ÃÖ¾ÇÀÇ °ø°Ý ºÎ¹® ¼ö»óÀÚ´Â À̸§ ¸ð¸¦ ·¯½Ã¾ÆÀÇ ÇØÄ¿
[º¸¾È´º½º ¹®°¡¿ë] ¿µÈ »ê¾÷¿¡ ¾ÆÄ«µ¥¹Ì°¡ ÀÖ´Ù¸é Á¤º¸º¸¾È »ê¾÷¿¡´Â Æ÷´Ï ¾î¿öµå(PWNIE Awards)°¡ ÀÖ´Ù. 2016³âÀº ÀÌ Æ÷´Ï ¾î¿öµå¿¡°Ô ¸Å¿ì ƯÀÌÇÑ ÇØ·Î ±â·ÏµÉ Àü¸ÁÀÌ´Ù. ¸ÕÀú´Â ¿ÃÇØ°¡ 10ÁÖ³âÀ̱⠶§¹®ÀÌ°í, ¸Å³â °¡Àå Å« °ü½ÉÀ» ¸ðÀ¸´Â ¡®Ã³ÂüÇÑ ½ÇÆС¯ ºÎ¹®¿¡¼ ¿ÃÇظ¸ÅÀº ¼ö»óÀÚ°¡ ³ª¿ÀÁö ¾Ê¾Ò±â ¶§¹®ÀÌ´Ù. Áö³ ÇØ ¡®Ã³ÂüÇÑ ½ÇÆС¯ ¿ì½Â »ç°ÇÀÎ ¹Ì±¹ Àλç°ü¸®Ã³(OPM)ÀÇ ¾Æ¼ºÀ» ¹«³ÊÆ®¸®±â°¡ ½±Áö´Â ¾Ê¾Ò³ª º¸´Ù.
ÇÏÁö¸¸ ´Ù¸¥ ºÎ¹®¿¡¼ÀÇ ¿ì½ÂÀÚ ¼±Á¤Àº ²Ï³ª ±×·² µíÇÏ´Ù. ¾î¶² º¸¾È »ç°ÇµéÀÌ ¿ì¸®¸¦ ³î¶ó°Ô Çß´ÂÁö µé¿©´Ùº¸µµ·Ï ÇÏÀÚ.
1. ÃÖ°íÀÇ ¼¹ö »çÀÌµå ¹ö±×
°¡Àå ¹ßÀüµÇ¾ú°Å³ª Èï¹Ì·Î¿î ¼¹ö »çÀ̵å Ãë¾àÁ¡À» ²Å´Â »óÀÌ´Ù. »ç¿ëÀÚÀÇ Æ¯º°ÇÑ ÇൿÀÌ ¾ø¾îµµ ¿ø°Ý¿¡¼ Á¢±ÙÀ» Çã¿ëÇØÁÖ´Â Ãë¾àÁ¡À» °¡Áø ¼ÒÇÁÆ®¿þ¾î°¡ ÁÖ·Î ²ÅÈù´Ù. ¿ÃÇØÀÇ ¿ì½ÂÀÚ´Â ½Ã½ºÄÚ ASA IKEv1 / IKEv2 Fragmentation Heap ¹öÆÛ ¿À¹öÇ÷οì Ãë¾àÁ¡À¸·Î CVE-2016-1287ÀÌ´Ù.
ÀÌ°É ¹ß°ßÇØ °íÄ£ »ç¶÷µéÀº ¿¢¼Ò´õ½º ÀÎÅÚ¸®Àü½º(Exodus Intelligence)ÀÇ µ¥À̺ñµå ¹Ú½ºµ¥ÀÏ(David Barksdale), Á¶´ø ±×·ç½ºÄÚºê³Å(Jordan Gruskovnjak, ¾Ë·º½º Àª·¯(Alex Wheeler)´Ù.
2. ÃÖ°íÀÇ Å¬¶óÀ̾ðÆ® »çÀÌµå ¹ö±×
¿ÃÇØ °¡Àå Ä¡¸íÀûÀΠŬ¶óÀ̾ðÆ® »çÀ̵å Ãë¾àÁ¡Àº glibc getaddrinfo ½ºÅà ¹öÆÛ ¿À¹öÇ÷οì·Î CVE-2015-7547ÀÌ´Ù. Æ丣¹Î ¼¼¸£³ª(Fermin J. Serna)¶ó´Â Àü¹®°¡°¡ ¹ß°ßÇß´Ù. ±¸±ÛÀÇ ÇÑ ¿£Áö´Ï¾î°¡ ƯÁ¤ È£½ºÆ®·ÎÀÇ ¿¬°áÀ» ½ÃµµÇÒ ¶§ SSH°¡ segfault¸¦ ¹Ýº¹ÀûÀ¸·Î ÀÏÀ¸ÄѼ Á¶»çÇغ» °á°ú SSHÀÇ ¹ö±×°¡ ¾Æ´Ï¶ó ³»ºÎ È£½ºÆ® À̸§ÀÌ ³Ê¹« ±æ¾î¼ glbicÀÇ DNS ºÐ¼® ÄÚµå ¾È¿¡¼ ½ºÅà ¹öÆÛ ¿À¹öÇ÷ο찡 ¹ß»ýÇÏ´Â °ÍÀ̾ú´Ù.
3. ÃÖ°íÀÇ ±ÇÇÑ »ó½Â ¹ö±×
¿ÃÇØ ÀÌ »óÀº ±â¼úÀûÀ¸·Î °¡Àå ¹ßÀüµÈ ¸ð½ÀÀ» ¼±º¸ÀÎ ±ÇÇÑ »ó½Â ¹ö±×´Â CVE-2015-6639·Î Widevine QSEE Trustzone ±ÇÇÑ »ó½Â Ãë¾àÁ¡À¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ÀÌ Ãë¾àÁ¡À» ¿¬±¸ÇÏ°í ¹ß°ßÇÑ »ç¶÷Àº ¾ÆÁ÷ º»¸íµµ ¾Ë·ÁÁ® ÀÖÁö ¾ÊÀº °ÍÀÌ Æ¯ÀÌÇÏ´Ù. ¿ÏÀü ±ÇÇÑ 0¿¡¼ ½ÃÀÛÇÏ¿© °ü¸®ÀÚ ¸ðµå·Î±îÁö µé¾î°¡´Â ¹æ¹ýÀ» ¹®¼È ÇÏ¿© Á¦°øÇß´Ù. Æ÷´Ï ¾î¿öµå ÁÖÃÖ ÃøÀº ¡®¿À·£¸¸¿¡ ÁøÂ¥ Àç¹ÌÀÖ´Â ÀÛ¾÷¹°À» ¹ß°ßÇß´Ù¡¯°í ¹àÇû´Ù.
4. ÃÖ°íÀÇ Å©·¦Åä±×·¡ÇÇ °ø°Ý
¿ÃÇØ ½Å¼³µÈ ºÎ¹®À¸·Î °¡Àå ¿ªµ¿ÀûÀÎ Å©¸³Åä±×·¡ÇÇ °ü·Ã °ø°Ý¿¡ »ç¿ëµÈ, ±×°Íµµ ½ÇÁ¦ Çö½Ç ¼¼°è¿¡¼ »ç°ÇÈ µÈ Ãë¾àÁ¡À» »Ì¾Ò´Ù. ¹Ù·Î CVE-2016-0800, SSLv2 Å©·¦Åä±×·¡ÇÇ °ø°ÝÀ¸·Î ÀÏ¸í µå¶ó¿î(DROWN)À̶ó°í ºÒ¸°´Ù. ÀÌ Ãë¾àÁ¡ ¿¬±¸ ¹× ºÐ¼®¿¡ ¸¹Àº À̵éÀÌ Âü¿©Çß°í, ½Ã»ó½Ä¿¡¼ ¾ð±ÞµÈ Àι°¸¸ 15¸íÀÌ´Ù. µå¶ó¿îÀº Decrypting RSA with Obsolete and Weakened EncryptionÀÇ Áظ»·Î, À§ 15¸íÀÇ Àü¹®°¡µéÀº ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ ºÐ¼®°ú ÇØ°áÃ¥À» °ø½Ä ³í¹®À¸·Î ¹ßÁ¦ÇÑ ¹Ù ÀÖ´Ù.
5. ÃÖ°íÀÇ ¹éµµ¾î
¿ª½Ã ¿ÃÇØ ½Å¼³µÈ ºÎ¹®À¸·Î °¡Àå Èï¹Ì·Ó°í ¿µÇâ·ÂÀÌ Å« ¹éµµ¾î¸¦ °³¹ßÇϰųª ¹ß°ßÇÑ »ç¶÷¿¡°Ô »óÀ» ¼ö¿©ÇÑ´Ù. ¿µ±¤ÀÇ Ãë¾àÁ¡Àº ÁÖ´ÏÆÛ ½ºÅ©¸° OS(Juniper Screen OS)·Î CVE-2015-7755¿Í CVE-2015-7756ÀÌ´Ù. Æ÷´Ï ÃøÀº ¡°2015³â ÈĹݿ¡ °©ÀÚ±â ÁÖ´ÏÆÛ°¡ ÀڽŵéÀÇ ³Ý½ºÅ©¸°(Netscreen) OS¿¡¼ ½ÂÀεÇÁö ¾ÊÀº Äڵ尡 ¸î ³â °£ µ¹¾Æ´Ù´Ï°í ÀÖ¾ú´Ù´Â »ç½ÇÀ» ¹ß°ßÇß´Ù°í ¾Ë·Á¿ÔÀ¸³ª ¾ÆÁ÷µµ Å©°Ô µå·¯³ »ç½ÇÀÌ ¾ø´Ù¡±¸ç ¡°ÇÏÁö¸¸ ÇØ´ç ÄÚµå´Â Áß±¹ÀÇ ´©±º°¡°¡ ÁÖ´ÏÆÛ ¹æȺ®¿¡ ºÒ¹ý Á¢±ÙÇϱâ À§Çؼ »ç¿ëÇÑ °ÍÀ¸·Î º¸Àδ١±¸ç Áß±¹ÀÌ ¼ö»óÀÚÀÎ °Íó·³ ¹ßÇ¥Çß´Ù.
6. ÃÖ°íÀÇ °øÆ÷À¯¹ßÀÚ
¿ª½Ã ¿ÃÇØ ½Å¼³µÈ ºÎ¹®À¸·Î Àü¹®°¡³ª È«º¸ ÆÀ, ȤÀº ±âÀÚµé Áß º¸¾È »ç°Ç¿¡ ´ëÇÏ¿© °¡Àå Å« °øÆ÷¸¦ Á¶ÀåÇÑ ÀÚ ¹× ÇØ´ç »ç°Ç¿¡ »óÀ» ¼ö¿©ÇÑ´Ù. ¿ª»ç»ó ÃÖÃÊÀÇ °øÆ÷À¯¹ßÀÚ »óÀº ÀÚµ¿Â÷ ÇØÅ· ¿¬±¸°¡·Î ¾Ë·ÁÁø Âû¸® ¹Ð·¯(Charlie Miller)¿Í Å©¸®½º ¹ß¶ó¼½(Chris Valasek)ÀÌ Â÷ÁöÇß´Ù. ÁöÇÁ Â÷·®À» °í¼Óµµ·Î¿¡¼ ¿ø°ÝÀ¸·Î Á¶Á¤ÇÒ ¼ö ÀÖ´Ù´Â ¿¬±¸ °á°ú¿Í °ü·ÃµÈ °ÍÀ̾ú´Ù.
ÀÌ ¿¬±¸ ¶§¹®¿¡ Å©¶óÀ̽½·¯°¡ 1¹é 4½Ê¸¸ ´ëÀÇ Â÷·®À» ¸®ÄÝÇÑ ¹Ù ÀÖ´Ù. ¶ÇÇÑ ¼ÒÇÁÆ®¿þ¾î°¡ ÀåÂøµÈ ½º¸¶Æ®Ä«°¡ ¾ó¸¶³ª À§ÇèÇÑÁö °æ°¢½ÉÀ» ½É¾îÁÖ¾ú´Ù. ÀÌ ¶§ºÎÅÍ ½º¸¶Æ®Ä« ÇØÅ·¿¡ ´ëÇÑ ¿¬±¸°¡ ÀÚµ¿Â÷ Á¦Á¶¾÷ÀÚµé »çÀÌ¿¡¼ º»°ÝÀûÀ¸·Î ½ÃÀ۵Ǿú´Ù°í ºÁµµ ¹«¹æÇÒ Á¤µµ´Ù.
7. ÃÖ°íÀÇ ºê·£µù
Ãë¾àÁ¡ ¹× Á¦Ç°À» °¡Àå ¿Á¤ÀûÀ¸·Î È«º¸ÇÑ »ç¶÷, ¾÷ü, Á¦Ç°, Ãë¾àÁ¡¿¡ ¼ö¿©µÇ´Â »óÀ¸·Î ¿ÃÇØ´Â ¸¶¿ì½ºÀè ¹«¼± Å°½ºÆ®·ÎÅ© ÀÎÁ§¼Ç ¹ö±×°¡ »ÌÇû´Ù. ¡°¹Ù½ºÆ¿(Bastile)ÀÇ À§Çù ¿¬±¸ ÆÀ(Threat Research Team)ÀÌ ¹ß°ßÇÑ °ÍÀ¸·Î ´ÜÁö ÀÌ·± °Ô ÀÖ´Ù°í ÇÑ ¹ø ¾Ë¸° °Ô ¾Æ´Ï¶ó ÀͽºÇ÷ÎÀÕ ¹æ¹ýÀÌ ³ª¿Â µ¿¿µ»óµµ ¸¸µé°í ²ÙÁØÈ÷ ´Ù¾çÇÑ ¸Åü¿¡ ±â°í È°µ¿µµ ¹ú¿´´Ù¡±°í Æ÷´Ï ÃøÀº ¼±Á¤ ÀÌÀ¯¸¦ ¹àÇû´Ù.
8. ÃÖ°íÀÇ Çõ½Å
°¡Àå Çõ½ÅÀûÀÎ º¸¾È ¿¬±¸¸¦ ÁøÇàÇß´Ù°í °áÁ¤µÈ °Ç ¿¡¸¯ º¸½º¸¸(Erik Bosman), Ä«º£ ¶óÀÚºñ(Kaveh Razavi), Çã¹öÆ® º¸½º(Herbert Bos), Å©¸®½ºÆ¼¾Æ³ë ±¸ÀÌÇÁ¸®´Ù(Cristiano Guiffrida)´Ù. À̵éÀº ¡®°í±Þ ÀͽºÇ÷ÎÀÕ ¹æ¹ýÀ¸·Î¼ÀÇ ¸Þ¸ð¸® º¹Á¦¡¯¶ó´Â ¹æ¹ýÀ» ¿¬±¸ÇÏ°í IEEE¸¦ ÅëÇØ ¹ßÇ¥Çß´Ù. ¸Þ¸ð¸® ¼Ó µ¥ÀÌÅ͸¦ ÀçÈ°¿ëÇÔÀ¸·Î½á ¹Î°¨ÇÑ Á¤º¸¸¦ ¹ÙÀÌÆ® ´ÜÀ§·Î À¯Ãâ½ÃÅ°´Â ¹æ¹ýÀÌ ÀÚ¼¼È÷ °ø°³µÇ¾úÀ¸¸ç, ÀÌ ¿¬±¸´Â ÀÌÀü¿¡ ¾Æ¹«µµ »ý°¢Áöµµ ¸øÇÑ »õ·Î¿î ºÐ¾ß¸¦ °³Ã´Çß´Ù´Â ÆòÀ» ¹Þ°í ÀÖ´Ù.
9. °¡Àå Àú±ÞÇÑ ´ëÀÀ
º¸¾È ¹®Á¦¸¦ °Þ°Å³ª ƯÁ¤ »ç°Ç°ú ¿¬·çµÈ º¸¾È ¾÷ü°¡ °í°´µé ȤÀº ¸Åü¿¡ ³»³õÀº ÀÀ´ä Áß °¡Àå ÀúÁúÀÎ °ÍÀ» ²Å´Â »óÀÌ´Ù. ¿ÃÇØ´Â ¿þ½ºÅÏ µðÁöÅÐ(Western Digital)À̶õ ¾÷üÀÇ ¡°°è¼Ó Áֽà Áß¿¡ ÀÖ½À´Ï´Ù¡±°¡ »ÌÇû´Ù. ¿þ½ºÅÏ µðÁöÅÐÀÇ Çϵåµå¶óÀÌºê ¾ÏÈ£È ±â¼ú¿¡¼ ½É°¢ÇÑ ¿À·ù°¡ ¹ß»ýÇߴµ¥, ÀÌ È¸»ç°¡ ÇÑ ¸»Àº Á¤¸»·Î ÀÌ°Ô ´Ù¿´´Ù. ÇȽº¸¦ ¹ßÇ¥Çϰڴٰųª °íÃijõ°Ú´Ù´Â ´ÙÁüµµ ¾øÀÌ, ±×³É ÁöÄѺ¸°í ÀÖ´Ù´Â °Ç ¹«½¼ ½Éº¸¿´À»±î?
10. °¡Àå °ú´ë ¼±ÀüµÈ ¹ö±×
Ãë¾àÁ¡ Çϳª·Î °¡Àå Å« ÆÄÀåÀ» ÀÏÀ¸Å² »ç¶÷ ¹× ÇØ´ç Ãë¾àÁ¡¿¡ ¼ö¿©µÇ´Â »óÀ¸·Î ¿ÃÇØ´Â CVE-2016-0128 ³Ñ¹ö¸µÀÌ ºÙÀº ¹èµå·Ï(Badlock) Ãë¾àÁ¡°ú ½ºÆ¼ºì ¸ÞÃ÷¸¶Çã(Stefan Metzmacher)°¡ »ÌÇû´Ù. ¡°°á±¹¿£ DoS °ø°Ý°ú °ü·ÃµÈ ¹ö±× Çϳª¿´À» »ÓÀε¥ ½ºÆ¼ºìÀº Æ®À§ÅÍ¿Í ¹Ìµð¾î¸¦ ÅëÇØ °è¼ÓÇؼ À̸¦ ¾ð±ÞÇßÀ» »Ó ¾Æ´Ï¶ó Ä«¿îÆ®´Ù¿î ŸÀ̸Ó, ·Î°í, À¥ »çÀÌÆ®±îÁö ¸¸µå´Â ³ë·ÂÀ» ¼±º¸¿´½À´Ï´Ù. ÁöÄѺ¸±â ¹Î¸ÁÇßÀ» Á¤µµÀÔ´Ï´Ù.¡±
11. °ø·Î»ó
Àå½Ã°£ ¶Ù¾î³ ±â¼ú°ú ³ëÇÏ¿ì·Î °¡Àå Å©°í Æø³ÐÀº ¿µÇâ·ÂÀ» ³¢Ä£ Àι°À» ¼±Á¤ÇÏ´Â »óÀ¸·Î ¿ÃÇØ´Â DARPAÀÇ ÇÇÅÍ ÀãÄÚ(Peiter C. Zatko)°¡ »ÌÇû´Ù.
12. ÃÖ¾ÇÀÇ °ø°Ý
ÁÖ´ÏÆÛ(Juniper) ¹éµµ¾î¸¦ È°¿ëÇÑ °ø°ÝÀÚµéÀÌ »ÌÇû´Ù. À̵éÀº ¾Æ¸¶µµ ·¯½Ã¾Æ ÇØÄ¿µé·Î º¸À̴µ¥, ÀÌ¹Ì ÁÖ´ÏÆÛ ¹éµµ¾îÀÇ Á¸À縦 ¾Ë°í ÀÖ¾ú°í, ÀÌ ¹éµµ¾î¸¦ ¹éµµ¾îÇÏ´Â ±â¹ßÇÑ ¹æ¹ýÀ¸·Î ÁÖ´ÏÆÛ¸¦ µÎ ¹ø ³ó¶ôÇßÀ» »Ó ¾Æ´Ï¶ó ¡®¶Ù´Â »ç¶÷ À§¿¡ ³ª´Â »ç¶÷ ÀÖ´Ù¡¯´Â °É ¸ö¼Ò º¸¿©ÁÖ¾ú´Ù. Á¤Ã¼¸¦ ¸ð¸£¹Ç·Î »óÇ°Àº ¾ø´Ù°í ÇÑ´Ù.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>