NTP 취약점, HTTPS 노린다

컴퓨팅입력 :2015/10/23 11:48

손경호 기자

지난해 프랑스에서 초당 400기가비트(GBps) 분산서비스거부(DDoS) 공격을 일으키는데 악용됐던 네트워크타임프로토콜(NTP)에서 HTTPS로 암호화된 웹사이트까지 영향을 줄 수 있는 취약점이 새롭게 발견됐다.

22일(현지시간) 시스코 보안연구그룹인 탈로스가 밝혀낸 이 취약점은 네트워크 상에서 클라이언스와 서버의 시간을 동기화하기 위해 쓰이는 NTP의 취약점을 악용하는 것이다.(관련링크)

탈로스 블로그에 따르면 NTP를 구동하는 운영체제(OS)인 네트워크타임프로토콜데몬(NTPD)에서 인증과정을 우회한 공격이 가능하다.

NTPD는 크립토-NAK라는 패킷을 다룬다. 문제는 이러한 패킷이 보안에 취약한 탓에 네트워크 상 시간을 바꾸는 방법으로 NTPD의 인증을 우회할 수 있다는 설명이다. 탈로스는 NTPD 4.2.8p3 버전을 분석한 결과 메모리커럽션, 서비스거부(DoS) 공격 유발 등을 포함해 네트워크 관리자들에게 심각한 문제를 유발할 수 있다는 사실을 확인했다.

NTP에서 발견된 취약점으로 시스템에 대한 인증을 우회하면 HTTPS로 보호된 웹사이트까지 영향을 받을 수 있는 것으로 나타났다.

탈로스에 따르면 네트워크 상 시간을 바꾸는 방법으로 공격자는 사용기간이 만료된 비밀번호나 계정을 사용해 웹사이트를 다루는 여러 서버에서 인증에 성공할 수 있다.

웹사이트에 대한 암호화 통신을 제공하는 HTTPS 관련 시스템에서 기간이 만료된 인증서를 허용하고 현재 사용되는 인증서는 오히려 거부하는 등 공격이 가능하다. 이를 통해 공격자는 아예 인증 시스템에 대한 접속을 못하게 막을 수도 있다. 인터넷 접속에 필수인 도메인네임시스템(DNS)이 영향을 받아 아예 접속이 불가능해질 수도 있다는 것이다. 이러한 공격이 모두 서버의 시간을 변경해 심각한 네트워크 장애를 초래할 수 있게 된다.

NTP-4 버전은 4.2.5p186부터 4.2.8p3 버전까지 취약한 것으로 나타났으며 시스코의 경우 NTP-4.2.8p4부터는 이러한 취약점을 해결한 것 나타났다.

관련기사

해당 버전을 업그레이드 하기 전까지는 외부 트래픽에 대해 모니터링하는 윈도, 맥 OS X 애플리케이션 방화벽이나 리눅스 방화벽 설정 등을 통해 악성트래픽을 차단하는 방법을 써야 한다.

방화벽 설정에서는 NTP 클라이언트가 기존에 확인되지 않은 모든 NTP 패킷을 차단하고, NTP 서버는 크립토-NAK 패킷을 받지 말도록 해야한다고 탈로스는 조언했다.