[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Àα⠳ôÀº À¥ ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ß ÇÁ·¹ÀÓ¿öÅ©ÀÎ ½ºÇÁ¸µ(Spring)¿¡¼ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ¸¹Àº °³¹ßÀÚµéÀÌ ½ºÇÁ¸µÀ» »ç¿ëÇØ ¾ÛÀ» °³¹ßÇϱ⠶§¹®¿¡ ¼ö¸¹Àº À¥ ¾ÖÇø®ÄÉÀ̼ǵéÀÌ Ãë¾àÇÒ °ÍÀ¸·Î ¿¹»óµÇ°í ÀÖ´Ù. ÀÌ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº ¿ø°Ý °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇÏ´Â ¼ºÁúÀ» °¡Áö°í Àֱ⠶§¹®¿¡ ½ºÇÁ¸µ°ú °ü·ÃµÈ À¥ ¾ÖÇø®ÄÉÀ̼ǵéÀÇ ½Ã±ÞÇÑ Á¡°ËÀÌ ÇÊ¿äÇÏ´Ù.
[À̹ÌÁö = utoimage]
ÀϺΠº¸¾È ¾÷ü¿¡¼´Â ÀÌ Ãë¾àÁ¡À» ½ºÇÁ¸µ4¼Ð(Spring4Shell) ȤÀº ½ºÇÁ¸µ¼Ð(SpringShell)À̶ó°í ºÎ¸£°í ÀÖ°í, ÀÌ À̸§Àº ÇöÀç ºü¸£°Ô ÆÛÁ®³ª°¡´Â ÁßÀÌ´Ù. ¿ä ÇÏ·ç ÀÌƲ Á¤µµ, º¸¾È ¾÷°è´Â ½ºÇÁ¸µ4¼Ð Ãë¾àÁ¡À» ºÐ¼®ÇÏ´À¶ó ºÐÁÖÇÑ ½Ã°£À» º¸³»°í ÀÖ´Ù. ƯÈ÷ ½ºÇÁ¸µ4¼ÐÀÌ »õ·Î »ý±ä Ãë¾àÁ¡ÀÎÁö ȤÀº ¿À·¡µÈ Ãë¾àÁ¡°ú °ü·ÃµÇ¾î ÀÖ´ÂÁö È®ÀÎÇÏ´Â ÀÛ¾÷ÀÌ ÇÑâ ÁøÇà Áß¿¡ ÀÖ´Ù. º¸¾È ¾÷ü ÇÁ·¹Å丮¾È(Praetorian)°ú Ç÷¡½ÃÆ÷ÀÎÆ®(Flashpoint)´Â µ¶¸³ÀûÀ¸·Î ºÐ¼®ÇØ ¡°»õ·Ó°Ô ¹ß»ýÇÑ Ãë¾àÁ¡¡±À̶ó´Â °á·ÐÀ» ¶È°°ÀÌ ³»·È´Ù. ¶ÇÇÑ ¾ÆÆÄÄ¡ ÅèĹ(Apache Tomcat) ¼¹ö¿¡ ±¸ÃàµÇ¾úÀ» °æ¿ì ¿ø°Ý ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÏ´Ù´Â »ç½Çµµ ¶È°°ÀÌ ¹ßÇ¥Çß´Ù.
½ºÇÁ¸µ4¼Ð Ãë¾àÁ¡¿¡´Â ¾ÆÁ÷ CVE ¹øÈ£°¡ ºÙÁö ¾Ê¾Ò´Ù. ÇÏÁö¸¸ ¾ÕÀ¸·Î Àå±â°£ÀÇ ÆÐÄ¡ ÀÛ¾÷ÀÌ ÀÌ·ïÁ®¾ß ÇÒ °ÍÀ¸·Î ¿¹»óµÈ´Ù. ÇÁ·¹Å丮¾ÈÀÇ CTOÀÎ ¸®Â÷µå Æ÷µå(Richard Ford)´Â ¡°Ãë¾àÇÑ Ã¤·Î ³²°ÜµÐ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ °æ¿ì(½ºÇÁ¸µÀ¸·Î °³¹ßµÈ ¾Ûµé Áß), ¿ø°Ý ÀͽºÇ÷ÎÀÕÀÇ °¡´É¼ºÀ» ³»Àç½ÃÅ°´Â °Í°ú ´Ù¸§ÀÌ ¾ø´Ù¡±°í °æ°íÇÑ´Ù. ¡°ÀͽºÇ÷ÎÀÕÀº ¸Å¿ì °£´ÜÇѵ¥, ±× Æı޷ÂÀº±¤¹üÀ§ÇÕ´Ï´Ù. ¹°·Ð ÁöÄÑÁ®¾ß ÇÏ´Â Á¶°ÇÀÌ Àִµ¥, ÀÌ Á¶°ÇÀÌ ¼º¸³ÇÏÁö ¾Ê´Â ȯ°æ¿¡ ÀÖ´Ù°í ÆǴܵǴõ¶óµµ ÀÏ´Ü ÆÐÄ¡¸¦ ÇÏ´Â °ÍÀÌ ÁÁ½À´Ï´Ù.¡±
½ºÇÁ¸µ ÇÁ·¹ÀÓ¿öÅ©¿¡¼´Â À̹ø ÁÖ µÎ °³ÀÇ ´Ù¸¥ Ãë¾àÁ¡µéÀÌ ¹ß°ßµÇ±âµµ Çß´Ù. ½ºÇÁ¸µ Ŭ¶ó¿ìµå(Spring Cloud)ÀÇ Ãë¾àÁ¡ÀÎ CVE-2022-22963°ú ½ºÇÁ¸µ ÀͽºÇÁ·¹¼Ç(Spring Expression)ÀÇ Ãë¾àÁ¡ÀÎ CVE-2022-22950ÀÌ ¹Ù·Î ±×°ÍÀÌ´Ù. º¸¾È ¾÷°è´Â ½ºÇÁ¸µ4¼Ð°ú ÀÌ µÎ °¡Áö Ãë¾àÁ¡µé°úÀÇ °ü·Ã¼ºÀ» ºÐ¼®ÇÏ°í Àִµ¥, ¾ÆÁ÷±îÁö´Â ¹«°üÇÑ °ÍÀ¸·Î ºÐ¼®µÇ°í ÀÖ´Ù. ÇÁ·¹Å丮¾È°ú Ç÷¡½ÃÆ÷ÀÎÆ®µµ °°Àº °á·ÐÀ» ³»¸®°í ÀÖ´Ù.
½ºÇÁ¸µÀº VM¿þ¾î(VMware)°¡ ¼ÒÀ¯ÇÏ°í ¿î¿µÇÏ´Â ºê·£µå Áß Çϳª´Ù. ÇÁ·¹Å丮¾È¿¡ µû¸£¸é ÇöÀç VM¿þ¾î´Â ·Î±×4¼Ð¿¡ ´ëÇÑ ÆÐÄ¡¸¦ Áغñ Áß¿¡ ÀÖ´Ù°í ÇÑ´Ù. Ç÷¡½ÃÆ÷ÀÎÆ®ÀÇ °æ¿ì ´ÙÅ©À¥À» Á¶»ç Áß¿¡ Àִµ¥, ¾ÆÁ÷±îÁö ÇØÄ¿µé »çÀÌ¿¡¼ ½ºÇÁ¸µ4¼Ð¿¡ ´ëÇÑ À̾߱Ⱑ ³ª¿À°í ÀÖÁö´Â ¾Ê´Ù°í ÇÑ´Ù. ¡°Çö ½ÃÁ¡±îÁö´Â ½ÇÁ¦ °ø°ÝÀ» À§ÇÑ ÀͽºÇ÷ÎÀÕ ½Ãµµ´Â ¹ß°ßµÇÁö ¾Ê°í ÀÖ½À´Ï´Ù. ¿©Å±îÁö ºÐ¼®µÈ ¹Ù¿¡ ÀÇÇÏ¸é °ø°ÝÀÚµéÀÌ ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ·Á¸é DeserializationUtils¶ó´Â °É »ç¿ëÇÏ´Â À¥ ¾Û ÀνºÅϽºµéÀ» ¸ÕÀú ã¾Æ³»¾ß ÇÕ´Ï´Ù. ±×·±µ¥ ÀÚ¹Ù °³¹ßÀÚµé ´ëºÎºÐ DeserializationUtilsÀÌ À§ÇèÇÏ´Ù´Â °Ç »ó½Äó·³ ¾Ë°í ÀÖ½À´Ï´Ù.¡±
Æ÷µå´Â ÀÌ°ÍÀÌ µÎ °¡Áö Àǹ̸¦ °¡Áö°í ÀÖ´Ù°í Ç®ÀÌÇÑ´Ù. ¡°°³¹ßÀÚµéÀÌ À§ÇèÇÏ´Ù°í ¾Ë°í ÀÖ´Â °ÍÀÌ´Ï ¾îÁö°£ÇÏ¸é ¹ß°ßµÇÁö ¾ÊÀ» °ÍÀ̶ó´Â ¶æÀÌ µË´Ï´Ù. °ø°ÝÀÇ ÀüÁ¦ Á¶°ÇÀÌ ¼º¸³µÇ±â Èûµé ¼ö ÀÖ´Ù´Â ¶æÀÌÁÒ. ±×·±µ¥ ¸¸¾à ¹ß°ßµÈ´Ù¸é ¾î¶³±î¿ä? ·Î±×4¼Ð ÀͽºÇ÷ÎÀÕ ¿Ü¿¡ ´Ù¸¥ À§Çè °¡´É¼º, Áï DeserializationUtils°¡ ¿ø·¡ °¡Áö°í ÀÖ´ø À§Ç輺±îÁöµµ º¹ÇÕÀûÀ¸·Î ÀÛ¿ëÇÏ°Ô µÈ´Ù´Â ¶æÀÌ µË´Ï´Ù. ÀÌ Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÑ È¯°æÀÌ¸é º¸ÀÌ´Â °Íº¸´Ù ´õ ¸¹Àº À§ÇèÀÌ ÀáÀçµÇ¾î ÀÖÀ» ¼öµµ ÀÖ½À´Ï´Ù.¡±
»èÁ¦µÈ Æ®À§ÅÍ °Ô½Ã±Û
½ºÇÁ¸µ4¼Ð Ãë¾àÁ¡ÀÌ º¸¾È ¾÷°è¿¡ ³Î¸® ¾Ë·ÁÁö°Ô µÈ °Ç ÇÑ Áß±¹ º¸¾È Àü¹®°¡°¡ °³³äÁõ¸í¿ë °ø°Ý ½Ã¿¬ ȸéÀ» ĸÃÄÇØ °øÀ¯ÇÑ ÀÌÈĺÎÅÍ´Ù. ¾îÂ¸é °³³äÁõ¸í¿ë ÀͽºÇ÷ÎÀÕ Äڵ尡 ¼±°ø°³µÇ¾ú´Ù°í º¼ ¼ö ÀÖ´Ù. ÇÏÁö¸¸ ±× Áß±¹ º¸¾È Àü¹®°¡´Â °Ô½Ã±ÛÀ» À绡¸® »èÁ¦Çß´Ù. Áß±¹ ³»¿¡¼´Â Á¤ºÎÀÇ Çã¶ô ¾øÀÌ Ãë¾àÁ¡ Á¤º¸¸¦ °ø°³ÇÏ´Â °Ô Å« ¹üÁËÀε¥, ±×°Í ¶§¹®ÀÎ °ÍÀ¸·Î º¸ÀδÙ. ÇÏÁö¸¸ 3¿ù 30ÀÏ, »çÀ̹ö °ø°Ý ¹× ¸Ö¿þ¾î Á¤º¸ °øÀ¯ Æ÷·³ÀÎ VX-¾ð´õ±×¶ó¿îµå(VX-Underground)°¡ »èÁ¦µÈ °Ô½Ã±ÛÀÇ ³»¿ëÀ» ÆÛÆ®¸®±â ½ÃÀÛÇß´Ù.
ÇÁ·¹Å丮¾ÈÀÇ ¼ö¼® ¿£Áö´Ï¾îÀÎ ¾ÈÅä´Ï À«Áî(Anthony Weems)´Â ¡°(Áß±¹ º¸¾È Àü¹®°¡°¡ ¿Ã¸° ½ºÅ©¸°¼¦ÀÇ ¿øº») ½ºÅ©¸°¼¦À» º¸°í ³ª´Ï °ø°ÝÀ» °£´ÜÈ÷ ½Ã¿¬ÇÒ ¼ö ÀÖ¾ú´Ù¡±°í ¸»ÇÑ´Ù. ¡°¾ÆÁ÷±îÁö ÀúÈñ°¡ ºÐ¼®ÇÑ ¹Ù¿¡ ÀÇÇϸé Ãë¾àÇÑ ½ºÇÁ¸µ ¾ÖÇø®ÄÉÀ̼ǵéÀÌ ÅèĹ¿¡ ÀÓº£µå µÇ¾î ÀÖ¾î¾ß¸¸ ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÑ °ÍÀ¸·Î º¸ÀÔ´Ï´Ù. ÇÏÁö¸¸ ½ºÇÁ¸µº×(Spring Boot)À» »ç¿ëÇØ ÀÓº£µå µÈ °æ¿ì¶ó¸é ÀͽºÇ÷ÎÀÕÀÌ ºÒ°¡´ÉÇÕ´Ï´Ù. ½ºÇÁ¸µº×À» »ç¿ëÇÏ´Â °Ç ²Ï³ª ÈçÇÑ ±â¹ýÀ̱⵵ ÇÕ´Ï´Ù. ´ÙÇàÀÎ ÁöÁ¡ÀÌÁÒ.¡±
ÇÑ °¡Áö º¸¾È Àü¹®°¡µéÀ» ¿ì·Á½º·´°Ô ÇÏ´Â °Ç Áö³ 12¿ù¿¡ ¸¶Âù°¡Áö·Î ÀÚ¹Ù »ýÅ°迡¼ ¹ß°ßµÈ ·Î±×4¼Ð(Log4Shell) Ãë¾àÁ¡°úÀÇ °ü·Ã °¡´É¼ºÀÌ´Ù. ½ÇÁ¦ µÎ Ãë¾àÁ¡(·Î±×4¼Ð°ú ½ºÇÁ¸µ4¼Ð) »çÀÌ¿¡´Â À¯»ç¼ºÀÌ Á¸ÀçÇÑ´Ù. ¡°Àα⠸¹Àº ÇÁ·¹ÀÓ¿öÅ© ȤÀº ¶óÀ̺귯¸®(ÀüÀÚ´Â ½ºÇÁ¸µ, ÈÄÀÚ´Â ·Î±×4j)°¡ ¾Ë·ÁÁø °Í ¿Ü¿¡ ´Ù¸¥ Ư¼ºµµ °¡Áö°í ÀÖ´Ù´Â Á¡¿¡¼ µÎ Ãë¾àÁ¡Àº ºñ½ÁÇÕ´Ï´Ù. Àڹ٠ȯ°æ¿¡¼ »ç¿ëµÈ´Ù´Â °Íµµ ºñ½ÁÇÑ Á¡ÀÌ°í¿ä. ÇÏÁö¸¸ ±×°Í ¿Ü¿¡´Â Å©°Ô ºñ½ÁÇÒ °ÍÀÌ ¾ø½À´Ï´Ù.¡±
·Î±×4¼Ð Ãë¾àÁ¡ÀÌ ÈξÀ ´õ ½É°¢
·Î±×4¼Ð Ãë¾àÁ¡¿¡´Â ¡®¿ª´ë ÃÖ¾ÇÀÇ Ãë¾àÁ¡¡¯À̶ó´Â ¼ö½Ä¾î°¡ µû¶óºÙ´Â´Ù. ¿©±â¿¡ °ÅÀÇ ¸ðµç º¸¾È Àü¹®°¡µéÀÌ µ¿ÀÇÇÑ´Ù. ½ºÇÁ¸µ4¼ÐÀº ±×¿Í ºñ½ÁÇÑ ¼öÁصµ ¾Æ´Ï´Ù. ¡°Æı޷ÂÀ̶ó´Â Ãø¸é¿¡¼ µÑÀº ºñ±³ ºÒ°¡ÀÔ´Ï´Ù. ½ÉÁö¾î ½ºÇÁ¸µ4¼Ð ÀͽºÇ÷ÎÀÕ ³À̵µ°¡ ·Î±×4¼ÐÀÇ ±×°Íº¸´Ù ÈξÀ ³ô¾Æ¿ä. ½ºÇÁ¸µ4¼ÐÀº °ø°ÝÇÏ·Á¸é °ø°ÝÀÚ°¡ ¹Ì¸® ¾ÖÇø®ÄÉÀ̼ÇÀÇ ¿£µåÆ÷ÀÎÆ® ÁÖ¼Òµµ ¾Ë°í ÀÖ¾î¾ß ÇÕ´Ï´Ù. ¾Õ¼ ¾ð±ÞÇÑ ÀüÁ¦ Á¶°Çµéµµ µû¶óºÙ°í¿ä. µÑÀÌ ¾î¼´Ù°¡ À̸§ÀÌ ºñ½ÁÇÏ°Ô ºÙ¾ú´Âµ¥, Â÷ÀÌ´Â È®¿¬ÇÕ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. Àα⠳ôÀº À¥ ¾Û ÇÁ·¹ÀÓ¿öÅ©ÀÎ ½ºÇÁ¸µ¿¡¼ Ãë¾àÁ¡µéÀÌ ¿¬´Þ¾Æ ¼¼ °³³ª ¹ß°ßµÊ.
2. ±× Áß¿¡´Â Á¦·Îµ¥ÀÌ Ãë¾àÁ¡µµ Çϳª Àִµ¥, ¿©±â¿¡ ½ºÇÁ¸µ4¼ÐÀ̶ó´Â À̸§ÀÌ ºÙÀ½.
3. ·Î±×4¼Ð Ãë¾àÁ¡°ú ºñ½ÁÇÑ À̸§ÀÌ ºÙ¾úÀ¸³ª °ø°Ý ³À̵µ³ª Æı޷ Ãø¸é¿¡¼´Â ºñ±³ ºÒ°¡.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>