Search

» » 보안뉴스 - 보안뉴스

보안뉴스 - 보안뉴스

friesfresh.blogspot.com
이전에도 비슷한 연구 진행했던 보훔대학교...새로운 공격 기법 개발해 발표
어도비, 폭싯, 리브레오피스에서 만든 유명 뷰어 프로그램도 취약...패치 알맞게 나와

[보안뉴스 문가용 기자] 독일 보훔대학교에서 서명된 PDF 파일들을 공격하는 방법을 새롭게 발견해냈다. 이 방법을 통해 공격자들은 PDF 문서의 서명을 무효화시키고 콘텐츠를 마음대로 조작할 수 있게 된다고 한다. 이 공격 기법에 전문가들은 ‘그림자공격’ 혹은 ‘셰도우 어택스(Shadow Attack)’라고 이름을 붙였다.

[이미지 = utoimage]


공격 시나리오에 대해 보훔의 연구원들은 다음과 같이 설명한다. “PDF의 서명할 권리를 가진 사람은 문서를 받고 검토한 뒤 서명을 합니다. 공격자는 이렇게 서명된 문서를 확보하고 ‘그림자공격’을 통해 살짝 수정한 뒤, 원래 서명된 문서를 받아야 할 사람, 즉 피해자에게 전송합니다. 받는 사람, 즉 피해자는 이 문서를 열고 디지털 서명을 확인한 후 안심하고 문서 내용을 믿습니다. 그러나 실상은 틀린 내용을 보고 있는 것이죠.”

연구원들은 28개의 PDF 뷰어 프로그램들을 조사했고, 이 중 15개가 이런 공격 기법에 공략될 수 있다는 것을 알아냈다. 어도비(Adobe), 폭싯(Foxit), 리브레오피스(LibreOffice)에서 만든, 소비자들 사이에서 꽤나 유명한 앱들도 이 15개에 포함이 되어 있었다고 한다. 물론 지금은 연구 결과를 먼저 받아보고 세 회사 모두 패치를 배포한 상태다. 하지만 그 외 나머지 개발사들은 연구 결과에도 답장이 없거나, 패치를 개발하지 않고 있다.

이 연구원들은 이전에도 PDF 파일 서명 기술을 무력화시키는 방법을 발견한 적이 있었다. 당시에도 이들이 발견한 방법을 가지고 서명을 깨고, 문서 내용을 바꿀 수 있었다고 한다. 이번에는 기존과 다른 공격 기술을 무려 세 가지나 들고 나왔다. 각각 ‘그림자공격 : 숨기기’, ‘그림자공격 : 바꾸기’, ‘그림자공격 : 숨기고 바꾸기’라고 명명됐다. 말 그대로 콘텐츠를 공격자가 마음대로 숨기거나, 교체하거나, 둘 다 하는 것을 말한다.

1) 숨기기 : PDF 내용 일부를 숨기게 해준다. 공격자들은 서명자에게 정상적으로 보이는 메시지와 이미지 등이 포함된 문서를 보낸다. 그러나 그 밑에는 공격자들이 원하는 콘텐츠를 숨겨둘 수 있다. 서명자는 공격자들의 ‘진짜’ 콘텐츠는 보지 못하고 문서를 서명한다. 서명된 문서는 다시 공격자에게 되돌아간다. 이 시점에서 공격자는 콘텐츠를 조작해 그들의 진짜 의도가 담긴 콘텐츠가 드러나도록 만든다.

2) 교체하기 : 그 자체로는 아무런 이상이 없어 보이지만 콘텐츠가 나타나는 형태에 영향을 줄 수 있는 객체를 서명된 PDF 문서에 첨부한다. 예를 들어 폰트 규정과 관련된 객체를 첨부할 경우 콘텐츠를 직접 변경하지는 못하지만 콘텐츠가 화면에 출력되는 방식에 영향을 줄 수 있다. 그러면서 일부 글자들이 다른 문자나 기호로 바뀌도록 할 수도 있다.

3) 숨기고 바꾸기 : 가장 강력한 유형의 ‘그림자공격’이라고 연구원들은 설명한다. 서명된 문서의 내용을 전체적으로 바꿀 수 있게 해주기 때문이다. 공격자들은 같은 객체 ID를 가진 두 개의 객체를 활용함으로써 자신들의 악성 콘텐츠를 감춰두고, 정상적으로 보이는 콘텐츠를 표면에 드러나게 할 수 있다. 그런 상태에서 서명자에게 문서를 보내고 서명을 받은 문서를 되돌려 받는다. 되돌려 받은 후 공격자들은 Xref 표와 트레일러(Trailer)를 새롭게 첨부해 아까 숨겨 둔 악성 콘텐츠가 보이도록 만든다.

많은 정부 기관과 기업들에서 PDF의 진본성을 유지하기 위해 서명이라는 수단을 활용한다. 문서를 만들어 서명을 함으로써 아무도 내용을 바꾸지 못하게 하고, 문서를 받는 사람은 이 서명을 확인함으로써 내용이 진짜임을 알게 되는 구조다. 그러나 ‘그림자공격’ 기법이 있으면 이 신뢰 구조가 완전히 파괴된다. ‘그림자공격’을 가능케 하는 취약점은 CVE-2020-9592와 CVE-2020-9596이다.

3줄 요약
1. 신뢰를 위한 장치, PDF 서명 기술. 그러나 이 역시 완전하지는 않음.
2. 독일 보흠대학의연구에 따르면 이 서명 기술도 해킹으로 훼파하는 것이 가능하다고 함.
3. 그나마 유명 PDF 뷰어 개발사들은 이 문제를 접수하고 패치함. 나머지는 안 함.
[국제부 문가용 기자(globoan@boannews.com)]

저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

Let's block ads! (Why?)




July 24, 2020 at 08:42AM
https://ift.tt/3eRWt1a

보안뉴스 - 보안뉴스

https://ift.tt/3ft9UWf


Bagikan Berita Ini

0 Response to "보안뉴스 - 보안뉴스"

Post a Comment

Subscribe to: Post Comments (Atom)
Powered by Blogger.