[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] »ç¶÷ÀÇ ´«°ú ÄÄÆÄÀÏ·¯ÀÇ Å½Áö ±â¼úÀ» ¸ðµÎ ¼ÓÀÌ´Â ¾Ç¼º ÄÚµå »ðÀÔ ±â¹ýÀÌ °í¾ÈµÆ´Ù. ¼Ò½ºÄڵ忡 ¾Ç¼º ¿ä¼Ò¸¦ Á÷Á¢ ½É´Â ÀÌ °ø°Ý¿¡´Â ¡®Æ®·Î¾á ¼Ò½º(Trojan Source)¡¯¶ó´Â À̸§ÀÌ ºÙ¾ú´Ù. Ä·ºê¸®Áö´ëÇÐÀÇ ¿¬±¸¿øµéÀÎ ´ÏÄÝ¶ó½º ¹Ù¿ìó(Nicholas Boucher)¿Í ·Î½º ¾Ø´õ½¼(Ross Anderson)ÀÌ ÀÌ¿Í °ü·ÃµÈ º¸°í¼¸¦ ¹ßÇ¥Çß´Ù.
[À̹ÌÁö = utoimage]
µÎ ¿¬±¸¿ø¿¡ ÀÇÇϸé Æ®·Î¾á ¼Ò½º °ø°ÝÀº ¸ðµç ¼Ò½ºÄڵ带 À§ÇùÇÒ ¼ö ÀÖ´Â °ø°Ý ±â¹ýÀ̶ó°í ÇÑ´Ù. ±×µé ½º½º·Îµµ C, C++, C#, ÀÚ¹Ù½ºÅ©¸³Æ®, ÀÚ¹Ù, ·¯½ºÆ®, °í, ÆÄÀ̼± ¾ð¾îµé¿¡ ´ëÇÑ °ø°ÝÀ» ¼º°ø½ÃÄ×À¸¸ç, ±×¿¡ ´ëÇÑ °³³äÁõ¸í ÄÚµå±îÁö °³¹ßÀ» ¿Ï·áÇß´Ù. ±× ¿Ü¿¡µµ ´Ù¸¥ Çö´ë ¸ðµç ÇÁ·Î±×·¡¹Ö ¾ð¾îµé¿¡µµ ¿µÇâÀ» ÁÙ ¼ö ÀÖÀ» °ÍÀ̶ó°í ¹Ù¿ìó¿Í ¾Ø´õ½¼Àº º¸°í ÀÖ´Ù.
À̹ø ¿¬±¸¿Í °ü·ÃµÈ Ãë¾àÁ¡Àº ÃÑ µÎ °¡Áö·Î CVE-2021-42574¿Í CVE-2021-42694´Ù. µÑ ´Ù À¯´ÏÄÚµå(Unicode) ½Ã½ºÅÛ°ú °ü·ÃµÈ Ãë¾àÁ¡µéÀÌ´Ù. ¡°¿¹¸¦ µé¾î ¶óƾ¾î·Î µÈ ¹®ÀÚµéÀ» ȸ鿡 ³ªÅ¸³¾ ¶§´Â ¿ÞÂÊ¿¡¼ ¿À¸¥ÂÊÀ¸·Î ÅؽºÆ®°¡ È帣µµ·Ï ÇÕ´Ï´Ù. ¹Ý´ë·Î ¾Æ¶óºñ¾Æ¾î ¹®ÀÚ¶ó¸é ¿À¸¥ÂÊ¿¡¼ ¿ÞÂÊÀ¸·Î °¡´Â °Ô Á¤»óÀÌÁÒ. ÀÌ·± µÎ °¡Áö ÅؽºÆ®°¡ ¼¯¿© ÀÖÀ» ¶§, ȸ鿡 ±ÛÀÚ°¡ ³ªÅ¸³ª´Â ¼ø¼°¡ ¼·Î Ãæµ¹ÇÏ°Ô µË´Ï´Ù. À̸¦ ÇØ°áÇÏ´Â ¾Ë°í¸®ÁòÀÌ À¯´ÏÄڵ忡 ÀÖ±ä ÇÏÁö¸¸ ÃæºÐÄ¡ ¾ÊÀ» ¼ö ÀÖ½À´Ï´Ù. ÀÌ ¶§ À¯´ÏÄÚµå´Â ´«¿¡ º¸ÀÌÁö ¾Ê´Â ¹®ÀÚ³ª ±âÈ£µéÀ» »ðÀÔÇÔÀ¸·Î½á ¡®¿©±â¼ºÎÅÍ ÅؽºÆ® ³ëÃâ ¼ø¼°¡ ¹Ù²ï´Ù¡¯´Â Ç¥½Ã¸¦ ÇÕ´Ï´Ù.¡± Æ®·Î¾á ¼Ò½º °ø°ÝÀº ÀÌ ÁöÁ¡À» ¾Ç¿ëÇÏ´Â °ÍÀ̶ó°í º¼ ¼ö ÀÖ´Ù.
¡°¾Æ¹«¸® Á¤±³ÇÏ°Ô ¼³°èµÈ ÇÁ·Î±×·¡¹Ö ¾ð¾îµéÀ̶ó°í ÇÏ´õ¶óµµ À¯´ÏÄڵ尡 ÅؽºÆ® È帧À» Á¦¾îÇϱâ À§ÇØ »ðÀÔÇÏ´Â Åõ¸í ¹®ÀÚ ¹× ±âÈ£µéÀ» ÇÇÇØ°¥ ¼ö¹Û¿¡ ¾ø½À´Ï´Ù. ³í¸®ÀûÀÎ ÀÎÄÚµùÀ» À¯ÁöÇϱâ À§ÇؼÀÌÁÒ. ÀÌ ºÎºÐÀ» °Çµå¸®°Ô µÇ¸é ÄÚµùÀÇ ³í¸® È帧ÀÌ ±úÁý´Ï´Ù. ÄÄÆÄÀÏÀ» ÇØ º¸¸é ±¸¹® ¿À·ù°¡ ¶å´Ï´Ù. ±¸¹® ¿À·ù´Â ÄÚ¸àÆ®³ª ¹®ÀÚ¿ 󸮸¦ ÅëÇØ ÇØ°áÇÒ ¼ö ÀÖ´Â ¿À·ùµéÀä, ÄÚ¸àÆ®³ª ¹®ÀÚ¿ ¸ðµÎ óÀ½°ú ³¡À» ÁöÁ¤ÇØ ÁÖ´Â ¸í·ÉµéÀÌ Á¸ÀçÇÕ´Ï´Ù. ±×·±µ¥ À¯´ÏÄÚµåÀÇ ¾Ë°í¸®ÁòÀ» ÀͽºÇ÷ÎÀÕ ÇÏ´Â °ø°ÝÀº ÄÚ¸àÆ®¿Í ¹®ÀÚ¿ÀÇ Ã³À½°ú ³¡À» ÁöÁ¤ÇÏ´Â ¸í·ÉÀ» ¹«½ÃÇÕ´Ï´Ù. ±×·¯¹Ç·Î ƯÁ¤ À¯´ÏÄÚµå¿ë Á¦¾î ¹®ÀÚµéÀ» ÄÚ¸àÆ®³ª ¹®ÀÚ¿ ¾È¿¡ »ðÀÔÇÔÀ¸·Î½á ÄÄÆÄÀÏ·¯µµ ¹ß°ßÇÏÁö ¸øÇÏ´Â ¾Ç¼º Äڵ带 »ðÀÔÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
À̸¦ Çö½Ç¿¡ Àû¿ëÇÑ´Ù¸é ¼Ò½ºÄÚµå·Î¼µµ ¿Ïº®È÷ Á¤»óÀûÀ¸·Î º¸ÀÌ°í ÄÄÆÄÀϵµ Á¦´ë·Î µÇ´Âµ¥ ¿Ïº®ÇÏ°Ô ¾ÇÀÇÀûÀÎ ±â´ÉÀ» ¹ßÈÖÇÏ´Â Äڵ带 ¸¸µé ¼ö ÀÖ°Ô µÈ´Ù°í ¿¬±¸¿øµéÀº °Á¶Çß´Ù. ±×·¯¹Ç·Î ÀüÇô »õ·Î¿î °ø±Þ¸Á °ø°ÝÀ» ÇÒ ¼ö ÀÖ°Ô µÈ´Ù°í ÇÑ´Ù. ¡°ÄÚ¸àÆ®¿Í ¹®ÀÚ¿ ¾È¿¡ ¾ÇÀÇÀû ³í¸®¸¦ °¡Áø À¯´ÏÄÚµå ±ÛÀÚµéÀ» »ðÀÔÇÔÀ¸·Î½á ½ÇÁ¦ ¼Ò½ºÄÚµåÀÇ ³í¸®¸¦ ÇØÄ¡Áö ¾ÊÀ¸¸é¼µµ µ¶ÀÚÀûÀÎ ¸Ö¿þ¾î¸¦ ¼³Ä¡ÇÒ ¼ö ÀÖ°Ô µÇ´Â °Ì´Ï´Ù. »ç¶÷µéÀÇ ´«¿¡µµ ¶çÁö ¾Ê°í ÄÄÆÄÀÏ·¯µµ ¼ÓÀÏ ¼ö ÀÖÀ¸¸ç, ½ÉÁö¾î º¸¾È ¼Ö·ç¼Çµéµµ ³ôÀº È®·ü·Î ÇÇÇØ°¥ ¼ö ÀÖ½À´Ï´Ù.¡±
À¯´ÏÄÚµåÀÇ ÀÌ·¯ÇÑ ¡®º¸ÀÌÁö ¾Ê´Â ¹®ÀÚ¡¯µéÀÌ °ÅÀÇ ¸ðµç ½Ã½ºÅÛ¿¡¼ ¡®º¹»ç ¹× ºÙ¿©³Ö±â¡¯ ±â´ÉÀ» ÅëÇؼµµ °£ÆíÇÏ°Ô ¿Å°ÜÁø´Ù´Â °Íµµ ¹®Á¦´Ù. ÄÚµåÀÇ Á¤»óÀûÀÎ ºÎºÐµéÀ» ±Ü¾î´Ù ºÙ¿´À» »ÓÀε¥ Àڱ⵵ ¸ð¸£°Ô ¾Ç¼º ÄÚµå±îÁö ½ÉÀ» ¼ö ÀÖ´Ù´Â ¶æÀÌ´Ù. ±êÇãºê(GitHub) µîÀ» ÅëÇØ °øÀ¯µÇ´Â ÄÚµåµéÀÌ °³¹ßÀÚµé »çÀÌ¿¡¼ ¡®º¹»ç ¹× ºÙ¿©³Ö±â¡¯·Î ´ëºÎºÐ ÀüÆĵȴٴ °É °¨¾ÈÇϸé ÀÌ·¯ÇÑ Æ¯¼º ¿ª½Ã ´ë´ÜÈ÷ À§ÇèÇÏ°Ô ÀÛ¿ëÇÒ ¼ö ÀÖ´Ù. ¶§¹®¿¡ ÀÌ·¯ÇÑ Ãë¾àÁ¡ÀÌ ÅëÇÏÁö ¾Êµµ·Ï ÄÄÆÄÀÏ·¯ÀÇ ¾÷µ¥ÀÌÆ®°¡ ÇÊ¿äÇÑ »óȲÀÌ´Ù. ½ÇÁ¦ µÎ ¿¬±¸¿øµéÀº º¸°í¼¸¦ ¹ßÇ¥Çϱâ Àü¿¡ ¹Ì¸® ÄÄÆÄÀÏ·¯ °³¹ß»ç¿¡ ¿¬¶ôÇØ ÇÊ¿äÇÑ Á¶Ä¡¸¦ ÃëÇß´Ù°í ÇÑ´Ù. ÇÏÁö¸¸ ¸ðµÎ ¿©±â¿¡ ´ëÀÀÀ» ÇÏ°í ÀÖ´Â °Ç ¾Æ´Ï´Ù.
ÇÑ °¡Áö ´ÙÇàÀÎ Á¡Àº ¾ÆÁ÷ ÀÌ·¯ÇÑ °ø°Ý ½Ãµµ°¡ ½ÇÁ¦ ÇöÀå¿¡¼´Â ¹ß°ßµÇÁö ¾Ê°í ÀÖ´Ù´Â °ÍÀÌ´Ù. ¡°CVE-2021-42574¿Í CVE-2021-42694°¡ ¾ÆÁ÷±îÁö´Â ½ÇÁ¦ °ø°Ý¿¡¼ ÀͽºÇ÷ÎÀÕ µÈ »ç·Ê°¡ ¾ø¾ú½À´Ï´Ù. ÇÏÁö¸¸ ¾ÆÁ÷±îÁö Æ®·Î¾á ¼Ò½º °ø°Ý¿¡ ´ëÇÑ ¿Ïº®ÇÑ ´ëó¹ýÀÌ Á¸ÀçÇÏÁö ¾Ê´Â´Ù´Â °É °£°úÇؼ´Â ¾È µÇ°ÚÁÒ. ÇöÁ¸ÇÏ´Â ¸ðµç ÇÁ·Î±×·¡¹Ö ¾ð¾îµéÀÇ À¯Áö º¸¼ö¸¦ ´ã´çÇÏ´Â ºÐµéÀÌ »¡¸® ÄÚµå ÆíÁý±â¿Í ÄÄÆÄÀÏ·¯¸¦ ÆÐÄ¡Çϱ⸦ ±â´Ù¸®´Â ¼ö¹Û¿¡ ¾ø½À´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. °ÅÀÇ ¸ðµç ÇÁ·Î±×·¡¹Ö ¾ð¾î¸¦ À¯´ÏÄÚµåÀÇ Æ¯¼ºÀ¸·Î ³ó¶ôÇÏ´Â ¹æ¹ý °³¹ßµÊ.
2. ÀÌ ¹æ¹ýÀ» Àß »ç¿ëÇÏ¸é »ç¶÷µµ, ÄÄÆÄÀÏ·¯µµ, º¸¾È ¼Ö·ç¼Çµµ ¸ðµÎ ¼ÓÀÏ ¼ö ÀÖÀ½.
3. ÇÁ·Î±×·¡¹Ö ¾ð¾î °ü¸® À¯Áö Ã¥ÀÓÀÚµéÀÌ ÄÄÆÄÀÏ·¯¿Í ÆíÁý±â ÆÐÄ¡¸¦ ¼µÑ·¯¾ß¸¸ ÇØ°áÀÌ °¡´ÉÇÑ À§Çù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>