Breaking
사이버 보안(Cybersecurity)
구글 포토 검색 기능에서 최근 발견된 버그
2019-06-26 18:29:55
장희주
▲구글 포토의 검색 기능에서 버그가 발견됐다(사진=ⓒ123RF)

[라이헨바흐=장희주 기자] 아이클라우드(iCloud), 구글 드라이브(Google Drive), 드롭박스(Dropbox), 구글 포토(Google Photos) 등은 클라우드 기반 스토리지이며 업무용 문서 및 개인 파일을 저장하는 가장 편리한 방법이다. 오늘날 많은 사용자들이 물리적 공간, 자원, 돈을 절약하기 위해 이런 클라우드 기반 스토리지를 사용하고 있다. 게다가 클라우드 스토리지에서는 자료를 이름 순서대로, 혹은 날짜 순서대로 정리하기가 매우 편리하다.

그러나 '이 세상에 공짜는 없다'라는 말이 있듯이, 클라우드 스토리지 또한 편의성과 맞바꾼 문제가 발생했다. 바로 보안 문제다. 최근 구글 포토에서는 버그가 발견됐다. 이런 버그는 개인 정보 유출 등의 보안 침해로 이어질 우려가 있다.

구글 포토의 버그

ZD넷에 보도된 바에 따르면, 해커들은 구글 포토의 취약점을 이용해 이미지 파일의 메타 데이터에 접근할 수 있었다.

이 버그는 IT 보안 업체인 임퍼바(Imperva)에 의해 발견됐다. 임퍼바 연구원인 론 마사스는 "이 취약점 때문에 잠재적인 해커가 크로스 사이트 검색(XS-Search) 공격을 실행할 수 있다. 그러면 구글 포토 검색에서 업로드된 사진의 메타 데이터를 확인할 수 있다"고 전했다. 사진의 메타 데이터를 보면 사진이 찍힌 지리 좌표, 날짜, 사진에 태그된 사람들 등을 알 수 있다.

 

크로스 사이트 검색 공격 테스트

마사스는 이 버그가 구글 포토의 웹 버전에서 발견됐으며, 잠재적인 해커가 실시할 수 있는 크로스 사이트 검색 공격을 테스트했다고 밝혔다.

크로스 사이트 검색 공격은 크로스 사이트 취약점을 악용해 개인 정보를 추출하는 브라우저 기반 타이밍 공격이다. 일반적으로 웹사이트의 검색 엔진 기능을 통해 대상 계정에서 악의적인 코드 프로브 URL을 실행한 다음 웹사이트가 응답하기까지 걸리는 시간 등을 고려해 타깃 대상에 침투한다. 제 3자에 대한 액세스를 거부하는 웹사이트에서도 마찬가지다.

대상 웹사이트의 응답 시간을 측정한 다음 해커들은 이 정보를 자신이 사용자의 개인 계정에 액세스할 때 활용한다.

마사스는 바로 이런 취약점이 구글 포토의 버그로 발견됐다고 전했다. 임퍼바의 웹사이트에 게재된 내용에 따르면 마사스는 HTML 링크 태그를 사용해 웹사이트의 검색 엔드포인트에서 크로스 오리진 리퀘스트를 여러 번 시도했다. 그리고 웹사이트가 자바스크립트를 통해 로딩되는 시간을 계산했다. 마사스는 "이 정보를 사용해 기준 시간을 계산했다. 이때 알고 있는 검색 쿼리를 실행하면 결과가 0이 된다"고 전했다.

▲크로스 사이트 검색 공격은 크로스 사이트 취약점을 악용해 개인 정보를 추출하는 브라우저 기반 타이밍 공격이다(사진=ⓒ123RF)

그런 다음 마사스는 웹사이트에서 검색 쿼리를 입력해 그 결과를 기준 시간과 비교했다. 후속 검색이 첫 번째 검색보다 오래 걸리면 그 결과가 사용자가 쿼리에 입력한 내용을 나타낼 가능성이 높다. 이 과정을 반복하다보면 사진의 메타 데이터를 손에 넣을 수 있다.

마사스는 "구글 포토 검색 엔진은 사진의 메타 데이터를 검색에 활용한다. 그래서 검색 쿼리에 날짜를 추가하면 사진이 찍힌 특정 시간대를 좁힐 수 있다. 이 과정을 반복하면 사진의 주인이 특정 장소 또는 국가 등을 방문한 시간을 대략적으로 알 수 있다"고 말했다.

웹사이트 공격 테스트

마사스는 구글 포토 버그에 대한 샘플 공격도 실시했는데, 이때 악의적인 제3의 웹사이트를 사용해 크로스 사이트 검색 공격을 조정하는 장면을 동영상으로 촬영해 보고서에 첨부했다.

이 공격 시연 장면에서 마사스는 활동 중인 구글 포토 사용자가 악의적인 웹사이트에 액세스하도록 감염된 다이렉트 메시지나 악성 코드가 포함된 온라인 광고를 보냈다. 이를 통해 마사스는 사용자의 계정에 접근할 수 있었다.

자바스크립트 코드가 사용자의 계정에 삽입되면 모든 쿼리에 대한 답변을 추출할 수 있다. 또한 해커는 검색 쿼리를 모니터링하고 사용자가 악성 웹사이트를 열 때마다 계속해서 쿼리를 기록할 수 있다.

 

페이스북과 유사한 사건

다행히 구글은 이 버그를 이미 패치했으며 구글 포토에 발생하는 공격 시도를 차단하고 있다. 그러나 이런 종류의 보안 취약점은 페이스북(Facebook)에서도 발견됐다. 페이스북의 웹사이트에서는 사이트 채널 어택 등 이와 비슷한 버그가 발견됐다. 그리고 이 버그를 발견한 사람도 마사스였다. 페이스북의 버그 또한 곧 패치됐다.

페이스북은 성명서를 발표해 "우리 회사의 버그 현상금 프로그램에 제출된 임퍼바 연구원의 보고서에 대해 감사하게 생각한다. 검색 페이지에서 발생한 버그 문제를 해결했으며 정보 유출은 발생하지 않았다. 그리고 이것은 페이스북에 국한된 문제만이 아니므로 브라우저 제조 업체 및 관련 웹 표준 그룹에 권장 사항을 보내 예방 조치를 취하도록 했다"고 전했다.

[라이헨바흐=장희주 기자]