오픈SSH 생태계의 새 취약점, 알고 보니 2006년도 취약점이 부활한 것

2006년도에 이미 해결됐던 문제가 되살아났다. 그러면서 전 세계 오픈SSH 서버 1400만 대 이상이 위험에 노출된 상황이다. 이른 패치가 필요하다.

[보안뉴스 문정후 기자] 오픈SSH(OpenSSH) 생태계에서 새로운 취약점이 발견됐다. 보다 정확히 말하자면 glibc를 기반으로 한 리눅스 시스템들에 있는 오픈SSH 서버인 sshd가 위험한 상황이다. 문제의 취약점은 CVE-2024-6387로, 보안 업체 퀄리스(Qualys)가 발견해 자사 블로그를 통해 세상에 알렸다. 기본적으로는 원격 코드 실행을 가능하게 하는 취약점으로 분석됐다.

[이미지 = gettyimagesbank]

오픈SSH?
오픈SSH는 ‘오픈 시큐어 셸(Open Secure Shell)’을 뜻한다. 네트워킹을 안전하게 하기 위한 각종 유틸리티들을 모은 것이라고 보면 된다. 이 때 ‘안전한 네트워킹’이란 시큐어셸(Secure Shell, SSH)이라는 프로토콜을 기반으로 하는 개념이다. 네트워킹을 원활히 하면서도 프라이버시를 지키고 각종 파일을 안전하게 전송하게 하도록 하기 위한 강력한 암호화 기술을 포함하고 있다. 맥OS와 리눅스 등 유닉스 기반 기술을 보호하는 데 널리 사용된다.

“현대 IT 환경에서 통신을 안전하게 유지하려 할 때 반드시 사용하는 도구가 바로 오픈SSH입니다. 단지 보호 기능이 강력해서만이 아닙니다. 오픈SSH는 확장성도 좋고, 각종 접근 통제 장치들을 실제로 구축해 집행할 때에도 용이하며, 다양한 환경에서 자동화 프로세스를 안전하게 유지하는 데에도 큰 도움이 됩니다. 소프트웨어 보안에 있어서 일종의 벤치마크 역할도 하며, ‘심층 보안’이라는 개념을 가장 잘 드러내는 사례로도 꼽힙니다. 널리 신뢰받고 있는 보안 장치라고 보면 됩니다.” 퀄리스의 설명이다.

리그레숀?
퀄리스는 CVE-2024-6387 취약점에 리그레숀(regreSSHion)이라는 이름을 붙여 추적 및 분석하고 있다고 한다. 리그레션(regression)은 ‘회귀’라는 뜻으로, 리그레숀 취약점이 사실은 2006년에 이미 발견되고 패치된 CVE-2006-5051 취약점이 재등장 한 것과 같기 때문이다. 즉 2006년도의 취약점이 부활해 다시 나타난 게 CVE-2024-6387이고, 그것도 SSH과 관련이 있는 문제이기 때문에 ‘리그레숀’이라는 이름을 붙였다는 것이다.

한 번 해결된 취약점이 그 이후에 등장하는 버전에서 쥐도 새도 모르게 다시 나타나는 경우는 소프트웨어 시장에서 심심찮게 발생한다. “그래서 보안 담당자들이 주기적으로 리그레션 테스트를 실시하는 게 중요합니다. 언제 보안 취약점이 다시 나타날지 아무도 예측할 수 없거든요.” 퀄리스 측의 설명이다. 리그레션이 발생하는 패턴 역시 일정치 않다. 이번 리그레숀 취약점의 경우 문제가 재발생한 건 2020년 10월 오픈SSH 8.5p1 버전에서부터였던 것으로 조사됐다.

그 외 이번 리그레숀 취약점의 영향을 받는 오픈SSH 버전들은 다음과 같다고 퀄리스는 경고했다.
* 4.4p1 이전 버전들. CVE-2006-5051과 CVE-2008-4109 취약점에 대한 패치가 되어 있다면 괜찮다.
* 4.4p1부터 8.5p1 직전까지의 버전들. 단 CVE-2006-5051 취약점 패치가 적용되어 있다면 괜찮다.
* 8.5p1부터 9.8p1 직전까지의 버전들. 8.5p1 버전부터 CVE-2006-5051 취약점에 대한 안전 장치가 사라졌다. 9.8p1 버전부터 해당 안전 장치가 돌아왔다.
* 오픈BSD(OpenBSD) 시스템들은 전부 안전하다.

공격 성공하면 무슨 일 일어나나?
리그레숀 취약점을 익스플로잇 하는 데 성공할 경우 공격자는 시스템 전체를 장악하는 데에까지 이를 수 있다. 그런 후 공격자는 임의의 코드를 가장 높은 권한으로 실행할 수도 있게 되며, 각종 멀웨어와 애플리케이션을 마음대로 설치할 수도 있고, 데이터를 조작하거나 이동 및 삭제시킬 수도 있으며, 백도어를 심거나 백도어용 계정을 몰래 만들어 두고 주기적인 공격을 실시할 수도 있게 된다. 이 시스템을 발판 삼아 다른 시스템들을 공격하는 것도 가능하다.

“권한이 높아진다는 건 여러 가지 의미를 갖게 됩니다. 무엇보다 각종 보안 장치나 로깅 프로세스를 무력화시킬 수도 있죠. 그러면 자신들의 악성 행위를 흔적 없이 지워낼 수도 있습니다. 자유자재로 공격을 하면서도 추적도 불가능에 가깝게 어려운 것으로 만들 수 있다는 겁니다. 다만 리그레숀의 익스플로잇이 간단하지는 않습니다. 익스플로잇이 되려면 조건이 맞아떨어져야 하는데, 그걸 맞추는 게 쉽지 않기 때문입니다. 딥러닝 기술을 공격에 활용한다면 이야기가 조금 달라질 수는 있습니다.”

어떻게 위험을 완화시키나?
퀄리스는 센시스(Censys)와 쇼단(Shodan)을 통해 인터넷을 스캔했을 때 1400만 개 이상의 오픈SSH 서버를 발견할 수 있었다고 말한다. 또한 인터넷에 직접 연결된 오픈SSH 인스턴스들 중 70만 개 이상이 리그레숀 취약점에 노출되어 있다는 것도 알 수 있었다고 경고한다. 인터넷에 직접 연결된 오픈SSH 서버들 중 대략 31%라고 할 수 있다. 이 중 생애주기 혹은 지원 기간이 종료된 오픈SSH 버전으로 운영되는 오픈SSH 서비스는 0.14% 정도였다.

퀄리스는 이번 사태는 오픈SSH의 최신 버전을 설치함으로써 취약점을 패치하는 게 가장 좋은 대처법이라고 권장한다. 하지만 그것이 전부는 아니다. “기본적으로 패치 관리 절차를 조직 내에 도입하는 게 좋습니다. 이렇게 취약점에 관한 소식이 새롭게 나오면 그 때 그 때 패치를 해주는 것도 좋지만, 더 좋은 건 취약점 관리 절차를 통해 미리 취약점을 해결하는 것입니다. 하지만 관리 절차에 따른답시고 긴급 패치를 미루는 것은 안전한 방법이 아닙니다.”

SSH에 대한 접근 권한을 제한하는 것도 안전을 위해서는 추천할 만하다고 퀄리스는 짚는다. “꼭 필요한 사람이 필요한 상황에서 필요한 한도 아래 접근할 수 있도록 하는 게 좋습니다. 특히 네트워크를 기반으로 해서 접근하려 할 때는 검사를 보다 철저히 해야 합니다.” 마지막으로는 망을 분리시키고 침투 탐지 기술을 설치하는 것을 퀄리스는 추천한다.

3줄 요약
1. 오픈SSH 생태계에서 새 취약점 발견돼 비상.
2. 이 취약점은 2006년도에 발견된 취약점이 되살아난 것.
3. 따라서 리그레션 테스트를 주기적으로 실시하는 게 안전.
[국제부 문정후 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)