※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.



이전에도 비슷한 연구 진행했던 보훔대학교…새로운 공격 기법 개발해 발표
어도비, 폭싯, 리브레오피스에서 만든 유명 뷰어 프로그램도 취약…패치 알맞게 나와

독일 보훔대학교에서 서명된 PDF 파일들을 공격하는 방법을 새롭게 발견해냈습니다. 이 방법을 통해 공격자들은 PDF 문서의 서명을 무효화시키고 콘텐츠를 마음대로 조작할 수 있게 된다고 합니다. 이 공격 기법에 전문가들은 ‘그림자공격’ 혹은 ‘셰도우 어택스(Shadow Attack)’라고 이름을 붙였습니다.

[이미지 = utoimage]

공격 시나리오에 대해 보훔의 연구원들은 다음과 같이 설명했습니다. PDF의 서명할 권리를 가진 사람은 문서를 받고 검토한 뒤 서명을 합니다. 공격자는 이렇게 서명된 문서를 확보하고 ‘그림자공격’을 통해 살짝 수정한 뒤, 원래 서명된 문서를 받아야 할 사람, 즉 피해자에게 전송합니다. 받는 사람, 즉 피해자는 이 문서를 열고 디지털 서명을 확인한 후 안심하고 문서 내용을 믿습니다. 그러나 실상은 틀린 내용을 보고 있는 것이죠.

연구원들은 28개의 PDF 뷰어 프로그램들을 조사했고, 이 중 15개가 이런 공격 기법에 공략될 수 있다는 것을 알아냈습니다. 어도비(Adobe), 폭싯(Foxit), 리브레오피스(LibreOffice)에서 만든, 소비자들 사이에서 꽤나 유명한 앱들도 이 15개에 포함이 되어 있었다고 합니다. 물론 지금은 연구 결과를 먼저 받아보고 세 회사 모두 패치를 배포한 상태입니다. 하지만 그 외 나머지 개발사들은 연구 결과에도 답장이 없거나, 패치를 개발하지 않고 있습니다.

이 연구원들은 이전에도 PDF 파일 서명 기술을 무력화시키는 방법을 발견한 적이 있었습니다. 당시에도 이들이 발견한 방법을 가지고 서명을 깨고, 문서 내용을 바꿀 수 있었다고 합니다. 이번에는 기존과 다른 공격 기술을 무려 세 가지나 들고 나왔습니다. 각각 ‘그림자공격 : 숨기기’, ‘그림자공격 : 바꾸기’, ‘그림자공격 : 숨기고 바꾸기’라고 명명됐습니다. 말 그대로 콘텐츠를 공격자가 마음대로 숨기거나, 교체하거나, 둘 다 하는 것을 말합니다.

1) 숨기기 : PDF 내용 일부를 숨기게 합니다. 공격자들은 서명자에게 정상적으로 보이는 메시지와 이미지 등이 포함된 문서를 보냅니다. 그러나 그 밑에는 공격자들이 원하는 콘텐츠를 숨겨둘 수 있고, 서명자는 공격자들의 ‘진짜’ 콘텐츠는 보지 못하고 문서를 서명합니다. 서명된 문서는 다시 공격자에게 되돌아갑니다. 이 시점에서 공격자는 콘텐츠를 조작해 그들의 진짜 의도가 담긴 콘텐츠가 드러나도록 만듭니다.

2) 교체하기 : 그 자체로는 아무런 이상이 없어 보이지만 콘텐츠가 나타나는 형태에 영향을 줄 수 있는 객체를 서명된 PDF 문서에 첨부합니다. 예를 들어 폰트 규정과 관련된 객체를 첨부할 경우 콘텐츠를 직접 변경하지는 못하지만 콘텐츠가 화면에 출력되는 방식에 영향을 줄 수 있습니다. 그러면서 일부 글자들이 다른 문자나 기호로 바뀌도록 할 수도 있습니다.

3) 숨기고 바꾸기 : 가장 강력한 유형의 ‘그림자공격’이라고 연구원들은 설명합니다. 서명된 문서의 내용을 전체적으로 바꿀 수 있게 해주기 때문입니다. 공격자들은 같은 객체 ID를 가진 두 개의 객체를 활용함으로써 자신들의 악성 콘텐츠를 감춰두고, 정상적으로 보이는 콘텐츠를 표면에 드러나게 할 수 있습니다. 그런 상태에서 서명자에게 문서를 보내고 서명을 받은 문서를 되돌려 받습니다. 되돌려 받은 후 공격자들은 Xref 표와 트레일러(Trailer)를 새롭게 첨부해 아까 숨겨 둔 악성 콘텐츠가 보이도록 만듭니다.

많은 정부 기관과 기업들에서 PDF의 진본성을 유지하기 위해 서명이라는 수단을 활용합니다. 문서를 만들어 서명을 함으로써 아무도 내용을 바꾸지 못하게 하고, 문서를 받는 사람은 이 서명을 확인함으로써 내용이 진짜임을 알게 되는 구조입니다. 그러나 ‘그림자공격’ 기법이 있으면 이 신뢰 구조가 완전히 파괴됩니다. ‘그림자공격’을 가능케 하는 취약점은 CVE-2020-9592와 CVE-2020-9596입니다.

출처 : 보안뉴스

제품에 대해 궁금한 점이 있으신가요?
빠르고 정확한 답변을 도와드리겠습니다.

TEL : 031-784-8500~1
E-mail : sales@pplus.co.kr