[카드뉴스] 알파카 취약점으로 '140만 서버' 위험

독일의 한 연구 그룹이 알파카(Application Layer Protocol Confusion Analyzing and mitigating Cracks in TLS Authentication, ALPACA) 취약점을 공개했다.

알파카 공격은 연결한 서버의 주소만 확인하고 대상 서비스는 확인하지 않는다는 것을 악용한 취약점으로 *.domain.com과 같이 ‘*’를 포함한 주소를 인증서에 사용할 경우 도메인이 동일한 다른 서비스와 TLS를 연결할 수 있게 된다.

공격자는 이용자를 연결 요청 서버가 아닌 중요 정보가 들어있는 다른 서버로 유도한 후, 다른 서버로부터 응답받거나 공격자가 의도한 스크립트를 실행하도록 한다.

그 후, 공격에 성공하면 공격자는 사용자 인증에 필요한 쿠키 또는 중요한 데이터를 추출하거나 XSS 공격을 통해 임의의 자바스크립트 코드를 실행할 수 있게 된다.

알파카 공격을 성공하는 것은 쉽지 않은 것으로 알려졌다. 공격자가 두 사람 간의 통신에 중간자로 개입해 피해자의 패킷을 가로채고 목적지를 바꿀 수 있어야 한다는 전제 조건이 있기 때문이다.

하지만 연구원들은 조사에 따르면, 약 140만 개의 서버가 알파카 공격에 취약한 상태라고 발표했다.

이에 따라 전문가들은 “네트워크 관리자는 TLS의 확장 기능의 ALPN(Application Layer Protocol Negotiation)이나 SNI(Server Name Indication)를 설정해 대비해야 한다”고 권고했다.