보안 / 클라우드

보안 연구원, “드롭박스는 데이터 도둑들의 천국이었다”

Tim Greene  | Network World 2011.08.18
클라우드 스토리지 제공업체인 드롭박스(Dropbox)가 보안 연구원들이 찾아낸 세 개의 공격방법으로 무단 접근이 가능했던 것으로 나타났다. 현재 드롭박스는 이 취약점을 수정한 상태다.
 
이런 방법을 통해서 드롭박스에서 데이터를 훔치는 것뿐만 아니라, 몰래 무제한으로 문서를 저장하고 검색할 수 있는 장소로 사용될 수 있었다. 
 
USENIX 시큐리티 심포지움(USENIX Security Symposium)의 연구원들은 지난 해 드롭박스를 공격할 수 있는 익스플로잇을 개발하고, 이 내용을 드롭박스에게 전달해 익스플로잇을 공개하기 전에 수정할 시간을 주었다고 밝혔다.
 
첫 번째 방법은 드롭박스의 클라우드에 저장되어 있는 데이터를 감별해내는 해시 값을 속이는 것이다. 드롭박스는 데이터가 클라우드에 저장되어 있는지 이 값을 검토하고, 그렇다면 해시를 보낸 사용자 계정과 연결해 준다.
 
해시를 속여서 드롭박스의 다른 고객 데이터에 접근할 수 있는 권한을 얻어냈으며, 이렇게 되면 해당 데이터 주인은 어떤 일이 일어났는지 알 수 없다고 설명했다.
 
두 번째 공격은 드롭박스가 고객별로 사용자 명, 시간, 날짜 등으로 생성한 호스트 ID를 알아낼 필요가 있다. 공격자가 피해자의 호스트 ID를 획득하면, 이것을 자신의 것으로 대체할 수 있으며, 계정을 다시 동기화 시키면 피해자의 모든 파일을 다운로드 할 수 있다.
 
세 번째 공격 방법은 드롭박스 고객이 특정 URL에서 SSL을 통해 파일을 요청할 수 있게 하는 기능을 악용한 것이다. 공격에 필요한 것은 데이터의 해시 값과 유효한 호스트 ID인데, 해당 데이터와 연결된 호스트 ID가 꼭 필요한 것은 아니라 다른 모든 유효 호스트 ID면 된다.
 
그러나 마지막 공격 방법은 데이터와 요청한 계정의 ID가 부합하지 않을 경우 드롭박스에 추적당할 수 있다.
 
이 세 가지 공격방법은 모두 드롭박스를 사용하는 기업의 데이터를 훔치는데 이용할 수 있다. 데이터를 모두 훔치는 것이 아니라, 원하는 데이터의 해시 값만 가지면 되기 때문에 공격자들에게는 훨씬 간편하다. 
 
또한, 드롭박스의 클라우드 내에서 데이터를 숨기는데도 이런 공격 방법을 이용할 수 있다. 수정된 드롭박스 클라이언트를 이용하면 공격자의 계정에 연결하지 않아도 무제한으로 클라우드에 데이터를 업로드할 수 있다. 데이터를 검색하기 위해서 공격자는 업로드 할 때 사용했던 데이터의 해시 값만 보내면 된다. editor@itowrld.co.kr
함께 보면 좋은 콘텐츠

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.