15세 해커, Cloudflare CDN 이용한 위치 추적 공격 성공: 개인정보 보호의 허점 드러내다
2025년 1월 27일, 15세의 한 고등학생 해커가 Cloudflare의 콘텐츠 전달 네트워크(CDN)의 취약점을 이용하여 Signal, Discord 등의 앱 사용자 위치 정보를 추정하는 데 성공했습니다. 그는 Cloudflare CDN의 캐싱 동작을 이용해, 사용자 기기가 요청한 리소스가 어떤 데이터센터에서 캐싱되었는지를 파악하여 사용자의 대략적인 위치를 추정하는 방법을 개발했습니다. 미국 동부 지역의 경우, 가장 가까운 데이터센터가 100마일 이내에 위치하기 때문에, 개발된 국가에 거주하는 사용자라면 가장 가까운 데이터센터가 200마일 이내일 가능성이 높다는 것을 이용한 것입니다. 정확한 위치는 파악할 수 없지만, 익명성을 추구하는 Signal 사용자의 위치를 200마일 이내로 좁힐 수 있습니다.
해커는 Cloudflare Workers의 버그를 이용하여 특정 데이터센터를 통해 트래픽을 라우팅하는 도구인 'Cloudflare Teleport'를 개발했습니다. 또한, 앱이 자동으로 캐시된 리소스(예: 푸시 알림으로 트리거되는 아바타)를 다운로드할 때 사용자의 상호 작용 없이도 공격이 가능함을 발견했습니다. Cloudflare는 해당 버그를 수정했지만, 해커는 VPN 서버를 이용하여 유사한 결과를 얻을 수 있음을 보여주었습니다. 이는 CDN을 사용하는 모든 앱이 여전히 취약할 수 있음을 의미합니다.
이 외에도, 다음과 같은 주요 사이버 보안 관련 뉴스들이 함께 보도되었습니다.
-
Tornado Cash 제재 철회: 2022년 미국 재무부가 제재했던 암호화폐 믹서 Tornado Cash에 대한 제재가 텍사스 법원에 의해 철회될 가능성이 열렸습니다. 법원은 재무부의 제재가 권한을 넘어섰다고 판단했습니다.
-
스바루 웹 앱 취약점: 스바루 STARLINK 관리 포털의 취약점으로 인해 원격으로 차량 시동/정지/잠금 해제, 고객 개인 정보 검색, 차량 정비 기록 접근, 과거 1년간의 위치 기록(5미터 정확도) 확인이 가능했습니다. 성과 이름과 우편번호, 이메일, 전화번호 또는 차량 번호판 중 하나만 알면 정보에 접근할 수 있었습니다. 스바루는 해당 취약점을 신속히 수정했습니다.
-
Stark Aerospace 랜섬웨어 공격: 미군 방산업체 Stark Aerospace가 INC 랜섬웨어 공격을 받아 4TB의 데이터(소스 코드, 공급망 정보, 건물 설계도, 직원 여권 등)가 유출되었습니다.
- American National Insurance Company 데이터 유출: MOVEit 데이터 유출 사건의 여파로 American National Insurance Company의 고객 개인 정보(이름, 이메일, 생년월일, 주소 등) 279,332건이 온라인에 유출되었습니다.
이러한 사건들은 CDN의 보안 취약성, 암호화폐 믹서 규제, 자동차 연결 애플리케이션의 보안 문제, 그리고 랜섬웨어 공격의 지속적인 위협을 보여주는 사례입니다. 각 사건의 상세한 내용은 기사 원문을 참조하시기 바랍니다.
