FREAK

3. 취약성

FREAK 취약점은 TLS/SSL 프로토콜의 오래된 '수출용' 암호화 등급을 악용하여 중간자 공격(MITM)을 가능하게 하는 보안 취약점이다. 1990년대 미국 암호 수출 규제에 따라, RSA 암호는 512비트 키 길이로 제한되었는데, 이는 당시 미국 국가안보국(NSA)이 해독할 수 있는 수준이었다.^[19] 하지만 컴퓨터 성능 향상과 클라우드 컴퓨팅 발전으로 2015년에는 "50달러, 12시간 정도"면 해독이 가능해졌다.^[19]

2003년에는 이미 "구식"으로 여겨졌음에도,^[36] 10년 이상 서버 측에서 수출 암호를 허용하는 설정이 유지되었고,^[20] 심지어 수출용 암호가 아닌데도 512비트 이하 RSA 키를 허용하는 클라이언트 구현도 존재하여,^[21] 중간자 공격의 여지를 만들었다.

FREAK 공격은 다음과 같은 단계를 거친다.^[36]

# 클라이언트의 접속 요청을 중간자가 수정하여 수출 암호만 사용하도록 변경한다.

# 서버는 512비트 키와 암호 통신 키 생성을 위한 정보를 중간자에게 보낸다.

# 중간자는 해독된 키를 이용해 정보를 얻고, 서버와 클라이언트 양쪽에 정상적인 키 교환이 이루어진 것처럼 위장한다.

# 연결이 성립되면, 중간자는 키 정보를 이용해 통신을 복호화하고 조작할 수 있다.

클라이언트가 수출 암호를 요구하지 않아도, 중간자가 이를 강제하고 클라이언트 측에서 수출 암호의 임시 키를 수락하는 구현상의 허점을 이용해 공격이 이루어진다.

이 취약점을 설명하는 연구 논문은 제36회 IEEE 보안 및 개인 정보 보호 심포지엄에서 발표되었으며 우수 논문상을 수상했다.^[18]

3. 1. 발견

3. 2. 영향을 받는 소프트웨어 및 시스템

4. 기술적 상세

1998년에 보고된 다운그레이드 공격은 서버와 클라이언트 모두 임시 키를 사용한 RSA 암호를 허용하는 경우, 더 강력한 암호를 사용할 수 있는 상황에서도 중간자가 512비트 RSA 통신을 강제할 수 있게 한다^[36]。

FREAK 공격 과정은 다음과 같다.

# 클라이언트의 접속 요청을 중간자가 수정하여 요청하는 암호를 수출 암호로만 변경한다.

# 서버는 512비트 키와 앞으로의 암호 통신 키를 생성하기 위한 재료를 중간자에게 반환한다.

# 중간자는 해독된 키를 사용하여 키 재료를 얻고, 서버와 클라이언트 양쪽에 올바르게 키 교환이 이루어진 것처럼 위장한다.

# 연결이 성립되면, 중간자는 가지고 있는 키 재료를 사용하여 통신을 복호화하고 변조할 수 있다.

FREAK에서는 클라이언트가 요구하는 암호에 수출 암호가 포함되어 있지 않지만, 중간자가 그것만 요구하도록 수정하고, 나아가 클라이언트 측이 수출 암시의 임시 키를 '''수락해 버리는''' 구현상의 허점을 이용하여 중간자 공격을 성립시킨다.

5. 대응 및 패치

이 취약점은 IMDEA 소프트웨어 연구소, INRIA, 마이크로소프트 연구소의 연구원들에 의해 발견되었다.^[2][3] OpenSSL의 FREAK 공격은 CVE-2015-0204 식별자를 갖는다.^[4]

취약한 소프트웨어 및 기기에는 애플의 사파리 웹 브라우저, 구글의 안드로이드 운영 체제의 기본 브라우저, 마이크로소프트의 인터넷 익스플로러, OpenSSL 등이 포함되었다.^[5][6] 마이크로소프트는 또한 전송 계층 암호화의 Schannel 구현이 모든 버전의 마이크로소프트 윈도우에서 FREAK 공격 버전에 취약하다고 밝혔다.^[7] Schannel의 마이크로소프트 취약점에 대한 CVE ID는 CVE-2015-1637이다.^[8] Secure Transport의 애플 취약점에 대한 CVE ID는 CVE-2015-1067이다.^[9]

이 취약점의 영향을 받은 사이트에는 미국 연방 정부 웹사이트 fbi.gov, whitehouse.gov 및 nsa.gov가 포함되었으며,^[12] 한 보안 그룹이 테스트한 HTTPS 사용 웹사이트 중 약 36%가 이 익스플로잇에 취약한 것으로 나타났다.^[13] IP2Location LITE를 사용한 지리적 위치 분석에 따르면 취약한 서버의 35%가 미국에 위치해 있다.^[10]

익스플로잇에 대한 언론 보도는 그 영향을 "잠재적으로 치명적"^[11]이며 암호화 기술 확산을 통제하려는 미국 정부의 노력의 "의도하지 않은 결과"라고 묘사했다.^[12]

2015년 3월 기준으로, 공급업체들은 이 결함을 수정하는 새로운 소프트웨어를 출시하는 과정에 있었다.^[12][13] 2015년 3월 9일, 애플은 이 결함을 수정한 iOS 8 및 OS X 운영 체제에 대한 보안 업데이트를 출시했다.^[14][15] 2015년 3월 10일, 마이크로소프트는 모든 지원되는 버전의 윈도우(서버 2003, 비스타 이상)에 대해 이 취약점을 수정한 패치를 출시했다.^[16] 구글 크롬 41 및 오페라 28도 이 결함에 대한 완화 조치를 취했다.^[3] 모질라 파이어폭스는 이 결함에 취약하지 않다.^[17]

이 결함을 설명하는 연구 논문은 제36회 IEEE 보안 및 개인 정보 보호 심포지엄에서 발표되었으며 우수 논문상을 수상했다.^[18]

6. 영향 및 교훈

이 취약점은 IMDEA 소프트웨어 연구소, INRIA, 마이크로소프트 연구소의 연구원들에 의해 발견되었다.^[2] OpenSSL의 FREAK 공격은 CVE-2015-0204 식별자를 갖는다.^[4]

취약한 소프트웨어 및 기기에는 애플의 사파리 웹 브라우저, 구글의 안드로이드 운영 체제의 기본 브라우저, 마이크로소프트의 인터넷 익스플로러, OpenSSL 등이 포함되었다.^[5][6] 마이크로소프트는 또한 전송 계층 암호화의 Schannel 구현이 모든 버전의 마이크로소프트 윈도우에서 FREAK 공격 버전에 취약하다고 밝혔다.^[7] Schannel의 마이크로소프트 취약점에 대한 CVE ID는 CVE-2015-1637이다.^[8] Secure Transport의 애플 취약점에 대한 CVE ID는 CVE-2015-1067이다.^[9]

이 취약점의 영향을 받은 사이트에는 미국 연방 정부 웹사이트 fbi.gov, whitehouse.gov 및 nsa.gov가 포함되었으며,^[12] 한 보안 그룹이 테스트한 HTTPS 사용 웹사이트 중 약 36%가 이 익스플로잇에 취약한 것으로 나타났다.^[13] IP2Location LITE를 사용한 지리적 위치 분석에 따르면 취약한 서버의 35%가 미국에 위치해 있다.^[10]

익스플로잇에 대한 언론 보도는 그 영향을 "잠재적으로 치명적"^[11]이며 암호화 기술 확산을 통제하려는 미국 정부의 노력의 "의도하지 않은 결과"라고 묘사했다.^[12]

2015년 3월 기준으로, 공급업체들은 이 결함을 수정하는 새로운 소프트웨어를 출시하는 과정에 있었다.^[12][13] 2015년 3월 9일, 애플은 이 결함을 수정한 iOS 8 및 OS X 운영 체제에 대한 보안 업데이트를 출시했다.^[14][15] 2015년 3월 10일, 마이크로소프트는 모든 지원되는 버전의 윈도우(서버 2003, 비스타 이상)에 대해 이 취약점을 수정한 패치를 출시했다.^[16] 구글 크롬 41 및 오페라 28도 이 결함에 대한 완화 조치를 취했다.^[3] 모질라 파이어폭스는 이 결함에 취약하지 않다.^[17]

이 결함을 설명하는 연구 논문은 제36회 IEEE 보안 및 개인 정보 보호 심포지엄에서 발표되었으며 우수 논문상을 수상했다.^[18] TLS의 전신인 SSL 개발 당시에는 미국의 암호 수출에 대한 엄격한 규제가 부과되었으며, 공개 키 암호인 RSA 암호에 대해서는 512비트 키 길이의 것만 허용되었다. 1990년대 당시에는 이 정도 강도의 암호는 미국 국가안보국(NSA)이 해독할 수 있었고, 다른 조직은 해독할 수 없었지만, 컴퓨터 성능 향상, 클라우드 컴퓨팅의 일반화로 인해 2015년 시점에서는 "50달러, 12시간 정도"^[19]로 해독할 수 있을 정도로 취약해졌다. 2003년 시점에서도 "구식"으로 여겨졌음에도 불구하고,^[36] 그로부터 10년 이상이 지나도 서버 측에서 수출 암호를 수락하는 설정을 유지하고 있었으며, 나아가 수출용 암호가 아님에도 불구하고 512비트 이하의 RSA 키를 수락하는 구현을 가진 클라이언트가 존재하여, 수출 암호를 사용하지 않는 클라이언트에게도 중간자가 키 교환에 개입할 여지를 만들었다. 2015년에 발견된 익스플로잇이지만, 이미 1990년대부터 근본 원인인 취약성이 존재했던 것으로 알려졌다.

참조

_[1] 웹사이트 The Dark Side of Microsoft Windows – Administrative... https://www.beyondtr[...] 2023-09-05
_[2] 웹사이트 A Messy State of the Union: Taming the Composite State Machines of TLS https://www.smacktls[...] IEEE Security and Privacy 2015 2015-05-18
_[3] 웹사이트 State Machine AttACKs against TLS (SMACK TLS) https://www.smacktls[...]
_[4] 웹사이트 Vulnerability Summary for CVE-2015-0204 http://web.nvd.nist.[...] NIST 2015-02-20
_[5] 웹사이트 What The FREAK? Why Android And iPhone Users Need To Pay Attention To The Latest Hot Vulnerability https://www.forbes.c[...] 2015-03-03
_[6] 웹사이트 FREAK: Another day, another serious SSL security hole https://www.zdnet.co[...] ZDNet 2015-03-03
_[7] 웹사이트 All Microsoft Windows versions are vulnerable to FREAK https://www.theregis[...] The Register 2015-03-06
_[8] 웹사이트 Microsoft Security Advisory 3046015: Vulnerability in Schannel Could Allow Security Feature Bypass https://technet.micr[...] Microsoft 2015-03-05
_[9] 웹사이트 About the security content of iOS 8.2 https://support.appl[...] 2017-01-23
_[10] 웹사이트 FREAK Servers By Country https://infogr.am/ht[...] 2015-03-03
_[11] 웹사이트 "\"FREAK\" flaw in Android and Apple devices cripples HTTPS crypto protection" https://arstechnica.[...] Ars Technica 2015-03-03
_[12] 뉴스 "'FREAK' flaw undermines security for Apple and Google users, researchers discover" https://www.washingt[...] 2015-03-03
_[13] 웹사이트 New FREAK Attack Threatens Many SSL Clients https://threatpost.c[...] Threatpost 2015-03-03
_[14] 웹사이트 About Security Update 2015-002 https://support.appl[...] Apple 2015-03-09
_[15] 웹사이트 About the security content of iOS 8.2 https://support.appl[...] Apple 2015-03-09
_[16] 웹사이트 Microsoft Security Bulletin MS15-031 - Important https://technet.micr[...] Microsoft 2015-03-10
_[17] 웹사이트 Microsoft Admits Windows Users Are Vulnerable to FREAK Attacks
_[18] 웹사이트 IEEE Distinguished Paper award for A Messy State of the Union: Taming the Composite State Machines of TLS http://www.ieee-secu[...] 2015-05-18
_[19] 웹사이트 暗号化通信に脆弱性「FREAK」が判明 - 盗聴や改ざんのおそれ http://www.security-[...] Security NEXT 2015-03-09
_[20] 웹사이트 SSLの深刻な脆弱性「FREAK」が明らかに--ウェブサイトの3分の1に影響か http://japan.zdnet.c[...] ZDNet Japan 2015-03-09
_[21] 웹사이트 SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃) http://jvn.jp/vu/JVN[...] JVN 2015-03-09
_[22] 웹사이트 FREAK: Another day, another serious SSL security hole http://www.zdnet.com[...] ZDNet 2015-03-03
_[23] 웹사이트 Vulnerability Summary for CVE-2015-0204 http://web.nvd.nist.[...] NIST 2015-02-20
_[24] 웹사이트 What The FREAK? Why Android And iPhone Users Need To Pay Attention To The Latest Hot Vulnerability http://www.forbes.co[...] Forbes 2015-03-03
_[25] 웹사이트 FREAK Servers By Country https://infogr.am/ht[...] 2015-03-03
_[26] 웹사이트 "\"FREAK\" flaw in Android and Apple devices cripples HTTPS crypto protection" http://arstechnica.c[...] Ars Technica 2015-03-03
_[27] 웹사이트 ‘FREAK’ flaw undermines security for Apple and Google users, researchers discover https://www.washingt[...] Washington Post 2015-03-03
_[28] 웹사이트 All Microsoft Windows versions are vulnerable to FREAK http://www.theregist[...] The Register 2015-03-06
_[29] 웹사이트 Microsoft Security Advisory 3046015: Vulnerability in Schannel Could Allow Security Feature Bypass https://technet.micr[...] Microsoft 2015-03-05
_[30] 웹사이트 New FREAK Attack Threatens Many SSL Clients https://threatpost.c[...] Threatpost 2015-03-03
_[31] 웹사이트 Tracking the FREAK Attack https://freakattack.[...] 2015-03-12
_[32] 웹사이트 FREAK: Factoring RSA Export Keys https://www.smacktls[...] 2015-03-12
_[33] 웹사이트 Schannel の脆弱性により、セキュリティ機能のバイパスが起こる (3046049) https://technet.micr[...] 2015-03-12
_[34] 웹사이트 About Security Update 2015-002 https://support.appl[...] 2015-03-12
_[35] 웹사이트 About the security content of iOS 8.2 https://support.appl[...] 2015-03-12
_[36] 서적 マスタリングTCP/IP SSL/TLS編 オーム社
_[37] 웹인용 The Dark Side of Microsoft Windows – Administrative... https://www.beyondtr[...] 2023-09-05