포스팅 내용

국내외 보안동향

VPN 업체인 NordVPN, TorGuard, VikingVPN에서 보안 유출 사고 발생해

NordVPN, TorGuard, and VikingVPN VPN providers disclose security breaches


해커가 NordVPN, TorGuard VPN에서 사용 되는 시스템을 해킹하고 이들의 웹 서버와 VPN 구성 파일을 보호하는데 사용 된 개인 키를 공개했습니다.


온라인으로 유출 된 NordVPN의 정보는 작년 NordVPN의 서버에서 훔친 것이었습니다.


<이미지 출처: https://twitter.com/hexdefined/status/1185864801261477891>


공격자들은 회사의 개인 키 중 최소 3개를 공개했습니다. 하나는 오래 된 NordVPN 사이트 인증서에서, 두 개는 OpenVPN 키에서 가져왔습니다.


이 인증서는 2018년 10월 만료 되어 해킹이 작년에 발생했음을 나타내지만, 해당 서버가 만료 된 인증서의 키를 저장하고 있었을 가능성도 배제할 수는 없습니다.


키가 온라인에 공개 된 후, 전문가들은 공격자가 악성 VPN 서버를 설정하여 사용자의 트래픽에 중간자 공격(MiTM)을 실행하는데 사용했을 수 있음을 지적했습니다.


<이미지 출처: https://twitter.com/cryptostorm_is/status/1185976505203118081>


Golem.de의 전문가들은 만료 된 인증서는 중간자 공격을 실행하는데 이용될 수 있었으나, 트래픽을 복호화 할 수는 없었다고 밝혔습니다.


“유출 된 키를 사용하여 저장 된 VPN 트래픽을 직접 복호화 할 수는 없습니다. 구성 파일을 통해 OpenVPN 구성에서 Diffie-Hellman 키 교환을 사용함을 알 수 있으므로, 이 연결은 소위 순방향 비밀 속성이 있어 추후 복호화를 막을 수 있게 됩니다.”


“이 키는 중간자 공격에 사용될 수 있습니다. 또한 공격자는 해킹 도중 트래픽에 접근할 수 있을 것이라 가정할 수 있습니다.”


<이미지 출처 : https://securityaffairs.co/wordpress/92808/hacking/nordvpn-torguard-vikingvpn-hack.html>


NordVPN은 해당 사고가 2018년 3월 발생했으며, 타사에서 운영 중이었던 핀란드에 위치한 데이터 센터 중 하나에 해커가 액세스 했다고 인정했습니다.


“몇 달 전, 2018년 3월 우리가 서버를 렌트 한 핀란드의 데이터센터 중 하나에 해커가 무단으로 액세스했다는 사실을 발견했습니다.”


“공격자는 데이터센터 업체의 보호 되지 않은 원격 관리 시스템을 악용해 해당 서버에 접근했습니다. 저희는 그러한 시스템이 있다는 사실 조차 알지 못했습니다. 이 서버는 사용자의 활동 기록을 저장하고 있지 않았습니다. 자사의 어떤 프로그램도 사용자가 인증을 위해 생성한 크리덴셜을 보내지 않았기 때문에, 사용자 계정 및 패스워드는 가로챌 수 없었습니다.”


NordVPN은 해킹 된 핀란드의 서버에는 만료 된 TLS 키가 저장 되어 있었다는 사실을 강조하며 다른 서버의 VPN 트래픽을 복호화하는데는 사용될 수 없었을 것이라 밝혔습니다. 웹사이트 트래픽을 악용할 수 있는 유일한 방법은 nordvpn.com에 접근을 시도하는 단일 연결에 인터셉트하기 위한 개인화 된 정교한 중간자 공격(MiTM)을 실행하는 것뿐입니다.


사고 후 NordVPN은 즉시 조사에 착수했으며 해당 서버 제공업체와의 계약을 종료했습니다.


이 사고는 동일한 데이터센터를 이용하는 다른 VPN 업체인 VikingVPN과 TorGuard에도 영향을 미쳤습니다.


TorGuard는 이 사고에 영향을 받은 업체 3곳 중 안전한 PKI 관리 시스템을 구현한 유일한 VPN 제공업체였습니다. 이 회사의 메인 CA 키는 영향을 받은 VPN 서버에 저장 되어 있지 않았습니다.


TorGuard는 “해킹 된 TorGuard 서버 한 대는 2018년 초 네트워크에서 제거 되었습니다. 또한 의심스러운 활동이 반복적으로 일어나 해당 호스팅 업체와의 모든 계약을 종료한 상태입니다.”


“이 사고로 인해 TorGuard VPN이나 프록시 트래픽은 해킹 되지 않았으며, 어떠한 민감 정보도 해킹 되지 않았습니다. 지금까지 어떠한 보안 위험도 발견 되지 않았지만, TorGuard는 올해 초 자사의 보안 프로토콜에 따라 모든 인증서를 재발급 받았습니다.”라 밝혔습니다.



출처 :

https://securityaffairs.co/wordpress/92808/hacking/nordvpn-torguard-vikingvpn-hack.html



티스토리 방명록 작성
name password homepage