»õ·Î¿î Ãë¾àÁ¡µéµµ ¸¹Áö¸¸, ¿À·¡µÈ Ãë¾àÁ¡µéµµ ÀÖ¾î...ÆÐÄ¡ÀÇ Á߿伺
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] 2019³âÀÌ ½ÃÀÛµÈ Áö ½º¹«³¯ÀÌ Áö³µÁö¸¸, ¾ÆÁ÷µµ 2018³âÀ» Á¡°ËÇϱ⿡´Â ´ÊÁö ¾Ê¾Ò´Ù. ±×·± Àǹ̿¡¼ ÃÖ±Ù º¸¾È ȸ»ç ÈÀÌÆ®ÇÞ ½ÃÅ¥¸®Æ¼(WhiteHat Security)°¡ 2018³â ÃÖ¾ÇÀÇ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Ãë¾àÁ¡µé¿¡ ´ëÇØ Á¶»çÇØ ¹ßÇ¥Çß´Ù.
[À̹ÌÁö = iclickart]
ÈÀÌÆ®ÇÞ ÃøÀº 2018³â ¾Ç¼º ÇØÄ¿µéÀÌ °¡Àå ÈçÇÏ°Ô »ç¿ëÇß´ø À¥ ÀͽºÇ÷ÎÀÕµéÀ» ¸ÕÀú Á¤¸®Çß´Ù. ¿©±â¿¡´Â »õ·Î¿î Ãë¾àÁ¡µé°ú ¿À·¡µÈ Ãë¾àÁ¡µéÀÌ °í·ç µé¾î ÀÖ¾ú´Ù. ¿À·¡µÈ Ãë¾àÁ¡µé Áß¿¡´Â º¸¾È ¾÷°èÀÇ Àü¹®°¡µéÀÌ ¡®°íÀü¡¯À̶ó°í ºÎ¸¦ Á¤µµ·Î ³Ê¸± ¾Ë·ÁÁø °Íµéµµ ÀÖ¾ú´Ù.
ÈÀÌÆ®ÇÞÀÇ ±â¾÷ Àü·« ºÎ¹® ºÎȸÀåÀÎ ¼¼Åõ ÄðÄ«´Ï(Setu Kulkarni)´Â ¡°2018³â ÃÖ°íÀÇ ¾ÖÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡µéÀº Å©°Ô µÎ °³ÀÇ Áø¿øÁö¸¦ °¡Áö°í ÀÖ´Ù¡±°í Á¤¸®ÇÑ´Ù. ¡°µÑ ´Ù ¼ÒÇÁÆ®¿þ¾î °³¹ß °úÁ¤¿¡ ÀÖ½À´Ï´Ù.¡±
Çϳª´Â ¿ÀǼҽº·Î, Á¡Á¡ Åø°ú ±â´É, ¾ÖÇø®ÄÉÀ̼ÇÀ» ¿ÀǼҽº·Î °øÀ¯ÇÏ´Â ÇàÀ§°¡ ´Ã¾î³ª°í ÀÖ´Ù´Â °Ç °³¹ßÀÚ¶ó¸é Àß ¾Ë°í ÀÖ´Â ºÎºÐÀÌ´Ù. °ø°ø API¸¦ »ç¿ëÇÏ¸é ±â´ÉÀ» ºü¸£°Ô ºô·Á¿À´Â °Ô °¡´ÉÇϱ⠶§¹®¿¡ °³¹ßÀÚµé »çÀÌ¿¡¼ ÀÌ·¯ÇÑ ¿òÁ÷ÀÓÀº ¾ÕÀ¸·Î ´çºÐ°£ Áö¼ÓµÉ Àü¸ÁÀÌ´Ù. ÄðÄ«´Ï´Â ¡°±×·±µ¥ ¿ÀǼҽº¸¦ ÅëÇؼ Ãë¾àÇÑ ºÎºÐµéµµ ºü¸£°Ô °øÀ¯µÇ°í ÀÖ´Ù¡±°í ÁöÀûÇÑ´Ù.
¶Ç ´Ù¸¥ Áø¿øÁö´Â µ¥ºê¿É½º¸¦ ÅëÇØ À¯ÇàÀÌ µÇ±â ½ÃÀÛÇÑ ¡®ºü¸¥ °³¹ß/»ý»ê/Ãâ½Ã Áֱ⡯¶ó°í ÄðÄ«´Ï´Â ÁÖÀåÇÑ´Ù. ¡°µ¥ºê¿É½º, ¸¶ÀÌÅ©·Î¼ºñ½º, ¿ÀǼҽº¶ó´Â ¿ä¼ÒµéÀº ÀüºÎ »õ·Î¿î À¯ÇüÀÇ Ãë¾àÁ¡µéÀ» ¾ÖÇø®ÄÉÀÌ¼Ç »ýÅ°迡 µé¿©³õ°í ÀÖ½À´Ï´Ù. Äڵ带 Á¦Ç°À̳ª ¼ºñ½º·Î Àüȯ½Ãų ¼ö ÀÖ´Â °³¹ßÀÚµéÀÇ ±ÇÇÑÀÌ ´Ã¾î³ª¸é¼ »ýÅ°è Àüü°¡ Ãë¾àÇØÁ³´Ù°í ºÁµµ µÉ Á¤µµÀÔ´Ï´Ù.¡±
±×·¡¼ »ÌÈù ÃÖ°íÀÇ Ãë¾àÁ¡ 10°³¿¡´Â Á¦ÀÌÄõ¸® ÆÄÀÏ ¾÷·Îµå(jQuery File Upload) Ãë¾àÁ¡(CVE-2018-9206)À̳ª ¿öµåÇÁ·¹½º µµ½º °ø°Ý Ãë¾àÁ¡(CVE-2018-6989)¿Í °°Àº »õ·Î¿î Ãë¾àÁ¡ºÎÅÍ µå·çÆÈ°Ôµ·(Drupalgeddon)À̳ª ¸ÞÀÌÁöÄ«Æ®(Magecart)¿Í °°Àº ¿À·¡µÈ Ãë¾àÁ¡±îÁö ´Ù¾çÇÏ°Ô ¼¯¿© ÀÖ¾ú´Ù. XSS¿Í °°Àº ¡®°íÀüÀûÀΡ¯ Ãë¾àÁ¡µé ¿ª½Ã ¼ö³â ° ¿¬¼ÓÀ¸·Î ¼øÀ§¿¡ ¿À¸£´Â µ¥ ¼º°øÇß´Ù.
ÈÀÌÆ®ÇÞÀÇ ¼ö¼® ¿¬±¸¿øÀÎ ¸¶Å© ·Î°£(Mark Rogan)Àº ¡°XSS¿Í °°ÀÌ ¿À·¡µÈ Ãë¾àÁ¡ÀÌ 2018³â ¸ñ·Ï¿¡ ¿À¸¥ ÀÌÀ¯´Â, Çб³³ª ÈÆ·Ã ÇÁ·Î±×·¥, ±â¾÷µé¿¡¼ ¾ÆÁ÷µµ º¸¾Èº¸´Ù °³¹ß ¼Óµµ¸¦ Áß½ÃÇϱ⠶§¹®¡±À̶ó°í ¼³¸íÇÑ´Ù. ¡°Á¤¸» ºÎ²ô·¯¿î ÀÏÀÔ´Ï´Ù. XSS´Â ¹æºñÇÏ´Â °Ô ¸Å¿ì ½¬¿î Ãë¾àÁ¡À̰ŵç¿ä. ¼Óµµ¿¡ ¹ÌÃļ ÀÌ·± °£´ÜÇÑ ÀÏÁ¶Â÷ ÇÏÁö ¾Ê´Â´Ù´Â °Ç º¸¾È Àü¹®°¡°¡ ¾Æ´Ï´õ¶óµµ âÇÇÇÑ ÀÏÀÌÁÒ. ÀÎDzÀ» È®ÀÎÇÏ´Â ÀýÂ÷¸¸ ³ÖÀ¸¸é µÇ´Âµ¥ ¸»ÀÔ´Ï´Ù.¡±
ÄðÄ«´Ï´Â ¡°±×·¸´Ù°í µ¥ºê¿É½º¶ó´Â °Í ÀÚü°¡ Áö¾çµÇ¾î¾ß ÇÒ °³¹ß ¹æ¹ý·ÐÀ̶ó´Â °Ç ¾Æ´Ï¡±¶ó°í °Á¶ÇÑ´Ù. ¡°¿ÀÈ÷·Á µ¥ºê¿É½º·Î °¡´Â °Ç ¿Ã¹Ù¸¥ ¹æÇâÀÔ´Ï´Ù. ´Ù¸¸ µ¥ºê¿É½º¶ó´Â °Í ÀÚü¿¡ »ç¶÷µéÀÌ Àͼ÷ÇÏÁö ¾ÊÀº ¸ð½ÀÀÔ´Ï´Ù. ¾ÕÀ¸·Î µ¥ºê¿É½º¸¦ °¡¸£Ä¡°í ÈƷýÃų ¶§ ½ÃÅ¥¾î ÄÚµùÀ» ½À°üȽÃÄÑ¾ß ÇÕ´Ï´Ù. ¶ÇÇÑ °³¹ß °úÁ¤ Àüü¿¡ ÁÖ±âÀûÀÌ°í Áö¼ÓÀûÀÎ º¸¾È Á¡°Ë ÀåÄ¡¸¦ ¸¶·ÃÇÏ´Â °Íµµ Á¤Âø½ÃÄÑ¾ß ÇÒ ¹®ÈÀÌ°í¿ä.¡±
±×·¯¸é¼ ±×´Â ¡°º¸¾ÈÀ» Æò°¡ÇÏ°í, Çǵå¹éÀ» °³¹ßÀڵ鿡°Ô µÇµ¹·ÁÁÖ´Â °Í, ±×¸®°í °³¹ßÀÚµéÀÌ ±× Çǵå¹éÀ» ±×¶§ ±×¶§ °³¹ß °úÁ¤ Áß¿¡ ¹Ý¿µÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù¡±°í ¸»ÇÑ´Ù. ¡°±×·± ½Ã½ºÅÛÀÌ Á¤È®È÷¸¸ °®ÃçÁø´Ù¸é µ¥ºê¿É½º´Â ¾ÕÀ¸·Î ¿ÀÈ÷·Á ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ¹®Á¦¸¦ ÁÙÀÌ´Â µ¥ µµ¿òÀ» ÁÙ °ÍÀ¸·Î º¸ÀÔ´Ï´Ù.¡±
ÈÀÌÆ®ÇÞÀÌ »ÌÀº 2018³â °¡Àå ÈçÇÑ Ãë¾àÁ¡Àº ´ÙÀ½°ú °°´Ù.
1. jQuery File Upload RCE – CVE-2018-9206
2. Magecart
3. WordPress DoS – CVE-2018-6989
4. Drupalgeddon 2 – CVE-2018-7600
5. Drupalgeddon 3 – CVE-2018-7602
6. Telerik¡¯s RadAsyncUpload
7. Spring Data Commons – CVE-2018-1273
8. Cross Site Scripting – CVE-2018-1999024
9. Flash Player Hack – CVE-2018-4878
10. Spring OAuth Approval – CVE-2018-1260
3ÁÙ ¿ä¾à
1. 2018³â ÇØÄ¿µéÀÌ °¡Àå ¸¹ÀÌ »ç¿ëÇÑ Ãë¾àÁ¡ 10°³°¡ »ÌÈ÷´Ù.
2. ¿©±â¿¡´Â ¿À·¡µÈ °Íµé°ú »õ·Î¿î °ÍµéÀÌ È¥ÀçµÇ¾î ÀÖ¾ú´Ù.
3. Ãë¾àÁ¡ÀÇ ±Ù°£Àº µÎ °¡Áö : ¿ÀǼҽº È°¼ºÈ¿Í µ¥ºê¿É½º.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>