보안 전문 매체 다크리딩에 따르면, 미국 사이버 보안 기업 시놉시스(Synopsys)가 고오토다이얼(GOautodial) 콜센터 소프트웨어 세트에서 보안 결함을 발견했다. 시놉시스는 고오토다이얼이 요청을 다른 파일로 라우팅하면서 사용자를 올바르게 인증하지 않는 API를 갖춘 사실을 확인했다.
고오토다이얼 문제는 사용자 지정 API 라우터를 사용해, 외부 요청 작업을 처리하며, 종종 사용자 이름과 암호가 필요하다. 그러나 라우터가 정보를 올바르게 검증하지 않아 해커 세력이 사용자의 자격 증명 대신 값을 사용할 수 있다.
시놉시스 보안 판매 엔지니어 스콧 톨리(Scott Tolley)는 이번 취약점은 단순한 코드 작업 초기의 실수 때문에 발생했다고 말하며, 완벽히 예방할 수 있었던 문제라고 강조했다.
톨리는 "이 코드는 API 요청과 함께 제공된 사용자 이름과 암호를 사용하며 이 쌍이 일치하는 사용자 데이터베이스의 레코드 수를 요청한다. 결과가 0이면, 일치하는 항목이 없고 유효한 사용자가 아니라고 판단한다"라며, "문제는 그동안 실행한 쿼리가 0이나 1과 같은 숫자 하나만을 반환하는 것이 아니라 이름과 숫자 값을 가진 단일 레코드를 반환하면서 발생했다"라고 설명했다.
즉, 일치 항목 수가 아닌 레코드를 반환했기 때문에 비교는 항상 0보다 컸고, 사용자가 존재한 것으로 인증되었다.
전반적으로 이번 결함의 심각성은 해커 세력이 시스템 접근 권한을 일부 확보했다는 조건에 따라 완화되었다. 톨리는 고오토다이얼의 취약점이 원격 코드 사용으로 이어지지 않았으며, 어느 정도 수정되었으나 여전히 위험성이 있다고 경고했다.
톨리는 "만약, 해커 세력이 콜센터 직원이 접근할 수 있는 영역에 취약점을 구축했다면, 직원의 작업을 제한했을 것이다. 그러나 관리자 권한으로 전환할 수도 있다"라고 언급했다.
마지막으로 그는 "고오토다이얼의 취약점이 코드 작성 과정의 실수 때문에 발생한 사실에 주목하며, 개발자가 인지도가 높으며 제대로 검증된 코드 라이브러리를 사용하는 것이 무엇보다도 중요하다"라며, "기업은 개발자가 인증 문제를 인식하고 테스트와 검증된 라이브러리, 서비스, 오픈소스 구성요소를 제공하도록 교육해야 한다"라고 강조했다. 이번 취약점에서 인증 과정을 제대로 수행하기 어렵고, 인증 과정의 오류가 심각한 결과를 초래할 수 있기 때문이다.
한편, 이번에 발견된 고오토다이얼 취약점의 피해 규모는 구체적으로 밝혀지지 않았다. 다만, 톨리는 사용자 5만 명 이상이 보안 결함이 있는 고오토다이얼 소프트웨어를 사용했을 수 있다고 언급했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
