Home > Àüü±â»ç

½ºÇÁ¸µ4¼Ð Ãë¾àÁ¡, ÀüÁ¦ Á¶°Ç ¸¹ÀÌ ºÙ¾î ÀͽºÇ÷ÎÀÕ ±î´Ù·Î¿ö

ÀÔ·Â : 2022-04-05 16:06
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
½ºÇÁ¸µ4¼Ð Ãë¾àÁ¡ÀÌ Áö³­ ÁÖ °ø°³µÇ°í¼­ ¸¹Àº º¸¾È Àü¹®°¡µéÀÌ ³ª¼­¼­ ¿¬±¸¸¦ ÁøÇàÇÏ°í ÀÖ´Ù. ±× °á°ú ¾ÆÁ÷±îÁö´Â ¿©·¯ °¡Áö ÀüÁ¦ Á¶°ÇÀÌ ¼º¸³µÇ¾î¾ß¸¸ ÇÏ´Â °ÍÀ¸·Î °á·ÐÀÌ ³ª°í ÀÖ´Ù. ±×·¡¼­ Ãë¾àÁ¡ ÀÚü´Â ¹°·Ð Ãë¾àÁ¡ ¹ßµ¿ Á¶°Çµéµµ °°ÀÌ ½ºÄµÇÏ´Â °ÍÀÌ ¾ÈÀüÇÏ´Ù°í ÇÑ´Ù.

[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] À̹ø ÁÖ ¿ù¿äÀÏ º¸¾È ¾÷üµéÀÌ ½ºÇÁ¸µ ÇÁ·¹ÀÓ¿öÅ©(Spring Framework)·Î ¸¸µé¾îÁø ¾ÖÇø®ÄÉÀ̼ǵé Áß ÃÖ±Ù ¹ß°ßµÈ Ãë¾àÁ¡ÀÎ ½ºÇÁ¸µ4¼Ð(Spring4Shell)ÀÌ ÀÖ´Â °ÍµéÀ» ´ë·«ÀûÀ¸·Î Áý°èÇß´Ù. ±× °á°ú Àû°Ô´Â ¼ö½Ê¸¸, ¸¹°Ô´Â ¼öõ¸¸ °³ÀÇ ¾ÖÇø®ÄÉÀ̼ǵéÀÌ ÀÌ Ãë¾àÁ¡ÀÇ ¿µÇâ±Ç ¾Æ·¡ ÀÖÀ½ÀÌ µå·¯³µ´Ù. ½ºÇÁ¸µ4¼ÐÀº ½ºÇÁ¸µ¼Ð(SpringShell)À̶ó°í ºÒ¸®´Â Ãë¾àÁ¡À¸·Î, °ü¸® ¹øÈ£´Â CVE-2022-22965ÀÌ´Ù.

[À̹ÌÁö = utoimage]


½ºÇÁ¸µ4¼Ð Ãë¾àÁ¡Àº Áö³­ ÁÖ °ø°³µÈ º¸¾È Ãë¾àÁ¡À¸·Î, °ø°³µÇÀÚ¸¶ÀÚ º¸¾È ¾÷°èÀÇ Å« °ü½ÉÀ» ²ø¾ú´Ù. ¡°Áï°¢ÀûÀ¸·Î ÀÎÅͳÝÀÇ 1/4 ¿µ¿ªÀ» ½ºÄµÇؼ­ Ãë¾àÇÑ ÀνºÅϽºµéÀ» ã¾ÒÀ» ¶§ ¾à 15¸¸ °³ÀÇ ÀåºñµéÀÌ °Ë»öµÆ½À´Ï´Ù. Áï ÀÎÅÍ³Ý Àüü¿¡ 60¸¸ ´ë ¾ÈÆÆÀÇ ÀåºñµéÀÌ Ãë¾àÇÑ »óÅ·Π¿¬°áµÇ¾î ÀÖ´Ù´Â ¶æÀÌÁÒ.¡± º¸¾È ¾÷ü ½ÃÅ¥¸®Æ¼½ºÄÚ¾îÄ«µå(SecurityScorecard)ÀÇ ¼ö¼® º¸¾È ´ã´çÀÚÀÎ Á¦¾îµå ½º¹Ì½º(Jared Smith)ÀÇ ¼³¸íÀÌ´Ù.

¡°Ã³À½¿¡´Â ¾à 6õ¿© ´ëÀÇ Àåºñ°¡ Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ´Â´Ù´Â À̾߱Ⱑ ³ª¿Ô¾úÁÒ. ÇÏÁö¸¸ ÀúÈñ°¡ ºÐ¼®ÇßÀ» ¶§ ½Ç»óÀº ÀüÇô ´Þ¶ú½À´Ï´Ù. ·Î±×4¼Ð(Log4Shell) Ãë¾àÁ¡ÀÇ ¹®Á¦´Â ´Ü¼ø ½ºÄµÀ¸·Î Ãë¾àÇÑ ¿ä¼ÒµéÀ» ÀüºÎ ÆľÇÇÒ ¼ö°¡ ¾ø´Ù´Â °ÍÀ̾ú½À´Ï´Ù. ½ºÇÁ¸µ4¼ÐÀÇ °æ¿ì´Â À̾߱Ⱑ ´Þ¶ú½À´Ï´Ù. ·Î±×4¼Ðº¸´Ù ºñ±³µµ ¾È µÉ Á¤µµ·Î °¡½ÃÀûÀÌ°í Á÷Á¢ÀûÀ̴ϱî¿ä.¡± ½º¹Ì½ºÀÇ ¼³¸íÀÌ´Ù.

¶Ç ´Ù¸¥ º¸¾È ¾÷ü ¼Ò³ªÅ¸ÀÔ(Sonatype)µµ µ¶ÀÚÀûÀ¸·Î »çŸ¦ Á¶»çÇÑ ÈÄ °á°ú¸¦ ¹ßÇ¥Çß´Ù. ½ºÇÁ¸µ ºóÁî(Spring Beans) ¿ä¼Ò¸¦ µðÆæ´ø½Ã·Î¼­ È°¿ëÇÑ ¾ÖÇø®ÄÉÀ̼ÇÀÇ 81%°¡ Ãë¾àÇÒ ¼ö ÀÖ´Ù´Â ³»¿ëÀÌ´Ù. ±×·¯¸é¼­ ¼Ò³ªÅ¸ÀÔÀº ¡°¼ö¹é¸¸~¼öõ¸¸ ¸íÀÇ »ç¿ëÀڵ鿡°Ô ¿µÇâÀÌ ÀÖÀ» ¼ö ÀÖ´Ù¡±°í ¿¹ÃøÇß´Ù. ¹°·Ð ÀÌ ¼ýÀÚ´Â ¾ÆÁ÷±îÁö ÃßÁ¤Ä¡À̱ä ÇÏ´Ù.

½ºÇÁ¸µ4¼ÐÀº ¸Å¿ì Áß´ëÇÑ ¹®Á¦¶ó°í º¸¾È ¾÷°è´Â ¹Þ¾ÆµéÀÌ°í ÀÖ´Ù. ´Ù¸¸ Áö±Ý ´çÀå ÀÎÅÍ³Ý Àüü°¡ Ä¿´Ù¶õ À§Çù¿¡ µÚÈçµé¸®°í »çÀ̹ö »ýÅ°谡 Æı«µÉ Á¤µµ·Î ½É°¢ÇÑ ¹®Á¦´Â ¾Æ´Ï´Ù. ¼Ò³ªÅ¸ÀÔÀÇ CTOÀÎ ÀÏÄ« Åõ·ç³Ù(Ilkka Turunen)Àº 4¿ù 4ÀÏÀÚ ºí·Î±× °Ô½Ã±ÛÀ» ÅëÇØ ¡°»ç°Ç ÃʱâÀε¥µµ ·Î±×4j »çÅ ¶§¿Í´Â È®¿¬È÷ ´Ù¸¥ ¾÷µ¥ÀÌÆ® ¼Óµµ°¡ ³ªÅ¸³ª°í ÀÖ´Ù¡±°í ¹àÇû´Ù. ¡°±×¸¸Å­ ¼­µÎ¸£Áö ¾Ê´Â´Ù´Â °ÍÀÌÁÒ. ƯÁ¤ »óȲ°ú Á¶°ÇÀÌ ¸Â¾Æ¾ß ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÑ Ãë¾àÁ¡À̱⠶§¹®ÀÏ °Å¶ó°í º¾´Ï´Ù.¡±

Åõ·ç³ÙÀÇ ¼³¸íó·³ ½ºÇÁ¸µ4¼Ð Ãë¾àÁ¡¿¡ ´ëÇÑ ÆÐÄ¡°¡ ºñ±³Àû ´À¸®°Ô ÁøÇàµÇ´Â ±î´ßÀº ÇöÀç °ø°³µÈ ÀͽºÇ÷ÎÀÕ Äڵ尡 ¿©·¯ °¡Áö Á¶°ÇÀÌ ¼º¸³µÇ¾î¾ß¸¸ ÀÛµ¿Çϱ⠶§¹®ÀÌ´Ù. ½ÇÁ¦ ÀͽºÇ÷ÎÀÕ °ø°ÝÀÌ ¹ß»ýÇÒ °¡´É¼ºÀÌ ±×¸® ³ôÁö ¾Ê´Ù°í ¿©·¯ Á¶Á÷µéÀÌ ÆÇ´ÜÇÏ°í ÀÖ´Â °ÍÀÌ´Ù. ±× Á¶°ÇÀ̶õ ¾ÖÇø®ÄÉÀ̼ÇÀÌ JDK 9 ÀÌ»ó ¹öÀü¿¡¼­ ±¸ÃàµÈ ¾ÆÆÄÄ¡ ÅèĹ(Apache Tomcat) ¼­¹ö¿¡ ¼³Ä¡µÇ¾î¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù. ¶ÇÇÑ ½ºÇÁ¸µ WebMVC¿Í ½ºÇÁ¸µ WebFlux ¿ä¼ÒµéÀ» ÅëÇØ ½ºÇÁ¸µ ºóÁî ÆÐÅ°Áö°¡ »ç¿ëµÇ¾î¾ß¸¸ ÇÑ´Ù.

Åõ·ç³ÙÀº ¡°ÀͽºÇ÷ÎÀÕ¿¡ ÇÊ¿äÇÑ Á¶°ÇÀÌ ³Ê¹«³ª ¸¹´Ù¡±¸ç ¡°È®½ÇÈ÷ ½ÇÁ¦ °ø°Ý¿¡ ³ëÃâµÈ Àåºñ³ª ÀνºÅϽºµéÀÌ ÁÙ¾îµé ¼ö¹Û¿¡ ¾ø´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°½ÇÁ¦ ½ºÇÁ¸µ4¼Ð °ø°Ý¿¡ ´ëÇØ °ÆÁ¤ÇØ¾ß ÇÏ´Â °æ¿ì´Â ±×¸® ¸¹Áö ¾ÊÀ» ¼ö ÀÖ½À´Ï´Ù. ÇÏÁö¸¸ ´ëÇü ÇÁ·ÎÁ§Æ®µéÀÇ °æ¿ì ·¹°Å½Ã Àåºñ³ª ¼ÒÇÁÆ®¿þ¾î¸¦ Æ÷ÇÔÇÏ°í ÀÖÀ» ¶§°¡ ¸¹½À´Ï´Ù. ÇÁ·ÎÁ§Æ® °ü¸®ÀÚ³ª Âü¿© °³¹ßÀڵ鵵 ÇϳªÇϳª ÆľÇÇÏÁö ¸øÇÒ Á¤µµ·Î¿ä. ±×·± °æ¿ì Ãë¾àÁ¡ÀÌ ¼û°ÜÁ® ÀÖÀ» ¼ö ÀÖ½À´Ï´Ù.¡±

º¸¾È ¾÷ü Á¦ÀÌÇÁ·Î±×(JFrog)µµ µ¶ÀÚÀûÀÎ Á¶»ç¿Í ºÐ¼®À» ÅëÇØ ºñ½ÁÇÑ °á·ÐÀ» ³»·È9´Ù. ¡°ÀÚ¹Ù 9 ¹öÀüºÎÅÍ´Â »õ·Î¿î API°¡ µµÀԵưí, ÀÌ ¶§¹®¿¡ ½ºÇÁ¸µÀÇ º¸È£ ÀåÄ¡¸¦ ÇÇÇØ ÀÓÀÇÀÇ °ªÀ» ClassLoader¿¡ ºÎ¿©ÇÏ´Â °Ô °¡´ÉÇØÁ³½À´Ï´Ù. ÀÌ°ÍÀÌ ¹®Á¦ÀÇ ±Ù¿øÀ̶ó°í »ý°¢ÇÕ´Ï´Ù. ÇÏÁö¸¸ ÀͽºÇ÷ÎÀÕÀ» °¡´ÉÇÏ°Ô ÇÏ´Â ¼³Á¤ÀÌ ¡®µðÆúÆ® ¼³Á¤¡¯ÀÌ ¾Æ´Ï±â ¶§¹®¿¡ Ãë¾àÇÑ ½ºÇÁ¸µ ¹öÀüÀ» »ç¿ëÇß´Ù°í ÇÏ´õ¶óµµ ¾ÖÇø®ÄÉÀ̼ÇÀÌ Ãë¾àÇÑ »óÅ°¡ ¾Æ´Ò ¼ö ÀÖ½À´Ï´Ù.¡±

Á¦ÀÌÇÁ·Î±×ÀÇ º¸¾È ¿¬±¸¿øÀÎ »þÄ«¸£ ¸Þ³ª½¬(Shachar Menashe)´Â ¡°½ºÇÁ¸µ4¼Ð Ãë¾àÁ¡ ÀÚü´Â ½É°¢ÇÑ ¹®Á¦À̱ä ÇÏÁö¸¸, ÀÌ°ÍÀÌ ½ÇÁ¦·Î Ãë¾àÁ¡À¸·Î¼­ ¹ßµ¿µÇ·Á¸é(Áï, Á¶Á÷µéÀÌ À§ÇèÇØÁö·Á¸é) ¿©·¯ °¡Áö Á¶°ÇÀÌ ¸Â¾Æ¶³¾îÁ®¾ß Çؼ­ ½ÇÁ¦ À§ÇèÇÏ´Ù°í º¼ ¼ö ÀÖ´Â Á¶Á÷Àº ¸¹Áö ¾ÊÀ» ¼ö ÀÖ´Ù¡±°í ÁöÀûÇÑ´Ù. ¡°Áï Ãë¾àÁ¡À» ½ºÄµÇÏ´Â °É ³Ñ¾î, ÀÚ¹Ù ¾ÖÇø®ÄÉÀ̼ÇÀÇ ±¸Ãà ȯ°æ°ú Á¶°ÇÀ» ¸ðµç Á¶Á÷µéÀÌ °³º°ÀûÀ¸·Î Á¡°ËÇØ¾ß ÇÑ´Ù´Â ¶æÀÔ´Ï´Ù.¡±

½ÃÅ¥¸®Æ¼½ºÄÚ¾îÄ«µå´Â ³»ºÎ ³×Æ®¿öÅ© ½ºÄµ°ú ¿ÜºÎ ½ºÄµÀ» ¸ðµÎ ½Ç½ÃÇÒ °ÍÀ» ±ÇÀåÇÑ´Ù. ¡°Ãë¾àÁ¡¸¸ÀÌ ¾Æ´Ï¶ó Ãë¾àÁ¡À» Ãë¾àÇÏ°Ô ¸¸µå´Â Á¶°ÇµéÀÌ ¼º¸³µÇ¾î ÀÖ´ÂÁöµµ ½ºÄµÇØ¾ß ÇÕ´Ï´Ù. ¶ÇÇÑ Àå±âÀûÀ¸·Î´Â ¼ÒÇÁÆ®¿þ¾î°¡ ¾î¶² Àç·áµé·Î ±¸¼ºµÇ¾î ÀÖ´ÂÁö¸¦ ÃßÀûÇÏ°í À̸¦ º¸°üÇØ µÎ¾î¾ß ÇÕ´Ï´Ù. ±×·¡¾ß ·Î±×4¼Ð°ú ½ºÇÁ¸µ4¼Ð°ú °°Àº Ãë¾àÁ¡ÀÌ ¹ß»ýÇßÀ» ¶§ ±Ý¹æ ã¾Æ³¾ ¼ö ÀÖ½À´Ï´Ù.¡±

¶ÇÇÑ ¡°¾ÆÁ÷ ¾È½ÉÇÒ ¶§°¡ ¾Æ´Ï¡±¶ó´Â °Íµµ °­Á¶µÆ´Ù. ¡°Áö±Ý °ø°³µÈ ÀͽºÇ÷ÎÀÕÀÌ ÀüºÎ°¡ ¾Æ´Ò °Ì´Ï´Ù. ´õ ¸¹Àº °ø·«¹ýÀÌ ³ª¿À°í, ¾î¼¸é Áö±Ý ¿ì¸®°¡ ¾Ë°í ÀÖ´Â ÀüÁ¦Á¶°ÇÀ» ¹«·ÂÈ­½ÃÅ°´Â °ø°Ý ±â¹ýµµ ³ª¿Ã ¼ö ÀÖ½À´Ï´Ù. ±×·¯´Ï Áö±ÝÀº ½ÇÁ¦ À§Ç輺ÀÌ ³·¾Æ º¸Àδٰí Çصµ ¹æ½ÉÇؼ­´Â ¾È µË´Ï´Ù.¡±

3ÁÙ ¿ä¾à
1. ½ºÇÁ¸µ4¼Ð Ãë¾àÁ¡¿¡ ´ëÇÑ ¿¬±¸°¡ º¸¾È ¾÷üº°·Î °è¼ÓÇؼ­ À̾îÁö°í ÀÖÀ½.
2. ÇöÀç±îÁö ¿¬±¸ °á°ú´Â ¡°Áß´ëÇÑ ¹®Á¦°¡ ¸Â±ä Çѵ¥ ½ÇÁ¦·Î À§ÇèÇÑ °æ¿ì´Â ±×¸® ¸¹Áö ¾ÊÀ» µí.¡±
3. Ãë¾àÁ¡ ÀÚü¸¦ ½ºÄµÇϸ鼭 µ¿½Ã¿¡ Ãë¾àÁ¡ ¹ßµ¿ Á¶°Ç¿¡ ´ëÇÑ ½ºÄµµµ º´ÇàÇÏ´Â °Ô ¾ÈÀü.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)