Home > Àüü±â»ç

93%ÀÇ ±â¾÷ÀÌ ¾Ë·ÁÁø Java Ãë¾àÁ¡ °ø°Ý¿¡ ¹«¹æºñ

ÀÔ·Â : 2013-11-27 19:57
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

À¥¼¾½º º¸¾È ¿¬±¸¼Ò, Java º¸¾È À§Ç輺 Á¶»ç °á°ú ¹ßÇ¥


[º¸¾È´º½º ±èÅÂÇü] Java´Â CTO, CIO, CSO µîÀ» ºñ·ÔÇÑ ÀÓ¿øµé¿¡°Ô ¸¹Àº °í¹ÎÀ» ¾È°Ü ÁÖ°í ÀÖ´Â ´Ù·ç±â Èûµç ±â¼úÀÌ´Ù. Java´Â ±â¾÷µéÀÇ °æÀï·ÂÀ» »ì¸®´Â ÁÖ¿ä ºñÁî´Ï½º ¾ÖÇø®ÄÉÀ̼ǿ¡ ³»ÀçµÇ¾î ÀÖ´Ù.


ºÒÇàÈ÷µµ, Java Á¦·Îµ¥ÀÌ¿Í Ãë¾à¼ºÀº ¾ÇÀÇÀû Áý´ÜµéÀÌ ÄÄÇ»Å͸¦ Àå¾ÇÇÏ°Ô ¸¸µé°í ÀÖÀ¸¸ç, ÀÌ¿¡ ´ëÇØ ÇØ°áÃ¥À¸·Î Á¦½ÃµÇ´Â ÆÐÄ¡ °ü¸®´Â ½ÇÁ¦ÀûÀ¸·Î´Â µµ¿òÀÌ µÇÁö ¾Ê´Â´Ù. ¹Ù·Î ÀÌ·± ÀÌÀ¯ ¶§¹®¿¡ Áö³­ ¸î °³¿ù°£ À¥¼¾½º º¸¾È ¿¬±¸¼Ò(Websense Security Labs)´Â Java º¸¾È À§Ç輺¿¡ ´ëÇØ ¿¬±¸ Á¶»ç¸¦ ÁøÇàÇß´Ù.


1Â÷·Î À¥¼¾½º ThreatSeeker Intelligence Cloud¸¦ ÅëÇØ ¼öÁýÇÑ ½Ç½Ã°£ ÀڷḦ °ËÅäÇÑ °á°ú ¼ö õ ¸¸°³ÀÇ ¿£µåÆ÷ÀÎÆ®¿¡¼­ JavaÀÇ ¾î¶² ¹öÀüµéÀÌ »ç¿ëµÇ°í ÀÖ´ÂÁö°¡ ÆľǵƴÙ. ±× °á°ú´Â ¾Æ·¡¿Í °°´Ù.


-93%ÀÇ ±â¾÷ÀÌ ¾Ë·ÁÁø Java Ãë¾àÁ¡ °ø°Ý¿¡ ¹«¹æºñ »óÅ¿´´Ù.

-¾à 50%ÀÇ ±â¾÷ Æ®·¡ÇÈÀÌ 2³â ÀÌ»ó ¿À·¡µÈ Java ±¸¹öÀüÀ» ÀÌ¿ëÇÏ°í ÀÖ´Ù.

-ÆÐÄ¡ ÁøÇà »óȲ ¸ð´ÏÅ͸µÀÇ °æ¿ì, ÁÖ¿ä Java ¸±¸®½º°¡ ¹ßÇ¥µÈ Áö ¸î °³¿ùÀÌ Áö³µÁö¸¸ ´Ü 7%ÀÇ ±â¾÷¸¸ÀÌ ÃֽŠ¹öÀüÀÇ Java¸¦ äÅÃÇÑ °ÍÀ¸·Î È®ÀεǾú´Ù.

-83.86%ÀÇ ±â¾÷ ºê¶ó¿ìÀú´Â Java ÄÜÅÙÃ÷¸¦ Áö¿øÇÒ ¼ö ÀÖµµ·Ï Java¸¦ È°¼ºÈ­Çß´Ù.


¾à 40%ÀÇ »ç¿ëÀÚµéÀÌ ÇöÀç ÃֽŠ¹öÀüÀÇ Flash¸¦ »ç¿ëÇÏÁö ¾Ê°í ÀÖ´Ù. ´ë·« 10%µµ ¾ÈµÇ´Â ±â¾÷µéÀÌ ÆÐÄ¡ °ü¸®¿Í ¹öÀü Á¦¾î¸¦ ÅëÇØ Java Ãë¾à¼ºÀ» ¿¹¹æ °ü¸®ÇÏ°í ÀÖ´Ù¸é, ³ª¸ÓÁö 93%ÀÇ ±â¾÷µéÀÌ µ¥ÀÌÅÍ À¯Ãâ·ÎºÎÅÍ ½Ã½ºÅÛÀ» º¸È£Çϱâ À§ÇØ ¾î¶² º¸¾È ü°è¸¦ ÀÌ¿ëÇÏ°í ÀÖÀ»±î.


Å©¶óÀÓ Å¶¿¡¼­ ³Î¸® »ç¿ëµÇ´Â Java Ãë¾àÁ¡ °ø°Ý°ú Á¦·Îµ¥ÀÌ

¸ðµç Å©¶óÀÓ Å¶(crime kit)ÀÇ Á¦¾îÆÇÀ» »ìÆ캸¸é Java Ãë¾àÁ¡ °ø°ÝÀÌ ±â¾÷ÀÇ ¹Î°¨ÇÑ µ¥ÀÌÅ͸¦ »©³»±â À§ÇØ ±â¾÷ ³»·Î ħÀÔÇØ µé¾î°¡´Â °¡Àå ÁÁÀº Æ´»õ¶ó´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ÇÏÁö¸¸ ´ëºÎºÐ ±â¾÷µéÀÌ °®´Â ¹®Á¦´Â Java Ãë¾à¼ºÀÇ Ãʱ⠹߰ßÀÌ ¾Æ´Ï¶ó Á¦·Îµ¥ÀÌ °ø°ÝÀÌ Ãë¾àÁ¡ °ø°Ý Ŷ°ú °áÇյǴ °ÍÀÌ´Ù.


»çÀ̹ö ¹üÁËÀÚµéÀº ÀÏÁÖÀÏ¿¡ 200´Þ·¯ Á¤µµÀÇ ÀûÀº ºñ¿ëÀ¸·Î ÀÌ¹Ì Á¦·Îµ¥ÀÌ°¡ Æ÷ÇÔµÈ Ãë¾àÁ¡ °ø°Ý ŶÀ» ¾îµð¼­³ª ½±°Ô ÀÓ´ëÇÒ ¼ö ÀÖ´Ù. Á¦·Îµ¥ÀÌ Ãë¾à¼ºÀÇ ½Å¼ÓÇÑ °áÇÕÀº °ø°ÝÀڵ鿡°Ô ¹é½Å, ¹æÈ­º® ¹× ±âŸ º¸¾È ÀåÄ¡¿Í °°Àº ÀüÅëÀûÀÎ ½Ã±×´Ïó ¹æ½ÄÀ» ¿ìȸÇÏ´Â Ãë¾àÁ¡ °ø°Ý ŶÀ» ÀçÇöÇÒ ¼ö ÀÖ´Â ¹«ÇÑ´ëÀÇ ¿ª·®À» °®°Ô ÇÑ´Ù.


Ãë¾àÁ¡ °ø°Ý ŶÀº º¹ÀâÇÏ°í ¸¹Àº ºñ¿ëÀÌ ¹ß»ýÇÏ´Â ÇÁ·Î¼¼½º¸¦ ÁÙÀÌ°í Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â µ¥ ÇÊ¿äÇÑ ³ë·Â, Àü¹®¼º ¹× ºñ¿ëÀ» ÁÙ¿´´Ù. µû¶ó¼­ ÀÌÁ¦ »çÀ̹ö ¹üÁËÀÚ°¡ µÇ´Â À庮Àº ¸Å¿ì ³·¾ÆÁ³´Ù. Á¤±³ÇÏ°Ô ¸¸µé¾îÁø Ãë¾àÁ¡ °ø°Ý ŶµéÀÌ °ÅÀÇ ¸ðµç ÀÛ¾÷À» ´ë½Å ¼öÇàÇÏ¸ç ¿øÇÏ¸é ½ÉÁö¾î ¹ÙÀ̳ʸ®¸¦ È£½ºÆÃÇÒ ¼ö µµ ÀÖ´Ù.


À¥¼¾½ºÀÇ Á¶»ç °á°ú¿¡ µû¸£¸é ÆÐÄ¡ °ü¸® ÇÁ·Î¼¼½º´Â Áö³ªÄ¡°Ô ´À¸®°Ô ÁøÇàµÇ°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ƯÈ÷ ¿ø°Ý ±Ù¹«ÀÚ¸¦ º¸À¯ÇÑ Á¶Á÷ÀÇ °æ¿ì¿¡ ÆÐÄ¡ °ü¸®´Â º¹ÀâÇÑ ÇÁ·Î¼¼½º°¡ µÉ ¼ö ÀÖ´Ù. ¹Ù·Î ÀÌ ¶§¹®¿¡ ½Ç½Ã°£ º¸¾È ¸ðµ¨ÀÌ Àý´ëÀûÀ¸·Î ÇÊ¿äÇÑ °ÍÀÌ´Ù. ½ÉÁö¾î ÃÖ°íÀÇ ÆÐÄ¡ °ü¸®¿Í ¹é½Å ÇÁ·Î±×·¥¸¸À¸·Î´Â Â÷¼¼´ë °ø°Ý ¹æ½ÄÀÇ ÀÌÁ¡À» È°¿ëÇϵµ·Ï »ý¼ºµÈÁ¦·Îµ¥ÀÌ¿Í Ãë¾àÁ¡ °ø°Ý ŶÀÇ ¿¬¼ÓÀûÀÎ °ø°ÝÀ» ¸·¾Æ³¾ ¼ö ¾ø´Ù.


7´Ü°è Áö´ÉÇü À§Çù¿¡¼­ Java Ãë¾àÁ¡ °ø°ÝÀÌ ¾î¶»°Ô »ç¿ë µÇ¾ú´Â°¡

°ø°Ý üÀÎÀÇ ¸¶Áö¸· ÃÖÁ¾ ´Ü°è¿¡¼­ ¹«¾ð°¡¸¦ ÀâÀ¸·Á°í ±â´ëÇÏ°í ±â´Ù¸®´Â °Íº¸´Ù´Â °ø°Ý üÀÎ Àüü¸¦ °ËÅäÇÏ°í Àǽɽº·¯¿î »óȲ¿¡ ´ëÇØ ´ëÀÀÇÏ´Â Á¢±Ù ¹æ½ÄÀº ¾Æ¹«¸® ½ÅÁ¾ÀÇ ¾Ç¼ºÄÚµå(malware)¶ó ÇÏ´õ¶óµµ ÀÌ·¯ÇÑ °ø°ÝÀ» Æ÷ÂøÇؼ­ Â÷´ÜÇÒ °¡´É¼ºÀ» ¸Å¿ì ³ôÀÏ ¼ö ÀÖ´Ù. ¿©±â¿¡ ÃÖ½ÅÀÇ »ç·Ê¸¦ Á¦°øÇÑ´Ù.


¿ÃÇØ »çÀ̹ö ¹üÁËÀÚµéÀº ·¹µåŶ Ãë¾àÁ¡ °ø°Ý Ŷ(RedKit Exploit Kit)À» ÀÌ¿ëÇÏ¿© ÄÄÇ»ÅÍ¿¡ ħÀÔÇϱâ À§ÇØ º¸½ºÅæ ¸¶¶óÅæ ´ëȸ¿¡¼­ ¹ß»ýÇÑ ²ûÂïÇÑ Å×·¯ °ø°ÝÀ» ¾Ç¿ëÇÏ´Â ¹æ¹ýÀ» ¸ð»öÇß´Ù. À¥¼¾½º º¸¾È ¿¬±¸¼Ò¿¡ ÀÇÇØ Â÷´ÜµÈ ÀÌ Ä·ÆäÀÎÀ» »ìÆì º¸¸é 7´Ü°è Áö´ÉÇü °ø°Ý¿¡¼­ Java Ãë¾àÁ¡ °ø°ÝÀÌ ¾î¶»°Ô ¾Ç¿ëµÇ¾ú´ÂÁö¸¦ ÀÌÇØÇÒ ¼ö ÀÖ´Ù.


1 ´Ü°è: Á¤Âû(Reconnaissance)

´Ù¸¥ È°µ¿µé°ú ¸¶Âù°¡Áö·Î ÀÌ »ç·Ê¿¡¼­ »çÀ̹ö ¹üÁËÀÚµéÀº ´º½º¿Í »ç°Ç ¼Óº¸¸¦ ¸ð´ÏÅ͸µÇÏ¸ç ¼º°øÀûÀÎ °ø°ÝÀ» °¨ÇàÇÒ ±âȸ¸¦ ³ë¸®°í ÀÖ¾ú´Ù. º¸½ºÅæ ¸¶¶óÅæ ´ëȸÀÇ Æøź Å×·¯´Â ÀÌ·¯ÇÑ È°µ¿À» À§ÇÑ ±âȸ¸¦ Á¦°øÇß´Ù.


2 ´Ü°è: À¯ÀÎ(Lures)

¹üÁËÀÚµéÀº Å×·¯ »óȲ¿¡ ´ëÇØ º¸´Ù ÀÚ¼¼ÇÑ ³»¿ëÀ» ¾Ë°íÀÚ ÇÏ´Â »ç¶÷µéÀÇ °ü½ÉÀ» ¾Ç¿ëÇؼ­ ´ÙÀ½°ú °°Àº Ãæ°ÝÀûÀÎ Çìµå¶óÀÎÀ» Æ÷ÇÔÇÑ ½ºÆÔ À̸ÞÀÏ È°µ¿À» °³½ÃÇß´Ù.

-º¸½ºÅæ ¸¶¶óÅæ ´ëȸ¿¡¼­ 2¹øÀÇ Æø¹ß ¹ß»ý

-º¸½ºÅæ ¸¶¶óÅæ ´ëȸ Æø¹ß¿¡ µû¸¥ ¿©ÆÄ

-º¸½ºÅæ Æø¹ß ÇöÀå ¿µ»ó Æ÷Âø

-¼Óº¸, º¸½ºÅæ ¸¶¶óÅæ´ëȸ Æø¹ß

-¼±¼ö Æ÷Âø. ¸¶¶óÅæ ´ëȸ Æø¹ß

-º¸½ºÅæ ¸¶¶óÅæ ´ëȸ Æø¹ß ÇöÀå ¿µ»ó


3 ´Ü°è: ¸®´ÙÀÌ·ºÆ®(Redirects)

ÀÏ´Ü ¸µÅ©¸¦ Ŭ¸¯Çϸé Èñ»ýÀÚ¿¡°Ô »ç°Ç ¼Óº¸¿¡ °üÇÑ µ¿¿µ»ó ±â»ç¸¦ Æ÷ÇÔµÈ ÆäÀÌÁö°¡ Àü´ÞµÈ´Ù. ºÎÁöºÒ½Ä°£¿¡ ¼û°ÜÁø ¾ÆÀÌÇÁ·¹ÀÓ(iframe)À» ÅëÇÏ¿© Ãë¾àÁ¡ °ø°Ý ÆäÀÌÁö·Î ¸®´ÙÀÌ·ºÆ®µÇ¸ç, ÀÌ °æ¿ì¿¡´Â ´ÙÀ½°ú °°Àº ÆäÀÌÁö¸¦ µé ¼ö ÀÖ´Ù.

-http://<IP Address>/news.html

-http://<IP Address>/boston.html


4 ´Ü°è: Ãë¾àÁ¡ °ø°Ý Ŷ(Exploit Kits)

ÀÌ °ø°Ý¿¡ »ç¿ëµÈ ·¹µåŶ Ãë¾àÁ¡ °ø°Ý ŶÀº ÇØ´ç Ãë¾àÁ¡À» ½ºÄµ ÇÑ´Ù. ÀÌ »ç°Ç¿¡¼­´Â Èñ»ýÀÚ ÄÄÇ»ÅÍ¿¡ ÆÄÀÏÀ» Àü¼ÛÇϱâ À§ÇØ Oracle Java 7 Security Manager ¿ìȸ Ãë¾à¼º(CVE-2013-0422)ÀÌ ÀÌ¿ëµÇ¾ú´Ù.


5 ´Ü°è: µå·ÎÆÛ ÆÄÀÏ(Dropper Files)

ÀÌ Æ¯Á¤ È°µ¿¿¡¼­´Â Win32/Kelihos ¹× Troj/Zbot µî 2°³ÀÇ º¿(bot)À» ¼³Ä¡Çϱâ À§ÇØ Win32/Waledac °è¿­ÀÇ ´Ù¿î·Î´õÀÎ ºñÇ¥ÁØ µå·ÎÆÛ ÆÄÀÏÀ» »ç¿ëÇß´Ù.


6 ´Ü°è: ÄÝȨ(Call Home)

ÀÌÁ¦ ½Ã½ºÅÛÀÌ º¿ Çì´õ(bot herder)¿¡ Á¢¼ÓÇÏ¿© Åë½ÅÀ» ½ÃÀÛÇÑ´Ù.


7 ´Ü°è: µ¥ÀÌÅÍ À¯Ãâ(Data Theft)

ÀÌ´Â ºñÁî´Ï½º¿¡¼­ °¡Àå À§ÇèÇÑ ´Ü°è·Î ÇØ´ç ½Ã½ºÅÛÀº ÀÌÁ¦ ¿£µåÆ÷ÀÎÆ® ¶Ç´Â ±â±âÀÇ µ¥ÀÌÅÍ, ±â±â¸¦ Åë°úÇÏ´Â µ¥ÀÌÅÍ ¶Ç´Â ±â±â¿¡ ÀÇÇØ Á¢±ÙÇÒ ¼ö ÀÖ´Â µ¥ÀÌÅÍ À¯ÃâÀÌ Àå±âÀûÀ¸·Î ÀÌ·ç¾îÁö°Ô µÈ´Ù. ¶ÇÇÑ ¿£µåÆ÷ÀÎÆ®¸¦ º¯°æÇÏ¿© ¿øÄ¡ ¾Ê´Â À̸ÞÀÏÀÇ ¹ß¼Û ¶Ç´Â DDoS(Distributed Denial of Service) °ø°Ý¿¡ Àڽŵµ ¸ð¸£°Ô °¡´ãÇÏ°Ô ¸¸µå´Â µî »õ·Î¿î °ø°ÝÀ» À§ÇÑ »õ·Î¿î Ç÷§ÆûÀ¸·Î ¸¸µé ¼ö ÀÖ´Ù.


Àüü À§Çù ų üÀÎ Àü¹ÝÀ» °ËÅäÇÔÀ¸·Î½á CSO´Â µ¥ÀÌÅÍ À¯ÃâÀÌ ¹ß»ýÇϱâ Àü¿¡ À§ÇèÀ» Æ÷ÂøÇÏ°í Â÷´ÜÇÒ ¼ö ÀÖ´Â ¿©·¯¹øÀÇ ±âȸ¸¦ °®°Ô µÈ´Ù. ÀÌ¿Í °°Àº Á¢±Ù ¹æ½ÄÀº ¾Ë·ÁÁöÁö ¾ÊÀº °´Ã¼¸¦ Æ÷ÂøÇÏ·Á°í ½ÃµµÇÏ´Â ¹æ½Äº¸´Ù ÈξÀ È¿°úÀûÀÎ °ø°Ý ŽÁö ¹× Â÷´Ü ¹æ½ÄÀÌ´Ù. Àüü À§Çù ų üÀÎ ³» ¸ðµç ¸µÅ©¿¡ ´ëÇØ ¿©·¯ Â÷·Ê °ËÅäÇÏ°í ºÐ¼®ÇÏ¿© Á¦·Îµ¥ÀÌ °ø°Ý±îÁöµµ Â÷´ÜµÉ ¼ö ÀÖ´Ù.


¿À´Ã³¯ÀÇ ±â¾÷µéÀº ÀÌ¿Í °°Àº ´Ü ´Ü°è ºÐ¼®¹æ¹ýÀÌ ÇÊ¿äÇÏ¸ç °¢ °èÃþÀº »çÀ̹ö ¹üÁËÀÚµéÀÌ ³×Æ®¿öÅ©¿¡ ħÀÔÇÏ¿© µ¥ÀÌÅ͸¦ À¯ÃâÇÏ´Â °ÍÀ» ¾î·Æ°Ô ¸¸µé¾î Java°¡ ±â¾÷¿¡ ¾ß±âÇÏ´Â À§ÇèÀ» ÃÖ¼ÒÈ­ÇÒ °ÍÀÌ´Ù.

[±èÅÂÇü ±âÀÚ(boan@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)