µ¥ÀÌÅÍ Á¢±Ù ¹× ³×Æ®¿öÅ© ħÅõ °¡´É¼º ³ô¾Æ
±â¾÷ ¹× °³ÀÎ »ç¿ëÀÚ ÁÖÀÇ ÇÊ¿ä
[º¸¾È´º½º ±èÁö¾ð] ´ë´Ù¼öÀÇ ¸®´ª½º¿Í À¯´Ð½º ¿î¿µÃ¼Á¦(OS) »Ó¸¸ ¾Æ´Ï¶ó À¯´Ð½º ±â¹ÝÀÇ ¸Æ OS X¿¡¼µµ ¹è½Ã¹ö±× Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù.
ÀÌ¿Í °ü·Ã ½Ã¸¸ÅØÀº ±â¾÷Àº ¹°·Ð °³ÀÎ »ç¿ëÀڵ鿡°Ô °ü·Ã ÆÐÄ¡¸¦ ¼³Ä¡ÇÒ °ÍÀ» ´çºÎÇß´Ù.
¡®¹è½Ã ¹ö±×(Bash Bug)¡¯ ¶Ç´Â ¡®¼Ð¼îÅ©(Shellshock)¡¯·Î ¾Ë·ÁÁø ¡®GNU ¹è½Ã ¿ø°Ý ¸í·É ½ÇÇà Ãë¾àÁ¡(CVE-2014-6271)¡¯À» ÀÌ¿ëÇØ °ø°Ý ´çÇÒ °æ¿ì, °ø°ÝÀڴ ǥÀû ÄÄÇ»Å͸¦ Á¦¾îÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ÀÌ Ãë¾àÁ¡Àº ¸¹Àº ¸®´ª½º¿Í À¯´Ð½º OSÀÇ ¼Ð(Shell)À̶ó´Â ÀϹÝÀûÀÎ ±¸¼º ¿ä¼ÒÀÇ ÇϳªÀÎ ¹è½Ã(Bash)¿¡ ¿µÇâÀ» ¹ÌÄ£´Ù. ¹è½Ã´Â »ç¿ëÀÚ°¡ ¸í·É¾î¸¦ °£´ÜÇÑ ÅؽºÆ® ±â¹ÝÀÇ À©µµ¿ì¿¡ ÀÔ·ÂÇϸé OS°¡ ÀÌ¿¡ µû¶ó µ¿ÀÛÇÏ°Ô ¸¸µå´Â ¸í·É¾î Çؼ®±âÀÇ ¿ªÇÒÀ» ¼öÇàÇÑ´Ù.
½Ã¸¸ÅØÀº ÀÌ ¹è½Ã ¹ö±× Ãë¾àÁ¡À» ¿ÃÇØ ÃÊ À̽´°¡ µÇ¾ú´ø ÇÏÆ®ºí¸®µå(Heartbleed)º¸´Ù ½É°¢ÇÑ Ãë¾àÁ¡À¸·Î º¸°í ÀÖ´Ù. ¹è½Ã°¡ À¥ ¼¹öó·³ »óÈ£ ¿¬°áµÇ¾î ÀÖ´Â ÄÄÇ»ÅÍÀÇ ¸®´ª½º¿Í À¯´Ð½º OS¿¡ ³Î¸® »ç¿ëµÇ°í Àֱ⠶§¹®ÀÌ´Ù. ƯÈ÷, ¹è½Ã ¹ö±×´Â °¨¿° ÄÄÇ»ÅÍ¿¡¼ µ¥ÀÌÅÍ Å»Ãë»Ó¸¸ ¾Æ´Ï¶ó ¿ø°Ý ¸í·É ½ÇÇàÀ» °¡´ÉÇÏ°Ô ÇØ, µ¥ÀÌÅÍ Å»Ã븸 °¡´ÉÇÑ ÇÏÆ®ºí¸®µåº¸´Ù ±× À§Çèµµ°¡ ³ôÀ» °ÍÀ¸·Î ºÐ¼®ÇÏ°í ÀÖ´Ù.
Ãë¾àÁ¡ÀÌ °ø°Ý¿¡ »ç¿ëµÇ°í ÀÖ´Ù´Â º¸°í´Â ¾ÆÁ÷±îÁö´Â ¸¹Áö ¾Ê´Ù. º¸¾È Àü¹®°¡µéÀÌ Ãë¾àÁ¡¿¡ ´ëÇØ POC(Proof-of-concept) ½ºÅ©¸³Æ® ¹× ¸ðµâÀ» °³¹ßÇßÀ¸³ª, ÀÌ¹Ì Ãë¾àÁ¡ÀÌ ¾Ë·ÁÁü¿¡ µû¶ó °ø°ÝÀÚ°¡ ÆÐÄ¡°¡ ¾ÈµÈ ÄÄÇ»Å͸¦ °ø°ÝÇÒ ¼ö ÀÖ¾î »ç¿ëÀÚÀÇ ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù.
À¥ ¼¹ö¿¡¼ °ø°ÝÀÚ°¡ ¹è½Ã ¹ö±× Ãë¾àÁ¡ °ø°Ý¿¡ ¼º°øÇÒ °æ¿ì, ½É°¢ÇÑ °á°ú¸¦ °¡Á®¿Ã ¼ö ÀÖ´Ù. ¿¹¸¦ µé¾î, °ø°ÝÀÚ°¡ Æнº¿öµå ÆÄÀÏÀ» ´Ù¸¥ °÷À¸·Î º¹»çÇϰųª ¾Ç¼ºÄڵ带 °¨¿° ÄÄÇ»ÅÍ¿¡ ´Ù¿î·Îµå ½Ãų ¼ö ÀÖÀ¸¸ç, °ø°ÝÀÚ°¡ ÇÇÇØÀÚÀÇ ¹æȺ® ¾È¿¡ ħÀÔÇÏ¸é ³×Æ®¿öÅ©¿¡ ÀÖ´Â ´Ù¸¥ ÄÄÇ»Å͸¦ °¨¿°½Ãų ¼öµµ ÀÖ´Ù.
À¥ ¼¹ö ¿Ü¿¡ °ø¿ë °ÔÀÌÆ®¿þÀÌ ÀÎÅÍÆäÀ̽º(CGI)¸¦ ½ÇÇà ÁßÀÎ ¸®´ª½º ±â¹Ý ¶ó¿ìÅ͵µ ¹è½Ã ¹ö±× °ø°Ý¿¡ Ãë¾àÇÏ´Ù. °ø°ÝÀÚ´Â À¥ ¼¹ö¿Í µ¿ÀÏÇÑ ¹æ½ÄÀ¸·Î CGI¸¦ ÀÌ¿ëÇØ ¹è½Ã ¹ö±× Ãë¾àÁ¡À» °ø°Ý¿¡ »ç¿ëÇÔÀ¸·Î½á ¶ó¿ìÅÍ¿¡ ¾Ç¼º ¸í·É¾î¸¦ Àü¼ÛÇÒ ¼ö ÀÖ´Ù.
¾ÖÇÃÀÇ ¸Æ OS X¸¦ ½ÇÇà ÁßÀÎ ÄÄÇ»Å͵µ À§ÇèÇÒ ¼ö ÀÖ´Ù. µû¶ó¼ °ü·Ã ¹è½Ã ¹ö±× ´ëÀÀ ÁöħÀ̳ª ÆÐÄ¡¸¦ ¹èÆ÷ÇÒ °æ¿ì, À̸¦ ÁؼöÇÏ´Â °ÍÀÌ ÁÁ´Ù. ¶ÇÇÑ »ç¹°ÀÎÅÍ³Ý ±â±â¿Í ¶ó¿ìÅÍ¿Í °°Àº ÀÓº£µðµå ±â±â¿¡ ¹è½Ã°¡ µ¿ÀÛÇÏ°í ÀÖ´Ù¸é °ø°Ý¿¡ Ãë¾àÇÒ ¼ö ÀÖ´Ù. ´Ù¸¸ ÃֽŠ±â±â´Â ÃÖ±Ù ¹è½Ã¸¦ ´ë½ÅÇØ ºñÁö¹Ú½º(BusyBox)¶ó´Â Åø ¼ÂÀ» ½ÇÇàÇÏ°í ÀÖÀ¸¸ç, ºñÁö¹Ú½º´Â ¹è½Ã ¹ö±× °ø°Ý¿¡ Ãë¾àÇÏÁö ¾ÊÀº °ÍÀ¸·Î ³ªÅ¸³´Ù.
±â¾÷ Áß¿¡¼µµ À¥»çÀÌÆ®¸¦ ¿î¿µÇÒ °æ¿ì ¹è½Ã ¹ö±× °ø°Ý À§ÇèÀÌ °¡Àå ³ô´Ù. °ø°ÝÀÚ°¡ ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇØ ±â¾÷ µ¥ÀÌÅÍ¿¡ Á¢±ÙÇÏ°í ³×Æ®¿öÅ©¿¡ ħÅõÇÒ ¼ö ÀÖ´Ù´Â »ç½ÇÀ» ÀÎÁöÇØ¾ß Çϸç, ¹Ýµå½Ã ÀÌ¿ë °¡´ÉÇÑ ÆÐÄ¡¸¦ Áï°¢ ¼³Ä¡ÇØ¾ß ÇÑ´Ù.
ÀÌ¿Í °ü·ÃÇØ µ¥ºñ¾È, ¿ìºÐÅõ, ·¹µåÇÞ, ¼¾Æ®OS, ³ëº§/¼ö¼¼¿Í °°Àº ¸®´ª½º °ø±Þ¾÷üµéÀº ÆÐÄ¡ Á¤º¸¿Í ÇÔ²² »õ·Î ¹ß°ßÇÑ Ãë¾àÁ¡¿¡ ´ëÇØ º¸¾È °æ°í¸¦ ¹ßÇ¥Çß´Ù. ¸¸¾à ƯÁ¤ ¸®´ª½º³ª À¯´Ð½º ¹èÆ÷ÆÇ¿¡ ´ëÇØ ÆÐÄ¡¸¦ ÀÌ¿ëÇÒ ¼ö ¾ø´Ù¸é, ÆÐÄ¡°¡ ¹èÆ÷µÉ ¶§±îÁö ´Ù¸¥ ¼Ð·Î ´ëüÇÏ´Â °ÍÀÌ ¹Ù¶÷Á÷ÇÏ´Ù.
½Ã¸¸ÅØÀÇ SSET(Symantec Security Expert Team)¸¦ ÃÑ°ýÇÏ´Â À±±¤Åà ÀÌ»ç´Â ¡°±â¾÷»Ó¸¸ ¾Æ´Ï¶ó °³ÀÎ »ç¿ëÀÚµµ ¹è½Ã ¹ö±× Ãë¾àÁ¡¿¡¼ ¾ÈÀüÇÏÁö ¾Ê´Ù. µû¶ó¼ ¸®´ª½º¿Í À¯´Ð½º OS ±â¹ÝÀÇ ÄÄÇ»ÅÍ´Â ¹°·Ð ±âŸ ´Ù¸¥ À¥ ±â±â¿¡ ´ëÇÑ ÆÐÄ¡°¡ ÀÖ´Ù¸é ¹Ýµå½Ã À̸¦ ¼³Ä¡ÇÏ´Â °ÍÀÌ ÇÊ¿äÇÏ´Ù. ½Ã¸¸ÅØÀº ¹è½Ã ¹ö±× Ãë¾àÁ¡À» Â÷´ÜÇϱâ À§ÇÑ Ä§ÀÔ ¹æÁö ½Ã±×´Ïó »ý¼ºÀ» ¿Ï·áÇßÀ¸¸ç, ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇØ Áö¼ÓÀûÀ¸·Î Á¶»çÇÏ°í ±× °á°ú¸¦ °øÀ¯ÇÒ °èȹ¡±À̶ó°í ¼³¸íÇß´Ù.
Á» ´õ ÀÚ¼¼ÇÑ »çÇ×Àº ½Ã¸¸ÅØ ºí·Î±×(http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-vulnerability) ¹× ºñµð¿À(https://www.youtube.com/watch?v=XIsUWwJaOeU&feature=youtu.be)¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
[±èÁö¾ð ±âÀÚ(boan4@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>