스코에서 개최된 USENIX Security Symposium에서 미국에서 가장 인기있는 클라우드 스토리지 서비스 Dropbox에 존재하는 취약성이 발표되었다.
 
이 취약성은 Dropbox에 의해 논문 발표 이전에 이미 수정조치 되었다. 오스트리아 SBA Research 연구자들이 발표한 “Dark Clouds on the Horizon: Using Cloud Storage as Attack Vector and Online Slack Space” 논문에 의하면、Dropbox의 클라이언트 소프트 및 데이터 송수신 프로토콜에는 결함이 있어 정상적인 이용자가 Dropbox에 보존된 파일에 대해서 불법으로 접근하는 방법이 3가지 존재한다고 주장했다.
 
연구자들은 이 취약성은 2010년에 발견되었지만 Dropbox측이 수정 대응을 하는 지를 기다렸다가 공표하였다. 발표 자료에 의하면, 해시 값을 Dropbox에 송신하면, 공격자에게도 정당한 접근 권한을 주게 되어 타켓이 된 이용자가 자신의 데이터 침해 사실을 알기 어렵다는 내용이다.
 
첫번째 공격 방법은 Hash Manipulation Attack으로, Dropbox 클라우드에 보존되어 있는 각각의 데이터 chunks(데이터 단편. Dropbox에는 각 파일은 최대 4MB의 데이터 chunks 로 분할되어 보존된다)를 식별하기 위해, 256비트의 해시 값을 위조하는 것이다. 이 해시 값은 이용자가 보존한 파일이 이미 Dropbox 클라우드(서버)에 존재하는지 아닌지를 식별하는 용도 등에 이용되고 있다.
 
이용자가 파일을 보존하려면, Dropbox 클라이언트는 그것을 데이터 chunks로 분할하고 각각의 해시 값을 클라우드로 송신한다. 클라우드 측에서는 각 해시 값이 등록되어 있는지 아닌지를 확인하고 등록되어 있지 않았으면 해당하는 데이터 chunks 의 엎로드(up load)를 클라이언트에게 지시한다.
 
반대로 해시 값이 등록되어 있다면 그 데이터 chunks는 보존 완료로 판단하고 엎로드하지 않는다. 단, 해시 값이 등록 완료인 경우에, Dropbox는 해시 값을 송신한 계정과 그의 데이터 chunks /파일을 관련 지운다. “이 때문에 해시 값을 위조함으로써 공격자는 다른 이용자의 데이터에 자유롭게 접근하는 권한을 획득하는 것이 가능하다”라고 연구자들은 설명하였다.
 
이 경우, Dropbox 클라우드가 공격자에게 정당한 접근 권한을 주고 말기 때문에 데이터 침해를 받은 이용자가 불법 접근을 알아차리는 것은 곤란하게 된다.
 
두번쨰 공격방법은 IStolen Host ID Attack, 타켓 이용자가 사용하는 Dropbox 클라이언트의 Host ID를 훔치는 것이다. Host ID는 Dropbox 클라이언트의 셋업시에 계정 명이나 셋업 실행 일시 등에 기인하여 생성되는 128비트의 키로 클라이언트 인증에 사용된다.
 
 
소셜 엔지니어링이나 멜 웨어 등을 사용해서 타켓의 Host ID를 입수하는 것이 가능하다면 공격자는 그것을 자신의 그것으로 바꾼다. 공격자가 자신의 계정으로 Dropbox를 재동기시키면 타켓이 Dropbox에 보존하고 있는 모든 파일이 공격자의 곳으로 다운로드 되고 만다.
 
세번째 방법은 Direct Up-/Download Attack으로, 다운로드 URL을 위조해서 파일/데이터 chunks 를 직접 훔치는 것이다. 이 공격은 데이터 chunks 의 해시 값과 임의의 호스트 ID마저 있으면 좋으며, 호스트 ID는 request하는 chunks 와 연결되지 않는 것이라도 문제는 없다. 단. 이 방법은 request된 chunks와 request한 계정 사이에 불일치가 발생하기 때문에 Dropbox 측에서 탐지하는 것이 가능하다.
 
위 세개의 공격 방법은 Dropbox를 사용하고 있는 조직의 내부로부터 데이터를 훔쳐내는데 사정이 좋을 것 같다. 기업 네트워크에 몰래 들어갈 필요가 없이 필요한 데이터의 해시 값을 찾아내는 것만으로 끝나는 것이다. 공격자는 어디서든지 데이터를 다운로드 하는 것이 가능하다.
 
연구자들은 이들의 공격 수법이 Dropbox 클라우드에 파일을 숨기는 목적으로도 사용될 가능성이 있다고 지적하고 있다. 개조한 Dropbox 클라이언트를 사용하면, 공격자의 계정과 연결됨이 없이 자유롭게 데이터를 엎로드 하는 것이 가능하다.
 
한편, 데이터를 다운로드 하는 경우에는 마치 엎로드하는 것과 같이 그 데이터의 해시 값을 클라우드에 송신한다면 임의의(엎로드 원래 것은 아님) 계정일지라도 다운로드 하는 것이 가능하다. 이것에 의해 위법인 파일 교환 등에 이용하는 것도 가능하다고 주장하고 있다.
[글. 박춘식 서울여자대학교 교수]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★