[Security News] 서명된 PDF 문서들도 해킹을 통해 조작이 가능하다

※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.

독일 보훔대학교에서 서명된 PDF 파일들을 공격하는 방법을 새롭게 발견해냈습니다. 이 방법을 통해 공격자들은 PDF 문서의 서명을 무효화시키고 콘텐츠를 마음대로 조작할 수 있게 된다고 합니다. 이 공격 기법에 전문가들은 ‘그림자공격’ 혹은 ‘셰도우 어택스(Shadow Attack)’라고 이름을 붙였습니다.

[이미지 = utoimage]

공격 시나리오에 대해 보훔의 연구원들은 다음과 같이 설명했습니다. PDF의 서명할 권리를 가진 사람은 문서를 받고 검토한 뒤 서명을 합니다. 공격자는 이렇게 서명된 문서를 확보하고 ‘그림자공격’을 통해 살짝 수정한 뒤, 원래 서명된 문서를 받아야 할 사람, 즉 피해자에게 전송합니다. 받는 사람, 즉 피해자는 이 문서를 열고 디지털 서명을 확인한 후 안심하고 문서 내용을 믿습니다. 그러나 실상은 틀린 내용을 보고 있는 것이죠.

연구원들은 28개의 PDF 뷰어 프로그램들을 조사했고, 이 중 15개가 이런 공격 기법에 공략될 수 있다는 것을 알아냈습니다. 어도비(Adobe), 폭싯(Foxit), 리브레오피스(LibreOffice)에서 만든, 소비자들 사이에서 꽤나 유명한 앱들도 이 15개에 포함이 되어 있었다고 합니다. 물론 지금은 연구 결과를 먼저 받아보고 세 회사 모두 패치를 배포한 상태입니다. 하지만 그 외 나머지 개발사들은 연구 결과에도 답장이 없거나, 패치를 개발하지 않고 있습니다.

이 연구원들은 이전에도 PDF 파일 서명 기술을 무력화시키는 방법을 발견한 적이 있었습니다. 당시에도 이들이 발견한 방법을 가지고 서명을 깨고, 문서 내용을 바꿀 수 있었다고 합니다. 이번에는 기존과 다른 공격 기술을 무려 세 가지나 들고 나왔습니다. 각각 ‘그림자공격 : 숨기기’, ‘그림자공격 : 바꾸기’, ‘그림자공격 : 숨기고 바꾸기’라고 명명됐습니다. 말 그대로 콘텐츠를 공격자가 마음대로 숨기거나, 교체하거나, 둘 다 하는 것을 말합니다.

1) 숨기기 : PDF 내용 일부를 숨기게 합니다. 공격자들은 서명자에게 정상적으로 보이는 메시지와 이미지 등이 포함된 문서를 보냅니다. 그러나 그 밑에는 공격자들이 원하는 콘텐츠를 숨겨둘 수 있고, 서명자는 공격자들의 ‘진짜’ 콘텐츠는 보지 못하고 문서를 서명합니다. 서명된 문서는 다시 공격자에게 되돌아갑니다. 이 시점에서 공격자는 콘텐츠를 조작해 그들의 진짜 의도가 담긴 콘텐츠가 드러나도록 만듭니다.

2) 교체하기 : 그 자체로는 아무런 이상이 없어 보이지만 콘텐츠가 나타나는 형태에 영향을 줄 수 있는 객체를 서명된 PDF 문서에 첨부합니다. 예를 들어 폰트 규정과 관련된 객체를 첨부할 경우 콘텐츠를 직접 변경하지는 못하지만 콘텐츠가 화면에 출력되는 방식에 영향을 줄 수 있습니다. 그러면서 일부 글자들이 다른 문자나 기호로 바뀌도록 할 수도 있습니다.

3) 숨기고 바꾸기 : 가장 강력한 유형의 ‘그림자공격’이라고 연구원들은 설명합니다. 서명된 문서의 내용을 전체적으로 바꿀 수 있게 해주기 때문입니다. 공격자들은 같은 객체 ID를 가진 두 개의 객체를 활용함으로써 자신들의 악성 콘텐츠를 감춰두고, 정상적으로 보이는 콘텐츠를 표면에 드러나게 할 수 있습니다. 그런 상태에서 서명자에게 문서를 보내고 서명을 받은 문서를 되돌려 받습니다. 되돌려 받은 후 공격자들은 Xref 표와 트레일러(Trailer)를 새롭게 첨부해 아까 숨겨 둔 악성 콘텐츠가 보이도록 만듭니다.

많은 정부 기관과 기업들에서 PDF의 진본성을 유지하기 위해 서명이라는 수단을 활용합니다. 문서를 만들어 서명을 함으로써 아무도 내용을 바꾸지 못하게 하고, 문서를 받는 사람은 이 서명을 확인함으로써 내용이 진짜임을 알게 되는 구조입니다. 그러나 ‘그림자공격’ 기법이 있으면 이 신뢰 구조가 완전히 파괴됩니다. ‘그림자공격’을 가능케 하는 취약점은 CVE-2020-9592와 CVE-2020-9596입니다.

출처 : 보안뉴스