클라우드 플레어, 전세계적으로 중요한 보안사고 발생

02
25

IT/웹사이트

클라우드 플레어, 전세계적으로 중요한 보안사고 발생

인터넷 DNS 서비스 중에 하나인 클라우드 플레어에서 사이트 보안과 관련된 심각한 취약점이 발견되었고, 그 영익이 매우 광범위하게

적용될 수 있어서 수많은 유저들의 개인정보가 유출될 가능성이 높아져 국내외로 난리가 났습니다.

이번 사고를 처음 발견한 구글 개발자들에 의하면, 오래전에 발생했었던 대규모 웹 보안사태인 "하트블리드" 때보다 더 심각해질 수 있다하는데

위에처럼 벌써 전용 로고까지 등장했습니다. 이번 보안사고 "클라우드블리드" 사태와 관련되어서 한번 자세하게 알아보도록 하죠.

■ 클라우드 플레어는 무엇인가요?

전세계적으로 인터넷 DNS, CDN 서비스를 제공하는 서비스 업체입니다. ( 줄임말로 클플이라 불려지기도 하지요. )

보통 사이트의 트래픽 통계부터 시작해서 사이트 암호화 기능인 SSL, 디도스, 핑백 등의 여러 외부 공격들을 막을 수 있게 해주는 방화벽 등등

다양한 웹 기능들을 간단하게 사용할 수 있게 해주기 때문에 전세계적으로 많은 사이트 운영자들이 이 클라우드 플레어를 사용하고 있답니다.

위 내용을 이해하기 힘드시다면 간단하게 "인터넷 사이트를 더 안전하고 편하게 이용할 수 있도록 만들어주는 웹서비스" 라고 생각하시면 됩니다.

예를 들어 국내에서는 리그오브레전드 사이트, 나무위키, 일베, 오유 등에서 이 서비스를 사용하고 있고

해외에서는 4chan, Curse, 2ch, 디스코드, 마인크래프트 포럼 등 분야를 가리지 않고 여러 거대 사이트들에서도 사용하고 있는데요.

이런 수많은 유저들이 이용하는 사이트들에서 사용하는 클플에 도대체 무슨 일이 벌어진 것일까요?

■ 강력한 보안사고의 발생, 무슨 사고이고 어떤 피해를 줄 수 있는지?

문제점 발견

구글 개발자들은 구글봇이 클라우드 플레어를 사용하는 일부 사이트들에서 데이터를 가져오면서 이상한 데이터들이 포함되어있는걸 발견합니다.

이상한 데이터들을 분석해본 결과, 데이터를 가져온 곳과는 전혀 상관없는 데이터들이며 가져온 사이트의 쿠키와 비밀번호 등의 개인정보도

마구 섞여있다는 것을 확인하게 됩니다. 이것은 클플을 사용하는 사이트들의 데이터가 서로 마구 섞여있다는 것을 의미하지요.

예시로 위 에러를 처음 발견한 구글 엔지니어가 직접 언급한 내용에 따르면, 특정 데이트 사이트 이용자들이 서로 주고받은 쪽지 내용, 채팅 서비스의 채팅 기록, 여러 계정들의 비밀번호, 19금 이미지 등의 내용들이 사이트 소스와 마구 섞여서 표시되었었다고 합니다.

원인, 피해범위

클플에서 제공하는 기능들 중, 특정 설정을 켜놓았을 경우 발생하는 버그로 2016/09/22 ~ 2017/02/18 까지 발생했다고 합니다.

이런 버그가 발생한 사이트는 클플측의 공식 발표에 따르면 161곳이지만, 클플 내부자가 해외 개발자 커뮤니티에서 발언한 내용에 의하면

무려 3,438곳에서 문제가 발생하는 특정 설정을 켜놓고 있었다고 해요.

여기서 더 심각하게 문제가 되는건 클라우드 플레어 시스템 특성상, 도메인 별로 프로세스가 분리되어있지 않기 때문에

161곳이던 3,438곳이던지 간에 이 버그가 발생한 곳들과 같은 지점의 서버( 서울 ICN, 로스엔젤레스 LAX, 홍콩 HKG 등등 )를 경유하여

접속하는 사이트들의 데이터( 당연히 개인정보도 포함됩니다 )도 섞일 수 있기 때문에

정확히 어느 사이트가 이번 데이터 유출 피해를 받았는지, 또 피해범위가 어느정도 되는지도 정확하게 알 수 없다고 합니다.

허나 이번 보안사고로 인한 피해범위에 대해 일반적인 예측은 가능하다고 하며, 최소 수천개에서 최대 420만여개의 사이트에 이를 수 있다해요.

물론 이 피해범위는 경유하는데 사용되는 서버의 수에 따라 천차만별로 달라질 수 있습니다.

서버의 수가 많으면 많을수록 피해규모는 적어지겠지만, 반대로 서버의 수가 적다면 피해규모는 예측한 내용대로 매우 방대해지는 것이지요.

클라우드 플레어 측에서는 이 정확한 피해규모와 관련된 공식적인 입장은 내놓지 않았다고 합니다.

이에 대응하기 위한 현재 전세계 상황

먼저 이번 사태를 공개하기 일주일 전, 클플 직원들과 구글 보안 팀원들은 서로 협력해 중요 데이터들이 외부로 노출됬을 가능성이

높은 사이트 주소들을 구글 캐시에서 제거하는 작업을 했다고 합니다. 허나 네이버, 다음, 바이두 등의 구글 이외에 다른 검색엔진에서

가져간 데이터들의 여부는 모르는데다가 캐시에서 제거하는 작업이 이뤄진 이후에도 해외 커뮤니티 유저들의 개인정보가 검색되고 있다고 해요.

이러한 내용들을 토대로 클플에서도 정확한 유출 경로 등을 제대로 파악하지 못하고 있을 가능성이 있다고 합니다.

그리고 해외 개발자 커뮤니티인 해커뉴스에서는 이번 사고에 대해 자세한 토론이 이뤄지고 있으며

클라우드 플레어 측에서는 공식 블로그에 이번 보안사고와 관련된 내용을 기술적인 부분으로 정리해 설명하는 게시물을 업로드 했습니다.

또한 시큐리티 그라울러 개발자로 속해있는 Nick Sweeting 님은 DNS 데이터들을 모아 클플을 사용하는 모든 사이트 목록을 만들었다고해요.

착각하시는 분들이 있던데 Nick Sweeting 님이 만드신 위 사이트 목록은 "버그 및 개인정보 유출 등의 피해를 받은" 사이트들의 목록이 아니라, 클플을 사용하는 사이트들을 모아 "피해를 받았을 위험이 있을 수 있다는 점" 을 알리는 곳입니다.

■ 사이트 운영자, 그리고 유저분들이 피해를 줄이기 위해 하실 수 있는 일은?

사이트 운영자

유저분들에게 이번 사태의 심각성을 설명해서 알려드리고, 비록 직접 클라우드 플레어 버그가 발생한 사이트에 해당하지는 않더라도

위에서 설명해드렸듯이 아직까지 확신할 수 없는 정확한 피해규모의 상황, 보통 여러 사이트들을 이용할 때 비밀번호를 모두 똑같이 설정하여

사용하는 사용자의 패턴 등을 고려하여 유저분들에게 하루빨리 가입한 모든 사이트들의 비밀번호를 변경할 것을 권장해주세요.

유저

마찬가지로 이번 보안사고는 유저분들의 개인정보 유출로 이어질 수 있는 중요한 사고이기 때문에

가급적이면 지금까지 가입해있는 모든 사이트들의 비밀번호를 변경하실 것을 권장합니다.