잘 해나가고 있어.
"혹시 감자튀김도 드릴까요?"라는 질문이 새로운 "민감한 정보에 접근하시겠어요?"라는 물음으로 바뀔 수도 있을지 모릅니다. 보안 연구원 'BobDaHacker'가 패스트푸드 체인점의 모바일 앱에서 무료 맥너겟을 받던 과정에서 시작된 일이, 결국 직원 및 프랜차이즈 운영자만을 위한 맥도날드 플랫폼에 반복적으로 접근할 수 있는 방법으로 이어진 과정을 폭로했습니다.
BobDaHacker는 "맥도날드의 Feel-Good Design Hub는 120개국에 걸쳐 팀과 에이전시가 사용하는 브랜드 자산 및 마케팅 자료의 중앙 플랫폼입니다. 예전에는 클라이언트 측 비밀번호(client-side password)로 '보호'되어 있었습니다. 네, 클라이언트 측입니다"라고 설명했습니다. 그는 자신이 무료 너겟 보상을 사용하려 할 때 이 문제를 처음 발견했다고 전했습니다. 그는 이어 "제가 이 문제를 보고한 후, 맥도날드는 직원(EID/MCID 사용)과 외부 파트너를 위한 개별 로그인 경로를 갖춘 적절한 계정 시스템을 구축하는 데 3개월이 걸렸습니다... 하지만 여전히 문제가 있었습니다. 제가 할 일은 URL에서 'login'을 'register'로 바꾸는 것만으로 플랫폼에 접근 가능한 새로운 계정을 만드는 것이었습니다"라고 밝혔습니다.
물론 보안 관련 기사를 쓰는 저 자신부터 인정할 점이 있습니다. 기업들이 취약점을 공개된 지 5분 만에 해결하지 못할 경우 얼마나 빠르게 비판적인 시선을 보내는지 모릅니다. 수십억 달러 규모의 대기업에서 소프트웨어를 개발하고 배포하는 경험이 우리 중 누구에게나 있는 것이 아니기에, 다소 불공평한 지적일 수도 있습니다. 하지만 문제를 해결하는 데 분기 전체가 걸렸음에도, URL의 단어 하나만 변경하는 것만으로 그 수정 사항이 무효화될 수 있는 맥도날드의 "Feel-Good Design Hub" 보안 수준은 진지하게 받아들이기 어렵습니다. 로널드(Ronald)조차 실망할 정도일 것입니다.
보안 연구원에 따르면 AMD 자동 업데이트 프로그램이 불안전하게 소프트웨어를 다운로드하여 원격 코드 실행(remote code execution)을 가능하게 하는 사례가 발견되었으며, 한 엔지니어는 소프트웨어 보안이 미흡한 스마트 수면 마스크가 타인의 뇌파를 읽을 수 있다는 사실을 발견하기도 했습니다.
물론 이 같은 사례들 역시, 대규모 소프트웨어 개발 및 배포의 어려움 때문에 어느 정도는 용인될 수도 있습니다. 이런 일은 발생할 수 있습니다! 그러나 BobDaHacker는 단순히 새 계정을 등록하는 것만으로도 Feel-Good Design Hub가 해당 계정과 연결된 비밀번호를 평문(plain-text)으로 전송한다는 점을 지적했습니다. 이는 우리 사회가 이미 수십 년 전부터 알고 있던 사실임에도 불구하고 벌어진 일입니다. 게다가 이는 BobDaHacker의 블로그 게시물에서 드러난 맥도날드 보안 프로세스상의 가장 당황스러운 실수에 불과했습니다.
Bob은 "맥도날드는 보안 연락처 정보가 담긴 security.txt 파일을 가지고 있었습니다. 그러나 그들은 이를 추가한 지 2개월 만에 삭제했습니다. 저는 웨이백 머신(Wayback Machine)을 통해야 발견했고, 그때는 이미 정보가 오래된 상태였습니다. 보안 연락처가 없는 기업에 보안 취약점을 신고하는 방법은 무엇일까요? 저는 말 그대로 맥도날드 본사(HQ)에 전화하여 링크드인에서 찾은 임의의 보안 직원 이름들을 계속 언급했습니다"라며 (강조 표현은 추가하지 않음) "본사 핫라인은 그저 연결하고 싶은 사람의 이름만 말하라고 했습니다. 그래서 저는 계속 전화를 걸었고, 임의의 보안 직원 이름을 거듭 언급하던 중, 마침내 충분히 중요한 사람에게서 연락이 왔고, 이 문제들을 신고할 실제 공식 채널을 확보할 수 있었습니다."라고 전했습니다.
Bob에 따르면, 맥도날드가 공개된 "대부분의 취약점"은 해결한 것처럼 보였으나, 회사는 취약점 조사에 도움을 주었던 Bob의 친구를 해고했으며, 그 친구는 "적절한 보안 신고 채널을 확립하지 못했다"고 전해졌습니다. (회사 웹사이트에서 security.txt 파일을 찾을 수 없었고, "McDonald's security disclosure"를 검색해도 관련 결과가 나오지 않았습니다.) 다른 연구원들이 Bob보다 훨씬 더 일찍 취약점 공개를 포기했을 수 있다는 점을 고려하면, 이는 부적절한 처사로 보입니다. 링크드인 검색과 핫라인 반복 전화는 이상적인 방법이 아닙니다.
제가 맥도날드와 관련된 다른 보안 문제를 다룬 지 한 달이 조금 넘었습니다. 그때는 사적 정보에 접근 가능한 플랫폼이 비밀번호 "123456"으로 보호되어 있었습니다. 이제 저희는 BobDaHacker가 Feel-Good Design Hub를 이용해 "기밀하고 독점적인(highly confidential and proprietary)" 마케팅 정보는 물론, "전 세계 모든 맥도날드 직원을 검색"하고 이메일 주소를 볼 수 있는 서비스 등 다양한 리소스에 접근할 수 있음을 알게 되었습니다.
[끝]