구글 내 보안 분석가들이 자사 서비스에 대한 보안 취약점을 보고할 수 있게 만든 툴인 '이슈 트래커'가 오히려 버그로 인해 외부 공격에 노출돼 있었던 것으로 확인됐다.
권한이 없는 공격자가 구글 취약점 보고툴에 임의로 접근해 심각한 취약점에 대한 정보를 얻을 수 있는 길이 열려 있었던 것이다.
30일(현지시간) 미국 지디넷에 따르면 구글은 외부 보안 연구원인 알렉스 버산으로부터 이러한 사실에 대해 알림을 받은 지 한 시간 이내에 패치를 완료했다.
해당 보안 연구원은 그동안 총 3개 버그를 보고해 최소 1만5천600달러의 상금을 받았으며 이슈 트래커와 관련해서는 3천133달러를 추가로 받았다. 구글은 버그바운티라는 제도를 통해 자사 서비스에서 발견된 버그에 대한 정보를 알려준 제보자에게 심각성에 따라 상금을 지급한다.
이슈 트래커는 구글 내부 보안 연구원들이 자사 주요 서비스에서 발견한 각종 버그에 대한 정보를 올리는 툴이다. 대부분 사용자들은 여기에 접근이 제한돼 있다.
알렉스 버산 연구원은 자신의 메일을 마치 구글 기업 이메일 주소인 것처럼 속이는 스푸핑 공격을 통해 이슈 트래커 백엔드 시스템에 접속할 수 있는 권한을 얻었다. 이를 통해 수천개에 달하는 버그 리포트를 훔쳐보는 것은 물론 가장 심각한 취약점으로 분류된 정보까지 확인할 수 있다는 사실을 밝혀냈다.
버산 연구원은 먼저 구글 법인 계정을 포함하는 이메일 주소를 만들었다.
버산이 새로 만든 가짜 구글 계정은 이 회사 내부 네트워크에 바로 접속할 권한을 주지는 않았다. 그럼에도 불구하고 이슈 트래커에서는 마치 내부 임직원이 쓰는 이메일인 것처럼 속여 버그 리포트를 보거나 관련된 알람, 공지사항을 받는 일이 가능해졌다.
이 과정에서 그는 이슈 트래커 서버에게 그가 원하는 어떤 종류의 버그라도 볼 수 있도록 요청할 수 있었다. 여기에는 심각한 취약점이 포함된다.
관련기사
- 구글, 앱 보안 취약점에 '현상금' 걸었다2017.10.31
- 머신러닝 만난 지메일…스팸-피싱 99% 걸러낸다2017.10.31
- 안드로이드용 칩셋, 부팅단계서 보안허점 노출2017.10.31
- 구글용 USB 보안키 등장2017.10.31
공격자들이 이런 정보를 확보하게 될 경우 구글 서비스가 위험에 노출되거나 심지어는 구글 내부 네트워크까지 공격 당할 우려가 있었다.
구글측은 "우리는 알렉스의 보고를 감사하게 생각한다"며 "그가 보고한 취약점 및 유사 방법들에 대한 패치를 했다"고 밝혔다.
