[º¸¾È´º½º ¹®Á¤ÈÄ ±âÀÚ] Å¥³À(QNAP) »çÀÇ NAS¿ë OS ÀϺο¡¼ µÎ °³ÀÇ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. Àü ¼¼°è ¾à 8¸¸¿© ´ëÀÇ ÀåºñµéÀÌ ¿µÇâ±Ç ¾Æ·¡ ÀÖ´Â °ÍÀ¸·Î ÃßÁ¤µÇ°í ÀÖ´Ù. 4°³ÀÇ OS°¡ ÀÌ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ´Âµ¥, ¾ÆÁ÷ 2°³¿¡¼ ÆÐÄ¡°¡ ÀÌ·ïÁöÁö ¾Ê¾Ò´Ù. À̸¦ ¹ß°ßÇÑ °Ç º¸¾È ¾÷ü ½ºÅͳÑ(Sternum)ÀÇ ¿¬±¸¿øµé·Î, ÇØ´ç Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ 2°³¸¦ µÎ°í ¡°¸Þ¸ð¸® Á¢±Ù °ü·Ã Ãë¾àÁ¡¡±À̶ó°í ¼³¸íÇÑ´Ù. ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì ÀÓÀÇ ÄÚµå ½ÇÇà °ø°ÝÀ¸·Î À̾îÁú ¼ö ÀÖ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = utoimage]
¹®Á¦ÀÇ Ãë¾àÁ¡°ú, Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ´Â OS´Â ´ÙÀ½°ú °°´Ù.
1) CVE-2022-27597 : QTS, QuTS hero, QuTScloud, QVP
2) CVE-2022-27598 : QTS, QuTS hero, QuTScloud, QVP
ÀÌ Áß QTS OSÀÇ °æ¿ì 5.0.1.2346 ºôµå 20230322¸¦ ÅëÇØ Ãë¾àÁ¡ ÆÐÄ¡°¡ ÀÌ·ïÁ³´Ù. QuTS heroÀÇ °æ¿ìµµ h5.0.1.2348 ºôµå 20230324¸¦ ÅëÇØ ¹®Á¦°¡ ÇØ°áµÆ´Ù. ³ª¸ÓÁö 2°³ OSÀÇ ÆÐÄ¡´Â ¾ÆÁ÷ÀÌÁö¸¸ ÇöÀç Å¥³À Ãø¿¡¼ ¼µÑ·¯ ÆÐÄ¡ °³¹ßÀ» ÁøÇà Áß¿¡ ÀÖ´Ù.
ÀÌ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº Å¥³À ÀåºñµéÀÇ º¸¾ÈÀº ¹°·Ð ¼º´É¿¡µµ ¿µÇâÀ» ÁØ´Ù°í ½ºÅÍ³Ñ ÃøÀº ÁÖÀåÇÑ´Ù. ¡°¼º´ÉÀÇ Ãø¸é¿¡¼ ºÁµµ ÀÌ µÎ °³ÀÇ Ãë¾àÁ¡Àº ÀåºñÀÇ ¾ÈÁ¤¼ºÀ» ¶³¾îÆ®¸± ¼ö ÀÖ½À´Ï´Ù. ÄÚµå ½ÇÇà °á°ú¸¦ ¿¹ÃøÇÒ ¼ö ¾ø°Ô ¸¸µé±âµµ ÇÕ´Ï´Ù.¡± ½ºÅͳÑÀÇ º¸¾È Àü¹®°¡ ¾Æ¹Ô ¼ÆÛ(Amit Serper)ÀÇ ¼³¸íÀÌ´Ù. ¡°º¸¾ÈÀÇ Ãø¸é¿¡¼´Â ÀÓÀÇ ÄÚµå ½ÇÇà °ø°ÝÀ¸·Î À̾îÁú ¼ö Àֱ⠶§¹®¿¡ À§ÇèÇÕ´Ï´Ù.¡± Å¥³ÀÀº º¸¾È ±Ç°í¹®À» ÅëÇØ ¡°(À̹ø¿¡ ¹ß°ßµÈ Ãë¾àÁ¡µéÀÇ) ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì ¿ø°Ý¿¡¼ ÀÎÁõµÈ »ç¿ëÀÚ°¡ ºñ¹ÐÀ» ÃëµæÇÒ ¼ö ÀÖ°Ô µÈ´Ù¡±°í °æ°íÇß´Ù.
ÇöÀç±îÁö À̹ø Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº ¡®ÀúÀ§Ç豺¡¯À¸·Î ºÐ·ùµÇ°í ÀÖ´Ù. ¶ÇÇÑ ½ºÅͳÑÀº ¡°½ÇÁ¦ °ø°Ý¿¡ ÀͽºÇ÷ÎÀÕ µÈ »ç·Ê¸¦ ¾ÆÁ÷±îÁö ¹ß°ßÇÏÁö ¸øÇß´Ù¡±°íµµ ¹ßÇ¥Çß´Ù. ¡°±×·¯´Ï ÆÐÄ¡°¡ °¡´ÉÇÒ ¶§ ÃÖ´ëÇÑ »¡¸® ÆÐÄ¡¸¦ Àû¿ëÇÏ´Â °Ô ÁÁ½À´Ï´Ù. ±×·¡¾ß ¾È½ÉÇÏ°í Å¥³À ÀåºñµéÀ» °è¼Ó »ç¿ëÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
Å¥³À, »çÀ̹ö °ø°ÝÀÚµéÀÌ ÁÁ¾ÆÇÏ´Â ÀÌÀ¯´Â?
ÀÛ³â Å¥³À »ýÅ°迡¼´Â µ¥µåº¼Æ®(DeadBolt)¶ó´Â ·£¼¶¿þ¾î°¡ Å©°Ô È°°³¸¦ Ãƾú´Ù. À̵éÀº Å¥³À Àåºñ¿¡¼ ¹ß°ßµÈ °¢Á¾ Ãë¾àÁ¡µéÀ» ÁýÁßÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ ÇÏ¸é¼ Å¥³À »ç¿ëÀڵ鸸 ³ë¸°´Ù´Â ÀڽŵéÀÇ ¹æÇ⼺°ú Á¤Ã¼¼ºÀ» ¼û±âÁö ¾Ê¾Ò´Ù. ƯÈ÷ 5¿ù, 6¿ù, 9¿ù¿¡ ÀÌ µ¥µåº¼Æ®ÀÇ È°µ¿·ÂÀÌ ¿Õ¼ºÇß´Ù.
º¸¾È ¾÷ü ¹úÄ»çÀ̹ö(Vulcan Cyber)ÀÇ ¼ö¼® ±â¼ú ¿£Áö´Ï¾îÀÎ ¸¶Å© ÆÄŲ(Mark Parkin)Àº ¡°µ¥µåº¼Æ®´Â Å¥³À¸¸ ÁýÁßÀûÀ¸·Î ³ë¸®´Â ƯÀÌÇÑ ´Üü¿´´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°¾î¶² Àåºñ³ª ½Ã½ºÅÛÀ» ÁýÁßÀûÀ¸·Î ºÐ¼®Çß´õ´Ï Ãë¾àÁ¡ÀÌ ³ª¿Ô´Ù¸é ÇØÄ¿µéÀº ±× ´ÙÀ½ ¾î¶»°Ô ÇÒ±î¿ä? ±× Àåºñ³ª ½Ã½ºÅÛÀ» ÇÑ °÷À¸·Î Ä¡¿ì°í ´Ù¸¥ °É ºÐ¼®Çϱ⠽ÃÀÛÇÒ±î¿ä? ¾Æ´Õ´Ï´Ù. º¸ÅëÀº ¼º°ú¸¦ ³Â´ø Àåºñ³ª ½Ã½ºÅÛÀ» °è¼Ó ÆÄ°íµì´Ï´Ù. ¡®´õ ÀÖÀ»Áö ¸ô¶ó¡¯¶ó´Â ½É¸®°¡ ¹ßµ¿µÇ±â ¶§¹®ÀÌÁÒ. µ¥µåº¼Æ®ÀÇ °æ¿ì ¡®Å¥³ÀÀ» °Çµå¸± ¶§¸¶´Ù ¹º°¡°¡ ³ª¿Â´Ù¡¯´Â ÀνÄÀ» ¹ÙÅÁÀ¸·Î °ø°ÝÀ» ½Ç½ÃÇÏ´Â °ÍÀ¸·Î º¸À̱⵵ ÇÕ´Ï´Ù.¡±
±×·¯¹Ç·Î Å¥³À Àåºñ¸¦ »ç¿ëÇÏ´Â ±â¾÷À̳ª ¼ÒºñÀÚµéÀº ¾÷µ¥ÀÌÆ®¿Í ÆÐÄ¡ ¼Ò½Ä¿¡ ¹Î°¨ÇÒ ÇÊ¿ä°¡ ÀÖ´Ù°í ÆÄŲÀº °Á¶ÇÑ´Ù. ¡°Å¥³À ÀåºñµéÀÌ ÀØÀ» ¸¸Çϸé ÇÑ ¹ø¾¿ °ø°ÝÀÚµéÀÇ Ç¥ÀûÀÌ µÈ´Ù´Â °ÍÀ» ÀÌÁ¦´Â ÀÎÁöÇÏ°í ÀÖ¾î¾ß ÇÕ´Ï´Ù. ±×·¯ÇÑ »ç½ÇÀ» ÀÎÁöÇÑ´Ù´Â °Ç ´ëºñÇÏ°í °ÈÇÑ´Ù´Â ¶æÀÌÁÒ. Å¥³ÀÀÌ ÀåºñµéÀÇ ÃֽŠOS¸¦ ³»º¸³¾ ¶§ ÃÖ´ëÇÑ »¡¸® ±×°ÍÀ» ¹Þ¾Æ Àû¿ëÇÒ ¼ö ÀÖ¾î¾ß ÇÕ´Ï´Ù.¡±
À̹ø °æ¿ìó·³ ÆÐÄ¡°¡ ¾ÆÁ÷ ´Ù °³¹ßµÇÁö ¾ÊÀº °æ¿ì¿¡´Â ¾î¶»°Ô ÇØ¾ß ÇÒ±î? ÆÄŲÀº ¡°¿£µåÆ÷Àεå ŽÁö¿Í ´ëÀÀ(EDR) ¼Ö·ç¼ÇÀ» °·ÂÇÏ°Ô ¼³Á¤Çؼ »ç¿ëÇØ¾ß ÇÑ´Ù¡±°í ±ÇÀåÇÑ´Ù. ¡°ÀÌ·± °·ÂÇÑ º¸¾È ¼Ö·ç¼ÇµéÀ» ÅëÇØ Ä§ÇØÁöÇ¥¸¦ ã¾Æ³»°í ÀûÀýÇÑ Á¶Ä¡¸¦ ÃëÇØ¾ß ÇÕ´Ï´Ù. ¶ÇÇÑ À̹ø °ø°Ý¿¡¼ °ø°ÝÀÚµéÀº ¹Ýµå½Ã ÀÎÁõ °úÁ¤À» °ÅÃÄ¾ß Çϴµ¥, ÀÌ Á¡À» ÀÀ¿ëÇØ °¨»ç¸¦ ½Ç½ÃÇÏ´Â °Íµµ ÁÁÀº ¹æ¾î¹ýÀÌ µÉ °ÍÀ¸·Î º¸ÀÔ´Ï´Ù.¡±
º¸¾È ¾÷ü ºñ¾ÆÄí(Viakoo)ÀÇ CEO ¹öµå ºê·ëÇìµå(Bud Broomhead)´Â ¡°Å¥³À ÀåºñµéÀÌ »çÀ̹ö °ø°ÝÀÚµéÀÇ °ü½ÉÀ» ¸¹ÀÌ ¹Þ°í ÀÖ´Ù¡±¸ç ¡°ÀÌ·¯ÇÑ Àåºñ¸¦ »ç¿ëÇÏ´Â »ç¿ëÀÚµéÀ̶ó¸é ¾î´À Á¤µµ »ç°íÀÇ ÀüȯÀÌ ÇÊ¿äÇϱ⵵ ÇÏ´Ù¡±´Â ÀÇ°ßÀÌ´Ù. ¡°Å¬¶ó¿ìµå ¼ºñ½º¸¦ ÀÌ¿ëÇÏ°Ç »ç¹°ÀÎÅÍ³Ý Àåºñ¸¦ ÀÌ¿ëÇÏ°Ç, ÀÌÁ¦ »ç¿ëÀڵ鵵 º¸¾È Ã¥ÀÓÀ» Àý¹ÝÀº °¡Á®°¡¾ß ÇÕ´Ï´Ù. ¼ºñ½º Á¦°ø¾÷ü¿Í °³¹ß»ç°¡ Àß ¸¸µé¾î¾ß ÇÏ´Â °Íµµ ¸ÂÁö¸¸, »ç¿ëÀÚ°¡ ¾ÈÀüÇÏ°Ô »ç¿ëÇØ¾ß ÇÏ´Â °Íµµ ¸Â½À´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. Å¥³À »ýÅ°迡¼ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ 2°³ ¹ß°ßµÊ.
2. ¿µÇâÀ» ¹Þ´Â OS´Â ÃÑ 4°³ÀÌ°í, 2°³¿¡ ´ëÇÑ ÆÐÄ¡´Â ÀÌ¹Ì ¹ßÇ¥µÊ.
3. NAS, IoT, Ŭ¶ó¿ìµå µî °ø°ÝÀÚµéÀÌ ÁÁ¾ÆÇÏ´Â ±â¼úÀ» ÀÌ¿ëÇÒ ¶©, ÀÌ¿ëÀÚÀÇ ¾ÈÀü ¼öÄ¢À» ÁöÄÑ¾ß ÇÔ.
[±¹Á¦ºÎ ¹®Á¤ÈÄ ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>