[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ º¸¾È Ã¥ÀÓÀÚ´Â ¹Ì±¹ ¶ó½ºº£À̰Žº¿¡¼ ¿¸®´Â ´ë±Ô¸ð º¸¾È Çà»çÀÎ ºí·¢ÇÞ(Black Hat USA 2022)¿¡¼ ÀÚ»ç Ãë¾àÁ¡ °ø°³ Á¤Ã¥¿¡ ´ëÇÏ¿© ¼³¸íÇß´Ù. ±âÁ¶ ¿¬¼³ÀÚ·Î ³ª¿Â Æ®·»µå ¸¶ÀÌÅ©·Î(Trend Micro) Á¦·Îµ¥ÀÌÀ̴ϼÅƼºê Ã¥ÀÓÀÚ°¡ MSÀÇ Ãë¾àÁ¡ °ø°³ ³»¿ëÀÌ ÃæºÐÄ¡ ¾Ê´Ù°í ºñÆÇÇ߱⠶§¹®ÀÌ´Ù. º»Áö¿¡µµ ÀÌ ³»¿ëÀÌ ±â»çÈµÈ ¹Ù ÀÖ´Ù(https://www.boannews.com/media/view.asp?idx=109070).
[À̹ÌÁö = utoimage]
¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ º¸¾È ´ëÀÀ ¼¾ÅÍ(Security Response Center) ºÎȸÀåÀÎ ¾ÈÂû ±ÁŸ(Aanchal Gupta)´Â ¡°¸¹Àº ³»ºÎ Åä·Ð°ú ±íÀº °í¹Î ³¡¿¡ Ãë¾àÁ¡ Á¤º¸¸¦ °ø°³ÇÒ ¶§ ³»¿ëÀ» Á¦ÇÑÇϱâ·Î °áÁ¤Çߴµ¥, °¡Àå Å« ÀÌÀ¯´Â »ç¿ëÀÚ¸¦ º¸È£Çϱâ À§Çؼ¿´´Ù¡±°í ÁÖÀåÇß´Ù. ÇöÀç MS´Â Ãë¾àÁ¡ÀÇ ½É°¢¼º, ½ÇÁ¦ ÀͽºÇ÷ÎÀÕ °¡´É¼º, ±×¸®°í ½ÇÁ¦ ÀͽºÇ÷ÎÀÕ ÀüÀû À¯¹«¸¦ ÆÐÄ¡ ³ëÆ®¿¡ Æ÷ÇÔ½ÃÅ°°í ÀÖ±ä Çѵ¥ ÇØ´ç ³»¿ëÀ» ã´Â °Ô ½±Áö´Â ¾Ê´Ù. MS´Â À̸¦ ¡®½ÅÁßÇÏ°Ô °ø°³ÇÑ´Ù¡¯°í Ç¥ÇöÇÑ´Ù.
´ëºÎºÐÀÇ Ãë¾àÁ¡µé°ú °ü·ÃÇÏ¿© MS´Â 30ÀÏ Á¤Ã¥À» °í¼öÇÏ°í ÀÖ´Ù. ÆÐÄ¡¸¦ ÅëÇØ Ãë¾àÁ¡À» ´ë·«ÀûÀ¸·Î °ø°³ÇÑ ÈÄ 30ÀÏÀÌ Áö³ª¼¾ß ¼¼ºÎ ³»¿ëÀ» °ø°³ÇÑ´Ù´Â ¹æħÀÌ´Ù. ±ÁŸ´Â ¡°Ãë¾àÁ¡¿¡ ´ëÇÑ ´Ù¼Ò Á¦ÇÑµÈ ³»¿ëÀ» °¡Áö°íµµ 30ÀÏ ¾È¿¡´Â ÃæºÐÈ÷ ÆÐÄ¡¸¦ Àû¿ëÇѴٰųª ´ëÃ¥À» ¸¶·ÃÇÒ ¼ö ÀÖ´Ù°í º¸°í ÀÖ´Ù¡±°í ±× ÀÌÀ¯¿¡ ´ëÇØ ¼³¸íÇß´Ù. ±×·± ±â°£ÀÌ Áö³ ÈÄ »ó¼¼ ³»¿ëÀ» °ø°³Çصµ ÃæºÐÇÏ´Ù´Â °ÍÀÌ´Ù. ¡°¸¸¾à ¿ì¸®°¡ óÀ½ºÎÅÍ Ãë¾àÁ¡ÀÇ ¼¼ºÎ ³»¿ë°ú ÀͽºÇ÷ÎÀÕ ¹æ¹ýÀ» °ø°³ÇÏ¸é ¿ì¸® ½º½º·Î°¡ °í°´µéÀ» ¡®Á¦·Îµ¥ÀÌ °ø°Ý¡¯ÇÏ´Â °Í°ú ¹«½¼ Â÷ÀÌ°¡ ÀÖÀ»±î¿ä?¡±
ºÎÁ·ÇÑ Ãë¾àÁ¡ Á¤º¸?
¸¶ÀÌÅ©·Î¼ÒÇÁÆ®´Â ´Ù¸¥ À¯¸í ¼ÒÇÁÆ®¿þ¾î º¥´õµé°ú ÇÔ²² Ãë¾àÁ¡ Á¤º¸¸¦ ³Ê¹«³ª Àû°Ô ÁÖ´Â °ÍÀ¸·Î ºñÆÇÀ» ¹Þ°í ÀÖ´Ù. 2020³â 11¿ù ÀÌÈĺÎÅÍ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®´Â CVSS¶ó´Â Ãë¾àÁ¡ Á¡¼ö ü°è¸¦ È°¿ëÇØ Ãë¾àÁ¡¿¡ ´ëÇÑ ¼³¸íÀ» »ó´ç ºÎºÐ ´ë½ÅÇϱ⠽ÃÀÛÇß´Ù. CVSS¿¡´Â °ø°Ý °æ·Î, °ø°Ý ³À̵µ, °ø°ÝÀÚ¿¡°Ô ÇÊ¿äÇÑ ±ÇÇÑÀÇ ¼öÀ§ µî°ú °°Àº Á¤º¸µéÀÌ Æ÷ÇԵǾî ÀÖ´Ù. ±×¸®°í Ãë¾àÁ¡ÀÇ ½É°¢¼ºÀ» ³ªÅ¸³»´Â Á¡¼öµµ °°ÀÌ ±âÀçµÈ´Ù.
ÇÏÁö¸¸ º¸¾È Àü¹®°¡µé »çÀÌ¿¡¼´Â ¡°°ø°³ÇÏ´Â Á¤º¸°¡ ¸ðÈ£ÇÏ°í, ´ëÃ¥ ¸¶·Ã¿¡ ²À ÇÊ¿äÇÑ Á¤º¸´Â ºüÁ® ÀÖ´Ù¡±´Â ºñÆÇÀÌ ³ª¿À°í ÀÖ´Ù. ²À ÇÊ¿äÇÑ Á¤º¸¶õ ¾î¶² ¿ä¼Ò·ÎºÎÅÍ ÀͽºÇ÷ÎÀÕÀÌ ½ÃÀ۵ǰųª ½ÃÀÛµÉ °¡´É¼ºÀÌ À¯·ÂÇÑÁö µîÀÌ´Ù. MS´Â ¡°ÀͽºÇ÷ÎÀÕ °¡´É¼º ÀÖÀ½(Exploitation More Likely)¡±À̳ª ¡°ÀͽºÇ÷ÎÀÕ °¡´É¼º ³·À½(Exploitation Less Likely)¡±À̶ó´Â Æò°¡¸¦ Çϱä Çϴµ¥, À̰͸¸ °¡Áö°í´Â ¸®½ºÅ©¸¦ Á¦´ë·Î ÆľÇÇϱâ Èûµé´Ù´Â °Ô ÀϺΠÀü¹®°¡µéÀÇ ¼³¸íÀÌ´Ù.
ÃÖ±Ù¿¡´Â Ŭ¶ó¿ìµå º¸¾È ¹®Á¦¿Í °ü·ÃÇÏ¿© Åõ¸íÇÏÁö ¸øÇÑ Åµµ¸¦ º¸ÀÎ °Í ¶§¹®¿¡ ³í¶õÀÌ Àϱ⵵ Çß¾ú´Ù. Áö³ 6¿ù º¸¾È ¾÷ü Å׳ʺí(Tenable)ÀÇ CEOÀÎ ¾Æ¹Ô ¿ä¶õ(Amit Yoran)Àº ¡°MS°¡ ¾ÖÀú¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡ 2°³¸¦ Àº¹ÐÇÏ°Ô ÆÐÄ¡Çß´Ù¡±°í ÁÖÀåÇß´Ù. Å×³Êºí¿¡¼ ¹ß°ßÇØ MS¿¡ ¾Ë¸° Ãë¾àÁ¡µéÀ̾ú´Ù°í ÇÑ´Ù. ¡°¾ÖÀú ½Ã³À½º(Azure Synapse)¶ó´Â ¼ºñ½º¸¦ »ç¿ëÇÏ´Â »ç¶÷À̶ó¸é ´©±¸³ª ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÑ Ãë¾àÁ¡µéÀ̾ú½À´Ï´Ù. MS´Â ÀÌ Ãë¾àÁ¡µéÀ» ¸ô·¡ ÆÐÄ¡Çß°í, °í°´µé¿¡°Ô ¾Ë¸®Áö ¾ÊÀ½À¸·Î½á º° ÀÏ ¾Æ´Ñ °Íó·³ º¸ÀÌ°Ô Çß½À´Ï´Ù.¡±
¿ä¶õÀº ¿ÀÄ«½ÃÅ¥¸®Æ¼(Orca Security)³ª À§Áî(Wiz)¿Í °°Àº º¸¾È ¾÷üµéµµ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®¿¡ ¾ÖÀú °ü·Ã Ãë¾àÁ¡µéÀ» Á¦º¸Çß¾ú´Âµ¥, ´ç½Ã¿¡µµ À̹øó·³ MSÀÇ Àº¹ÐÇÑ ÆÐÄ¡¸¦ °æÇèÇÑ ¹Ù ÀÖ´Ù°í µ¡ºÙ¿´´Ù.
¸¶ÀÌÅÍ(MITRE)ÀÇ CVE °ü·Ã Á¤Ã¥µé
±ÁŸ´Â ¡°¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ CVE ¹ßÇ¥ ¹æ½ÄÀº ¸¶ÀÌÅÍ(MITRE)°¡ ±ÔÁ¤ÇÑ CVE °ü·Ã Á¤Ã¥À» ÀüÇô ¾î±âÁö ¾Ê°í ÀÖ´Ù¡±°í ÁÖÀåÇϱ⵵ ÇÑ´Ù. ¡°¸¶ÀÌÅÍÀÇ Á¤Ã¥¿¡ µû¸£¸é ¡®°í°´ÀÌ µû·Î Á¶Ä¡¸¦ ÃëÇÏÁö ¾Ê¾Æµµ µÇ´Â Ãë¾àÁ¡ÀÇ °æ¿ì CVE ¹øÈ£¸¦ ²À ÁöÁ¤Çϰųª ¾Ë¸®Áö ¾Ê¾Æµµ µÈ´Ù¡¯°í ÇÕ´Ï´Ù. ÀÌ·¸°Ô ÇÏ´Â ÀÌÀ¯´Â ´Ù¸¥ ¹«¾ùº¸´Ù Á¤º¸ÀÇ ¡®³ëÀÌÁ¸¦ °¨¼Ò½ÃÄÑ Á¤º¸ º¸¾È ´ã´çÀÚµéÀÌ Á¤¸» ÇÊ¿äÇÑ Á¤º¸¸¸À» ¾ó¸¥ ¾ò°Ô Çϱâ À§ÇÔÀÔ´Ï´Ù. °í°´ ÀÔÀå¿¡¼, ¾ÈÀüÀ» µµ¸ðÇϱâ À§ÇØ ¸ðµç °É ¾Ë¾Æ¾ß ÇÒ ÇÊ¿ä´Â ¾ø°Åµç¿ä.¡±
±×·¯¸é¼ ±ÁŸ´Â ÀÛ³â À§Áî°¡ °ø°³ÇÑ ³× °¡Áö ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡µéÀ» ¿¹·Î µé¾ú´Ù. ÀÌ Ãë¾àÁ¡µéÀº ¾ÖÀúÀÇ ¡®¿ÀÇ °ü¸® ÀÎÇÁ¶ó(Open Management Infrastructure, OMI)¡¯ ¿ä¼Ò¿¡¼ ¹ß°ßµÈ °ÍÀ̾ú´Ù. ´ç½Ã MS´Â ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ ³»¿ëÀ» Á¢ÇÏ°í ¡°ÇØ´ç Ãë¾àÁ¡ÀÇ ¿µÇâÀ» Á÷Á¢ ¹Þ´Â °í°´µé¿¡°Ô¸¸ Á÷Á¢ ¿¬¶ôÀ» ÇÏÀÚ¡±´Â Àü·«À» ¼ö¸³Çß´Ù°í ÇÑ´Ù.
¡°Ãë¾àÁ¡°ú Á¤¸»·Î »ó°üÀÌ ÀÖ´Â ÀϺΠ°í°´µé°ú 1:1·Î ¼ÒÅëÀ» Çϱ⠽ÃÀÛÇß½À´Ï´Ù. ¿Ö³ÄÇϸé ÇØ´ç Ãë¾àÁ¡ Á¤º¸°¡ ÀÏÆĸ¸ÆÄ ÆÛÁö´Â °ÍÀÌ ´õ À§ÇèÇÒ °ÍÀ̶ó°í ÆÇ´ÜÇ߱⠶§¹®ÀÔ´Ï´Ù. ¶ÇÇÑ ÀÌ·¸°Ô 1:1·Î ÆÐÄ¡ Ã˱¸¸¦ ÇÒ °æ¿ì °í°´µéÀÌ º¸´Ù ´õ ºü¸£°Ô ÆÐÄ¡¸¦ Àû¿ëÇÒ °Å¶ó°í ±â´ëÇϱ⵵ Çß½À´Ï´Ù. MS´Â Ãë¾àÁ¡ Á¤º¸°¡ óÀ½ºÎÅÍ »ó¼¼ÇÑ °Ô °í°´µéÀ» ´õ ¾ÈÀüÇÏ°Ô ÇÑ´Ù°í º¸Áö ¾Ê½À´Ï´Ù.¡±
±ÁŸ´Â ¡°ÀÌ·± »çÁ¤ ¶§¹®¿¡ ¡®¿Ö ¿ì¸®ÇÑÅ×´Â ¾Æ¹«·± ¿¬¶ôÀÌ ¾ø´Â°¡?¡¯¶ó°Å³ª ¡®¿Ö ¾Æ¹«µµ ¸ô·¡ ÆÐÄ¡¸¦ ÁøÇàÇߴ°¡?¡¯¶ó´Â Áú¹®ÀÌ »ý±æ ¼ö Àִµ¥, ±×·¸´Ù´Â °Ç ±Í»ç¿¡ ¾Æ¹«·± ¿µÇâÀÌ ¾ø´Ù°í ÆǴܵƱ⠶§¹®¡±À̶ó°í µ¡ºÙ¿´´Ù.
±Û : ÀÚÀÌ ¹ÙÀÌÀÚ¾á(Jai Vijayan), IT Ä®·³´Ï½ºÆ®
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>