Home > Àüü±â»ç

CISA¿Í FBI, ¡°À¯¸í Ŭ¶ó¿ìµå ¾ÖÇø®ÄÉÀ̼ÇÀÇ Å©¸®µ§¼È °£¼öÇÏ¶ó¡± °æ°í

ÀÔ·Â : 2024-01-18 16:32
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
»çÀ̹ö °ø°ÝÀÚµéÀÌ ¶ó¶óº§ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ÇÁ·¹ÀÓ¿öÅ©¸¦ ÀÌ¿ëÇØ Å¬¶ó¿ìµå »ýÅ°踦 °Å¼¼°Ô ³ë¸®´Â ÁßÀÌ´Ù. ƯÈ÷ Å©¸®µ§¼ÈÀ» Å»ÃëÇÏ·Á ¾Ö¸¦ ¾²°í Àִµ¥, À̸¦ Çã¿ëÇÏ°Ô µÉ °æ¿ì °ø°ÝÀڵ鿡°Ô ³¯°³¸¦ ´Þ¾ÆÁÖ´Â °Í°ú ºñ½ÁÇÑ È¿°ú°¡ »ý±ä´Ù.

[º¸¾È´º½º ¹®Á¤ÈÄ ±âÀÚ] ¹Ì±¹ÀÇ »çÀ̹ö º¸¾È Àü´ã ±â°üÀÎ CISA¿Í FBI°¡ ¼ÕÀ» Àâ°í º¸¾È °æ°í¹®À» ¹ßÇ¥Çß´Ù. ÃÖ±Ù ¾ÆÆÄÄ¡(Apache) À¥ ¼­¹ö¿Í À¥»çÀÌÆ®µéÀ» °Ü³ÉÇÑ ¸Ö¿þ¾î À¯Æ÷ Ä·ÆäÀÎÀÌ ÁøÇàµÇ°í ÀÖ´Ù´Â ³»¿ëÀÌ´Ù. °ø°ÝÀÚµéÀº ¶ó¶óº§(Laravel)À̶ó´Â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ÇÁ·¹ÀÓ¿öÅ©¸¦ ÅëÇØ °¢Á¾ Á¤º¸¸¦ »©°¡±âµµ ÇÑ´Ù°í ÇÑ´Ù.

[À̹ÌÁö = gettyimagesbank]


Ä·ÆäÀÎÀÇ ¹èÈÄ¿¡ ÀÖ´Â °ø°ÝÀÚµéÀÌ ±Ã±ØÀûÀ¸·Î ³ë¸®´Â °ÍÀº AWS³ª MS 365, Æ®Àª¸®¿À, ¼¾µå±×¸®µå¿Í °°Àº »ç¿ëÀÚ°¡ ¸¹Àº ¾ÖÇø®ÄÉÀ̼ǵéÀÇ Å©¸®µ§¼ÈÀ» ÈÉÄ¡´Â °ÍÀ¸·Î ºÐ¼®µÆ´Ù. ÀÌ Å©¸®µ§¼ÈÀ» °¡Áö°í °ø°ÝÀÚµéÀº ¾Û¿¡ ÀúÀåµÇ¾î ÀÖ´Â °¢Á¾ ¹Î°¨ Á¤º¸¿¡ Á¢±ÙÇÒ ¼öµµ ÀÖ°í, ¾Æ¿¹ ¾ÇÀÇÀûÀÎ ¸ñÀûÀ¸·Î ¾ÛÀ» »ç¿ëÇÒ ¼öµµ ÀÖ´Ù. Å©¸®µ§¼È Å»Ãë ÀÌÈÄ¿¡´Â °ø°ÝÀÚ°¡ ¹¹µçÁö ÇÒ ¼ö ÀÖ´Ù.

Å©¸®µ§¼È À§Çù°ú ³²¿ë
ÀÌ Ä·ÆäÀÎÀÇ Áß¿äÇÑ Æ¯Â¡ Áß Çϳª´Â ¾Èµå·Ï½º°í½ºÆ®(Androxgh0st)¶ó´Â ¸Ö¿þ¾î°¡ »ç¿ëµÈ´Ù´Â °ÍÀÌ´Ù. 2022³â 12¿ù º¸¾È ¾÷ü ·¹À̽º¿öÅ©(Lacework)°¡ óÀ½ ¹ß°ßÇØ ¼¼»ó¿¡ ¾Ë¸°, ±×¸® »õ·ÓÁö ¾ÊÀº ÇØÅ· µµ±¸´Ù. ÆÄÀ̼±À» ±â¹ÝÀ¸·Î ÇÏ°í ÀÖÀ¸¸ç, Å©¸®µ§¼ÈÀ̳ª API Å° µî ¹Î°¨ÇÑ Á¤º¸¸¦ ¾ÖÇø®ÄÉÀ̼ÇÀ¸·ÎºÎÅÍ Ã£¾Æ³»°í ÃßÃâÇÏ´Â ±â´ÉÀ» °¡Áö°í ÀÖ´Ù.

¾Èµå·Ï½º°í½ºÆ®´Â ¶ó¶óº§À̶ó°í ÇÏ´Â °ÍÀ» °ø·«ÇÑ´Ù. ÀÌ ¶ó¶óº§Àº ÀÏÁ¾ÀÇ ¿ÀǼҽº PHP À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ÇÁ·¹ÀÓ¿öÅ©·Î ÀϹÝÀûÀÎ À¥ °³¹ß ÀÓ¹«¸¦ ¼öÇàÇÒ ¶§ ³Î¸® »ç¿ëµÈ´Ù. ·Î¿ì·¹º§ Äڵ带 óÀ½ºÎÅÍ ÀÛ¼ºÇÏÁö ¾Ê¾Æµµ µÅ °³¹ßÀÚµé »çÀÌ¿¡¼­ ÀαⰡ ³ôÀº ÆíÀÌ´Ù. ¶ó¶óº§ ÇÁ·¹ÀÓ¿öÅ© ÆÄÀÏÀº .env¶ó´Â È®ÀåÀÚ¸¦ °®´Âµ¥, °ø°ÝÀÚµéÀº ÀÚÁÖ ÀÌ .env ÆÄÀÏÀ» ³ë¸°´Ù. Å©¸®µ§¼ÈÀ̳ª °³¹ß°ú °ü·ÃµÈ °¢Á¾ ±â¹ÐµéÀÌ ÀúÀåµÇ¾î ÀÖ´Â °æ¿ì°¡ ¸¹±â ¶§¹®ÀÌ´Ù.

·¹À̽º¿öÅ©¿¡ ÀÇÇÏ¸é ¾Èµå·Ï½º°í½ºÆ®´Â Á¦´ë·Î °ü¸®°¡ µÇÁö ¾Ê¾Æ ³ëÃâµÇ¾î ÀÖ´Â Å©¸®µ§¼È°ú API¸¦ ã¾Æ °¡Á®°¡°í, ħÇØµÈ ½Ã½ºÅÛ¿¡ À¥¼ÐÀ» Ãß°¡·Î ¼³Ä¡ÇÒ ¼ö ÀÖ´Ù°í ÇÑ´Ù. Âü°í·Î Áö³­ ÇØ 3¿ù¿¡µµ ¾Èµå·Ï½º°í½ºÆ® ¸Ö¿þ¾î°¡ .env ÆÄÀϵéÀ» ³ë¸®°í °ø°ÝÀ» Æۺ״ °ÍÀÌ º¸¾È ¾÷ü Æ÷Ƽ³Ý(Fortinet)¿¡ ÀÇÇØ ¹ß°ßµÇ±âµµ Çß¾ú´Ù.

Ãë¾àÇÑ À¥»çÀÌÆ®¸¦ ã¾Æ¼­
À̹ø ¾Èµå·Ï½º°í½ºÆ® Ä·ÆäÀÎÀÇ °æ¿ì °ø°ÝÀÚµéÀÌ .env ÆÄÀϸ¸ ³ë¸®´Â °Ç ¾Æ´Ï´Ù. FBI¿Í CISAÀÇ °æ°í¿¡ ÀÇÇÏ¸é °ø°ÝÀÚµéÀº ƯÁ¤ Ãë¾àÁ¡À» ã¾Æ °è¼ÓÇؼ­ ½ºÄµÀ» ½Ç½ÃÇÏ°í ÀÖ´Ù°íµµ ÇÑ´Ù. ¿©·¯ °¡Áö Ãë¾àÁ¡À» ³ë¸®°í Àִµ¥ ƯÈ÷ ¸¹ÀÌ °Ë»öµÇ´Â °Ç CVE-2017-9841À̶ó´Â ÃÊ°íÀ§Çèµµ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ´Ù. PHPÀ¯´Ö(PHPUnit)À̶ó°í ÇÏ´Â PHP ÄÚµå ½ÇÇè ¸ðµâ¿¡¼­ ¹ß°ßµÈ °ÍÀ̾ú´Ù.

Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ¾ú´Ù¸é À̸¦ ÀͽºÇ÷ÎÀÕ ÇÏ¿© ¿©·¯ ¸Ö¿þ¾î¸¦ ½É´Â´Ù´Â °Ô FBI¿Í CISAÀÇ ¼³¸íÀÌ´Ù. ¿©±â¿¡ ¾Èµå·Ï½º°í½ºÆ®µµ Æ÷ÇԵǾî ÀÖÁö¸¸ ±×°Í¸¸ÀÌ À¯ÀÏÇÑ °ÍÀº ¾Æ´Ï´Ù. ħÇØµÈ Àåºñ´Â °ø°ÝÀÚµéÀÌ ¿î¿µÇÏ´Â °Å´ëÇÑ º¿³Ý¿¡ ÆíÀԵǰí, °ø°ÝÀÚµéÀº ÀÌ º¿³ÝÀ» ÀÌ¿ëÇØ ´Ù¸¥ °ø°Ý Ç¥Àûµé¿¡ Á¸ÀçÇÏ´Â ¿©·¯ Ãë¾àÁ¡ Á¤º¸ µîÀ» ¼öÁýÇÑ´Ù. Âü°í·Î CVE-2017-9841Àº 2017³â ¹ß°ßµÈ ÀÌÈÄ ÇöÀç±îÁö ¼ö¹é¸¸ ¹ø ÀÌ»óÀÇ °ø°Ý ½Ãµµ°¡ ÀÖ¾ú´Ù. ±×¸¸Å­ ÀαⰡ ³ôÀº Ãë¾àÁ¡À̶ó´Â ¶æÀÌ´Ù.

¸¹Àº °æ¿ì °ø°ÝÀÚµéÀº ¾ÆÆÄÄ¡ HTTP ¼­¹ö(Apache HTTP Server) 2.4.49³ª 2.4.50 ¹öÀüÀ» ÁַΠã¾Æ ½ºÄµÇÏ´Â °ÍÀ¸·Î °üÂûµÇ°í ÀÖ´Ù. ÀÌ ¹öÀüÀÇ ¼­¹öµé¿¡¼­´Â CVE-2021-41773À̶ó´Â °æ·Î Á¶ÀÛ Ãë¾àÁ¡ÀÌ Á¸ÀçÇϴµ¥, ¹Ù·Î ÀÌ°É ³ë¸®´Â °ÍÀ¸·Î ºÐ¼®µÈ´Ù. ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì °ø°ÝÀÚ´Â ¿ø°Ý¿¡¼­ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù. CISA´Â °ú°Å ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ °æ°í¸¦ µû·Î ¹ßÇ¥ÇÑ ¹Ù ÀÖ´Ù. ´ç½Ã Áß±¹ÀÇ ÇØÄ¿µéÀÌ ÁÖ·Î ÀͽºÇ÷ÎÀÕ ÇÑ´Ù°í ¹ßÇ¥Çß¾ú´Ù.

ÀÌ·± À§Çù¿¡ ¸Â¼­·Á¸é ¾î¶»°Ô ÇØ¾ß ÇÒ±î? CISA´Â ´ÙÀ½°ú °°Àº ¸î °¡Áö ´ëÃ¥À» ³»³õ°í ±ÇÀ¯ÇÏ°í ÀÖ´Ù.
1) ÀÎÅͳݿ¡ °ð¹Ù·Î ¿¬°áµÈ ½Ã½ºÅÛµéÀÇ °æ¿ì ÃÖ½ÅÈ­ ÀÛ¾÷¿¡ Ç×»ó ½Å°æ ¾´´Ù.
2) ²À ÇÊ¿äÇÑ ¼­¹ö¿Í ¼­ºñ½ºµé¸¸ ÀÎÅͳݿ¡ Á÷Á¢ ¿¬°áÇÑ´Ù.
3) .env ÆÄÀÏÀÌ ¾îµð¿¡ ¾ó¸¶³ª ÀúÀåµÇ¾î ÀÖ´ÂÁö Àü¼ö È®ÀÎÇÏ°í, ±× Áß¿¡ Å©¸®µ§¼È Á¤º¸°¡ ÀúÀåµÇ¾î ÀÖ´Â °ÍÀÌ ¹«¾ùÀÎÁö ¾Ë¾Æ³½´Ù. ±×·± ´ÙÀ½ Á¢±ÙÀ» Á¦ÇÑÇÏ´Â µîÀÇ Á¶Ä¡¸¦ ÃëÇÑ´Ù.

3ÁÙ ¿ä¾à
1. À¯¸í Ŭ¶ó¿ìµå ±â¹Ý ¾ÛÀÇ Å©¸®µ§¼È ³ë¸®´Â Ä·ÆäÀÎÀÌ ½ÃÀÛµÊ.
2. ÀÌ Ä·ÆäÀο¡¼­´Â ¾Èµå·Ï½º°í½ºÆ®¶ó´Â ¸Ö¿þ¾î°¡ »ç¿ëµÇ°í ÀÖÀ½.
3. .env ÆÄÀÏÀÌ »ç¿ëµÇ°í ÀÖ´Ù¸é ƯÈ÷ ÀÌ ÆÄÀϵéÀ» Àß »ìÇÇ´Â °ÍÀÌ Áß¿ä.

[±¹Á¦ºÎ ¹®Á¤ÈÄ ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018 ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)