주말 내 문제가 됐던 리눅스 XZ 유틸즈 취약점, ‘나도 해당되나?’ 궁금하다면

파일 압축 유틸리티인 XZ유틸즈가 사실 백도어였다는 충격적인 소식이 나오면서 IT 업계가 바짝 긴장했다. 다행히 업그레이드 잘 안 하는 사용자들의 특성 때문에 문제가 만연하게 퍼져 있을 것 같지는 않다. 확인법과 현재 상황을 공유한다.

[보안뉴스 문가용 기자] 레드햇(Red Hat)이 XZ유틸즈(XZ Utils)에서 취약점을 하나 발견해 경고해 주말 동안 보안 업계가 시끌벅적했었다. XZ유틸즈는 일종의 파일 압축 유틸리티로, 여러 리눅스 배포판들에 포함되어 있다. 그런데 여기서 발견된 취약점 때문에 사실상 유틸리티가 아니라 백도어로서 작동한다는 게 레드햇의 경고였다. 사용자들은 XZ 유틸즈를 다운그레이드 하던가 SSH 전체를 비활성화시켜야 한다는 조치 방법도 제안됐다.

[이미지 = gettyimagesbank]

문제가 되는 취약점은 CVE-2024-3094이다. 이를 익스플로잇 할 경우 공격자는 정상 프로세스에 코드를 주입할 수 있게 된다. 이로써 공격자는 피해자의 시스템에 대한 원격 접근 권한을 얻게 된다. 레드햇은 보안 권고문을 통해 “XZ 5.4.x 버전에 대한 점검과 패치 개발이 완료될 때까지 페도라 로하이드(Fedora Rawhide) 인스턴스들을 절대로 중요한 작업에 사용하지 말고 개인적인 활동에도 활용하지 말라”고 힘주어 말했다. 이 취약점에는 CVSS 기준 10점 만점에 10점이 부여됐다.

문제의 취약점이 발견되고 있는 건 XZ 5.6.0(2월 24일 배포)과 5.6.1(3월 9일 배포) 버전이다. 미국의 사이버 보안 전담 기관인 CISA는 개발자들과 사용자들 모두에게 “XZ유틸즈를 이전 버전으로 다운그레이드 하라”고 즉각 발표했다. XZ 틸즈 5.4.6 스테이블 버전이 권장됐다. 리눅스 사용자들은 다음 버전 확인 명령어를 입력해 다운그레이드가 필요한 상황인지 파악할 수 있다.

xz --version

이 명령을 쳤을 때 나오는 결과값이 xz 5.6.1이나 liblzma 5.6.1일 경우 다음 세 가지 중 두 개를 해야 한다.
1) 사용하고 있는 리눅스 배포판의 업데이트 버전이 있는지 확인하고, 있을 경우 업데이트를 진행한다.
2) XZ 유틸즈는 다운그레이드 하거나
3) SSH 전체를 당분간 비활성화시킨다.

XZ 유틸즈 관련 문제는 거의 대부분 리눅스와 관련이 있지만 일부 맥OS에서도 비슷한 문제가 발견되는 경우가 종종 있는 것으로 보고되고 있다. 문제가 있는 XZ 유틸즈가 탑재되어 있는 경우들이라고 한다. 맥OS 사용자인데 XZ 유틸즈나 해당 유틸리티가 포함된 패키지를 사용하고 있다면 맥OS는 업그레이드 하고 XZ는 5.6.0에서 5.4.6으로 다운그레이드할 것이 권고된다.

어떤 리눅스 배포판이 문제일까?
문제의 취약점은 매우 심각하긴 하지만 컴퓨터 생태계에 편만하게 펼쳐져 있는 건 아니다. 제한성이 존재한다. XZ와 liblzma의 최신 버전들에만 존재하기 때문이다. 사용자들의 최신 버전 업데이트 속도가 그렇게까지 빠르지 않다는 걸 감안하면 이번 사안도 아직 크게 퍼져나가지 않았을 가능성이 높다. 사용하고 있는 리눅스 배포판 자체에서 업데이트를 내놓지도 않았을 수도 있다. 배포판별로 대략적인 상황을 살펴보면 다음과 같다.

레드햇 : 페도라 41과 페도라 로하이드에 취약한 패키지가 존재하는 것으로 파악됐다. 레드햇 엔터프라이즈 리눅스(RHEL)의 버전들은 모두 무사하다. 취약한 버전 사용자라면 XZ 버전을 변경하는 것이 안전하다고 레드햇은 권고한다.

수세(SUSE) : 오픈수세(openSUSE) 중 텀블위드(Tumbleweed)와 마이크로OS(MicroOS)의 경우 업데이트가 존재한다. 이 업데이트를 적용하면 된다.

데비안(Debian) : 데비안 스테이블 버전들 중 이번 사건의 영향권 아래 들어간 것은 하나도 없다. 하지만 언스테이블 버전이나 실험 중에 있는 버전들에서는 취약한 패키지들이 발견되고 있기도 하다. 그러므로 스테이블 버전들을 사용하면 안전하다.

칼리(Kali) : 3월 26일부터 29일 사이에 시스템 업데이트를 진행한 적이 있다면 한 번 더 업데이트를 진행해야 픽스된 버전을 사용할 수 있다. 26일 전에 업데이트 하고 하지 않았다면 이번 사건과 무관하다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)