마이크로소프트(MS) 오피스(Office) 365에서 사용하는 메시지 암호화 메커니즘에서 보안 취약점이 발견됐다.
보안 기업 위드시큐어(WithSecure) 연구팀에 따르면, 이번 취약점을 통해 해커는 메시지 내용에 접근할 수 있다.
연구팀은 MS 오피스 365의 메시지 암호화(OME)가 ECB(Electronic Code book) 작동 모드에 의존한다고 지적했다. 또한 연구팀은 ECB 모드는 안전하지 않고 전송된 메시지의 구조를 드러낼 수 있어 정보 유출의 위험성이 높다고 우려했다.
OME는 이메일 메시지를 암호화하는 기술인데, 보안 취약점으로 인해 해커가 암호화된 이메일의 내용을 해독할 수 있다는 위험성을 가지고 있다.
연구팀은 “ECB가 메시지의 특정 구조 정보를 나타내기 때문에 해커가 메시지 내용을 식별할 수 있다. 첨부 파일로 전송되기 때문에 보낸 메시지는 다양한 이메일 플래폼에 저장된다. 따라서 송신자와 수신자 외에 누군가 메시지를 가로챌 수 있다. 특히 대규모 DB를 보유한 해커는 가로채는 메시지에서 반복되는 섹션의 상대적 위치를 분석해 내용을 유추할 수 있다”라고 말했다.
연구팀은 오피스 365 메시지 암호화로 보호된 이메일에서 이미지를 추출해 결함을 악용하는 방법을 시연했다. 이들은 메시지가 안전한 AES로 암호화돼 있지만, ECB 모드를 사용하면 메시지 내용을 알아낼 수 있다고 경고했다.
한편, 연구팀은 조사 결과를 MS에 보고했지만 MS는 이번 버그가 큰 문제가 아니라고 응답했다.
MS는 “버그에 대한 이번 보고서는 보안에 대한 기준을 넘어서는 위협이 아니다. 코드가 변경되지 않았으므로 CVE도 부여되지 않았다”라고 일축했다.
연구팀은 “이메일 최종 사용자나 관리자는 이번 버그에 대해 적용할 수 있는 옵션이 없다. MS는 이번 취약점을 해결할 계획이 없기 때문에 유일한 대책은 오피스 365의 메시지 암호화를 사용하지 않는 것이다”라고 말했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
