메가(MEGA) 클라우드 서비스에서 데이터의 암호를 풀 수 있는 보안 취약점이 발견했다.
취히리 연방 공과대학교(ETH Zurich) 연구원들에 따르면, 메가가 데이터를 암호화를 사용하는 방식에서 문제가 발생했다. 취약점은 메가 클라우드에서 데이터의 보안에 대한 심각한 공격으로 이어질 수 있는 수준이다.
ETH Zurich의 연구원들이 발표한 논문에 따르면, 해커는 사용자 인증을 통과할 수 있는 악성 파일을 원하는 대로 삽입할 수 있다. 메가 계정에는 ▲비대칭 RSA 키 세트 ▲데이터 공유를 위한 RSA 키 쌍 ▲메가의 채팅 기능에 필요한 채팅 키 교환을 위한 Curve25519 키 쌍 ▲다른 키 서명을 위한 Ed25519 키 쌍이 등이 있다.
연구원들은 해커가 사용자가 업로드한 모든 파일과 폴더에 대해 새 키를 생성할 수 있다고 지적했다. 또한 모든 키가 암호에서 파생되고 또한 메가의 서버에 저장돼 여러 장치에 대한 접근을 지원한다는 점을 강조했다.
메가 측은 자사의 클라우드 서비스가 AES 알고리즘을 사용해 암호화돼 있다며, 자신들은 업로드된 파일의 암호화 키를 알지 못하고 콘텐츠를 볼 수 없고, 따라서 업로드된 파일의 내용에 대해 책임을 지지 않아도 된다고 주장했다.
한편, 메가는 해커가 데이터를 암호를 알아내기 위해 악용할 수 있는 두 개의 취약점을 해결하고 세 번째 취약점을 찾았으며, 향후 업데이트에서 나머지 두 개의 취약점도 해결할 예정이라고 밝혔다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
