[scrap]FileZilla Client 의 취약점을 알고 계신가요?

원문 :  https://sir.kr/cm_free/1443615

원글작성자 : 사랑은봄비처럼

그누보드(sir.kr) 사랑은봄비처럼님이 작성하신 글입니다.
작성자님의 허락을 받고 원문 그대로 가져 왔음을 알립니다.

 

많은 분들이 ‘FileZilla Client’ 를 통해 FTP에 접속을 하시지만

그 분들 중에서 ‘Master key’ 를 아직 모르시는 분이 계시다면, 이 글은 도움이 될 것입니다.

 

우선 FileZilla가 왜 취약한지 부터 살펴보겠습니다.

 

3667419581_1516097228.4048.png

 

많이 익숙한 화면이실텐데, 보통은 이렇게 새 사이트를 만들고, 아이디와 암호를 적고

접속을 하죠. 그리고 작업을 끝낸 후 사이트목록을 지우는 분은 많이 없으시겠죠.

왜냐면 다시 ftp 주소와 id, pw 를 적으려면 귀찮으니깐요.

그런데, 이 귀차니즘 때문에 FTP 아이디와 비밀번호가 탈탈 털릴지도 모른다는 사실

혹시 생각해 보셨을지 모르겠네요.

 

컴 좀 다뤄보셨다는 분들은 기본적으로 알고 계시겠지만, OS가 깔린 C드라이브에 Roaming 라는 폴더는

각종 프로그램들의 세팅값이 저장되어 있는 곳인데요.

파일질라도 역시 사이트 관리자에 사이트 목록을 작성하면, 그 정보가 Roaming 폴더에 저장되게 됩니다.

정확한 절대경로는 아래와 같습니다.

C:\Users\사용자\AppData\Roaming\FileZilla

이 폴더에 들어가면, filezilla, sitemanager 라는 이름의 xml 파일이 존재하는데요.

파일에 마우스 우클릭으로 텍스트편집기 아무거나 즉 메모장으로도 열립니다.

 

3667419581_1516097816.0474.png]

 

열어보니 첫번째 이미지의 정보들이 전부 들어있는데요.

그중에 <Pass encoding=”base64″>MTIzNA== 부분을 살펴보면, test.co.kr 이라는 사이트의

패스워드값이 base64 (64진법) 로 그대로 저장되어 있는 것을 볼 수 있으실텐데요.

아래의 사이트에서 디코딩하면, 1초도 안되서 비밀번호를 알아낼 수 있습니다.

http://www.convertstring.com/ko/EncodeDecode/Base64Decode (패스워드는 1234 였네요.)

이건 암호화도 아니고, 그냥 진법만 다르게 한 패스워드 일 뿐이니깐요.

그러니까 해커가 침투해서 키로그처럼 상대방이 키보드 키 누르는 것을 기다렸다가 탈취하는게 아닌

그냥 접속한 후에 파일을 꺼내가면 끝입니다.

 

근데, 개인 PC를 누가 해킹하겠어 하시겠죠. 그러나 포맷을 해도 파일은 여전히 복구가 가능하고

저 두 개의 파일이 어떤 이유로 인해 유출이 되면, 생각만해도 끔찍하겠죠?

그래서 이 비밀번호를 보호하는 법을 아래에 기술해 보겠습니다. 별로 대단한건 아닙니다…^^

 

다시 파일질라로 돌아와서 상단메뉴 편집>설정 메뉴를 실행합니다.

3667419581_1516098303.6045.png

 

그럼 이렇게 세부항목인 인터페이스에 들어가면, Passwords 부분에 ‘Master password’ 를

지정하는 부분이 있습니다. 여기에 8자 이상의 암호를 설정해 줍니다.

 

 

3667419581_1516098407.3918.png

 

그 다음 사이트 관리자를 통해서 연결을 하게 되면, 위 이미지처럼

Master pw를 입력하는 곳에 아까 설정해 둔 패스워드를 입력해 주면 끝입니다.

그러니까 사이트 관리자의 사이트 목록에는 패스워드가 입력된 채로 연결을 하고

최초 1회만 마스터 패스워드를 통해 연결하게 되면, 다음에 파일질라를 실행했을 때

사이트 관리자에서 암호입력란이 비어있게 되는데, 여기엔 패스워드를 입력하지 않아도 됩니다.

 

3667419581_1516098703.2576.png

 

이런식으로 비어있게 됩니다. 즉, 마스터 패스워드만 알고 있으면 됩니다.

 

눈치채셨겠지만, 기존 사이트 관리자에서 사이트 목록에 저장되어있는 비밀번호를

마스터 비밀번호를 설정해 줌으로서 마스터 비번이 보호를 해주는거죠.

그리고 마스터 비밀번호와 FTP 접속 비밀번호는 AES-256 이라는 알고리즘을 사용하여

암호화 되고 있기 때문에 유출이 되더라도, 쉽게 비밀번호를 알아낼 수 없습니다.

3667419581_1516098966.4456.png

 

아까와는 달리 인코딩도 달라졌고, 키값도 생성된 모습입니다.

사실 파일질라 클라이언트가 이렇게 암호화 시스템으로 변경하게 된 것은

2017년 6월에 3.2.6 버전으로 패치 되면서 부터 입니다.

지금 최신버전은 3.3.0 이고, 정상적으로 작동하는 것을 확인했습니다…^^

 

만약 아직도 마스터 비밀번호를 설정해 두시지 않으셨다면

이번 기회를 통해서 보안에 더 철처해지는건 어떨까 하고 제안을 드려봅니다 ~