Ãë¾àÁ¡ ¹ß°ßÀÇ 1µî °ø½Å ÇÁ·ÎÁ§Æ® Á¦·Î ÆÀ, Çѱ¹ÀÎ ÀÌÁ¤ÈÆÀÇ È°µ¿µµ È°¹ß
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ±¸±Û ÇÁ·ÎÁ§Æ® Á¦·Î ÆÀÀÇ Å¸ºñ½º ¿À¸£¸¸µð(Tavis Ormandy)´Â Æ®·£½º¹Ì¼Ç ºñÆ®Å䷻Ʈ(Transmission BitTorrent) Ŭ¶óÀ̾ðÆ®¿¡¼ ¿ø°Ý ÄÚµå ½ÇÇàÀ» °¡´ÉÄÉ ÇØÁÖ´Â Ä¡¸íÀûÀÎ Ãë¾àÁ¡À» ¹ß°ßÇß´Ù.
[À̹ÌÁö=iclickart]
Æ®·£½º¹Ì¼ÇÀº ÀαⰡ ¸¹Àº ¿ÀǼҽº ºñÆ®Å䷻Ʈ Ŭ¶óÀ̾ðÆ®·Î À©µµ¿ì, ¸Æ, ¸®´ª½º¿¡¼ »ç¿ëÀÌ °¡´ÉÇÏ´Ù. ¿À¸£¸¸µð´Â ÃÖ±Ù ÀÌ·¯ÇÑ Å䷻Ʈ Ŭ¶óÀ̾ðÆ®¸¦ ¿©·¯ °³ ºÐ¼®Çß°í, ÀÌ Áß Æ®·£½º¹Ì¼Ç¿¡¼ ½É°¢ÇÑ Ãë¾àÁ¡À» ¹ß°ßÇß´Ù°í ¹àÇû´Ù. ¡°°ø°ÝÀÚ°¡ Æ®·£½º¹Ì¼ÇÀ» ÅëÇØ »ç¿ëÀÚ ½Ã½ºÅÛ¿¡ ħÅõÇØ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ½À´Ï´Ù.¡±
´Ü, °ø°ÝÀÌ ¼º¸³ÇÏ·Á¸é °ø°Ý ´ë»óÀÌ µÇ´Â Àι°ÀÌ Æ¯º°È÷ Á¶ÀÛÇÑ À¥»çÀÌÆ®¿¡ Á¢¼ÓÀ» Çؾ߸¸ ÇÑ´Ù. ¡°Æ®·£½º¹Ì¼ÇÀº ¡®Å¬¶óÀ̾ðÆ®-¼¹ö¡¯ÀÇ ±¸Á¶¸¦ °¡Áö°í ÀÖ½À´Ï´Ù. »ç¿ëÀÚ ÀÎÅÍÆäÀ̽º°¡ Ŭ¶óÀ̾ðÆ®À̸ç, »ç¿ëÀÚ°¡ º¸Áö ¸øÇÏ´Â ¹è°æ¿¡¼ µ¥¸ó(daemon)ÀÌ ´Ù¿î·Îµå¿Í ½Ãµå ÆÄÀÏ µîÀ» °ü¸®ÇÏ´Â ±â´ÉÀ» °¡Áö°í ÀÖÁÒ.¡±
±× ÀÎÅÍÆäÀ̽º¿Í µ¥¸óÀº ¼¹ö¿ÍÀÇ Åë½ÅÀ» À§ÇØ JSON RPC ¿äûÀ» º¸³½´Ù. ÀÌ ¶§ »ç¿ëµÇ´Â Æ÷Æ®´Â 9091¹øÀ̸ç, ¡°µðÆúÆ®»ó µ¥¸óÀº ·ÎÄÃÈ£½ºÆ®(localhost)¿¡¼ ¿Â ¿äû¸¸À» ¼ö¶ôÇϵµ·Ï µÇ¾î ÀÖ´Ù.¡± ÇÏÁö¸¸ ÀÌ ¶§ DNS ¸®¹ÙÀεù(DNS rebinding)À̶ó´Â °ø°Ý ±â¹ýÀ» È°¿ëÇÏ¸é ·ÎÄÃÈ£½ºÆ®¸¦ È®ÀÎÇÏ´Â °úÁ¤ ÀÚü¸¦ ¿ìȸÇÒ ¼ö ÀÖ°Ô µÈ´Ù°í ¿À¸£¸¸µð´Â ¼³¸íÇÑ´Ù.
´ÙÀ½°ú °°Àº ½Ã³ª¸®¿À·Î ¾Ç¿ëÀÌ °¡´ÉÇÏ´Ù.
1) À¥»çÀÌÆ®¸¦ Çϳª ¸¸µé°í ±× »çÀÌÆ®ÀÇ ¼ºêµµ¸ÞÀÎÀ¸·Î °¡´Â ¾ÆÀÌÇÁ·¹ÀÓÀ» Ãß°¡ÇÑ´Ù.
2) DNS ¼¹ö¸¦ ¼³Á¤ÇØ °ø°ÝÀÚ°¡ ÅëÁ¦ÇÏ´Â ÁÖ¼Ò¿Í ·ÎÄÃÈ£½ºÆ®(127.0.0.1)¿¡¼ ÅëÁ¦µÇ´Â ÁÖ¼Ò°¡ ¹ø°¥¾Æ ÀÀ´äµÇµµ·Ï ¸¸µç´Ù.
3) ÀÌ ¶§ TTL ½Ã°£À» ÃÖ´ëÇÑ ÁÙÀδÙ.
ÀÌ À¥»çÀÌÆ®¿¡ ´©±º°¡ Á¢¼ÓÇϸé, ºê¶ó¿ìÀú°¡ °ø°ÝÀÚ ÅëÁ¦ ÇÏ¿¡ ÀÖ´Â DNS ¼¹ö·Î Á¢¼ÓÇÑ µÚ ´Ù½Ã ·ÎÄÃÈ£½ºÆ®·Î ¿Å°Ü°¡°Ô µÈ´Ù.
¡°ÀͽºÇ÷ÎÀÕ ÀÚü´Â °£´ÜÇÕ´Ï´Ù.¡± ¿À¸£¸¸µð Àڽŵµ °³³äÁõ¸í¿ë ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇß´Ù. ¡°À©µµ¿ì¿Í ¸®´ª½º ȯ°æ¿¡¼ Å©·Ò°ú ÆÄÀ̾îÆø½º·Î ½ÇÇèÇß°í, ´Ù ¼º°øÇß½À´Ï´Ù.¡± ÀÌ Ãë¾àÁ¡Àº CVE-2018-5702·Î ºÐ·ùµÇ¾úÀ¸¸ç 11¿ù 30ÀÏ Æ®·£½º¹Ì¼Ç °³¹ßÀڵ鿡°Ô Àü´ÞµÆ´Ù. ÇÏÁö¸¸ ¾ÆÁ÷ °ø½Ä ÆÐÄ¡´Â ¹ßÇ¥µÇÁö ¾ÊÀº »óȲÀÌ´Ù.
ÀÌ¿¡ ¿À¸£¸¸µð´Â Áö³ ÁÖ °³¹ßÀڵ鿡°Ô ´Ù½Ã ¿¬¶ôÀ» ÃëÇØ ±êÇãºê¸¦ ÅëÇØ ÆÐÄ¡¸¦ °ø½Ä ¹ßÇ¥ÇÏ°Ú´Ù´Â ´äÀ» ¹Þ¾Æ³Â´Ù. ¹°·Ð Á¤È®ÇÑ ³¯Â¥±îÁö´Â ¾ÆÁ÷ ³ª¿ÀÁö ¾Ê¾Ò´Ù. ¸ÆOS¿Í ¸®´ª½º ¹öÀüÀÇ °æ¿ì ¿ø°Ý Á¢±ÙÀÌ °¡´ÉÇÑ »óÅ¿©¾ß¸¸ ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÏ´Ù°í ÇÑ´Ù. ±×¸®°í ¿ø°Ý Á¢±ÙÀº µðÆúÆ®»ó ±ÝÁöµÇ¾î ÀÖ´Ù.
ÇÑÆí ±¸±ÛÀÇ ¶Ç ´Ù¸¥ Àü¹®°¡ÀÎ ¼¼¹Ù½ºÃµ ·¹Å°Áî(Sebastian Lekies) ¿ª½Ã ÀÌ ¹®Á¦¸¦ ¹ß°ßÇØ Æ®·£½º¹Ì¼Ç ÆÀ¿¡ º°µµ·Î º¸°íÇß´Ù°í ¹àÇû´Ù. ±×°Íµµ ½ÉÁö¾î 5³â Àü¿¡ ¸»ÀÌ´Ù. ÇÏÁö¸¸ ¾Æ¹«·± ´äÀåµµ ¾ø¾ú´Ù°í ÇÑ´Ù. 2016³â¿¡´Â Æ®·£½º¹Ì¼Ç À¥»çÀÌÆ®°¡ ¶Õ·Á ¾Ç¼º ¼³Ä¡ÆÄÀÏÀÌ ½É°ÜÁö±âµµ Çß´Ù.
±¸±Û ÇÁ·ÎÁ§Æ® Á¦·Î ÆÀ
Ÿºñ½º ¿À¸£¸¸µð°¡ ¼ÓÇÑ ±¸±Û ÇÁ·ÎÁ§Æ® Á¦·Î ÆÀÀº ´Ù¾çÇÑ Ãë¾àÁ¡À» ã¾Æ³»´Â Áý´ÜÀ¸·Î À¯¸íÇÏ´Ù. À̹ø¿¡ ã¾Æ³½ Å䷻Ʈ Ŭ¶óÀ̾ðÆ® ¿Ü¿¡ ÀÌ¹Ì ¿ÃÇØ 1¿ù¿¡¸¸ ÀÎÅÚ, ARM, AMD ÇÁ·Î¼¼¼¿¡¼ ¸áÆ®´Ù¿î(Meltdown)°ú ½ºÆåÅÍ(Spectre) Ãë¾àÁ¡À» ã¾Æ³» ¼¼»óÀ» ¶°µé½âÇÏ°Ô ÇÑ ¹Ù ÀÖ´Ù. ¶ÇÇÑ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®°¡ °ø°³ÇÑ 1¿ù Ãë¾àÁ¡ °ø°³ ³»¿ëÀ» º¸¸é »ó´ç¼öÀÇ Ãë¾àÁ¡ Á¦º¸ÀÚ°¡ ±¸±Û ÇÁ·ÎÁ§Æ® ÆÀÀ¸·Î Ç¥±âµÇ¾î Àֱ⵵ ÇÏ´Ù.
¿©±â¼ ´«¿¡ ¶ç´Â °Ç Lokihardt¶ó´Â ´Ð³×ÀÓÀÌ´Ù. ¿¹¸¦ µé¾î CVE-2018-0776ÀÇ Á¦º¸ÀÚ´Â ¡°Lokihardt of Google Project Zero¡±¶ó°í Ç¥±âµÇ¾î Àִµ¥, ÀÌ´Â ¿Ü½Å µî¿¡¼µµ ¡®¼¼°è ÃÖ°íÀÇ ÇØÄ¿¡¯¶ó´Â ¼ö½Ä¾î¸¦ ºÙ¿©ÁÖ´Â ÀÌÁ¤ÈÆ ¾¾ÀÇ °ÍÀÌ´Ù.
º¸¾È Ä¿¹Â´ÏƼ ³»¿¡¼´Â À¯¸í Àλç¶ó°í ÇÒ ¼ö ÀÖ´Â ÇØÄ¿µéÀÌ ±× µ¿¾È ±¸±Û ÇÁ·ÎÁ§Æ® ÆÀ¿¡ ´Ù¼ö ÇÕ·ùÇ߰ųª °ÅÃÄ °¬´Ù. Áö±ÝÀº ±¸±Û ÇÁ·ÎÁ§Æ® Á¦·Î ÆÀÀÇ »ó¡°úµµ °°Àº Ÿºñ½º ¿À¸£¸¸µðµµ ÀÌÀüºÎÅÍ À¯¸íÇÑ ÇØÄ¿¿´°í, ¾ÆÀÌÆù Å»¿ÁÀ¸·Î À¯¸íÇÑ Á¶Áö È£Ã÷(George Hotz) ȤÀº Áö¿ÀÇÖ(GeoHot)µµ ±¸±Û ÇÁ·ÎÁ§Æ® Á¦·Î ÆÀ¿¡ 2014³â ÇÕ·ùÇß´Ù. ÀÌ ÆÀÀ» À̲ø´ø Å©¸®½º ¿¡¹Ý½º(Chris Evans)µµ µÎ°¢À» ³ªÅ¸³»´Â Àι°À̾úÀ¸³ª 2015³â Å×½½¶ó·Î ¿µÀԵƴÙ. ÀÌ °¡¿îµ¥ 2012³âºÎÅÍ ¼¼°èÀÇ ÇØÅ· ´ëȸ¸¦ ÈÛ¾´ ÀÌÁ¤ÈÆ ¾¾°¡ ¼Ò¸® ¼Ò¹® ¾øÀÌ ¼ÒÇÁÆ®¿þ¾î¸¦ ÆÄÇìÄ¡°í ÀÖ´Â °ÍÀÌ´Ù.
¿ÍÀ̾îµåÁö´Â ÀÌ ÆÀÀ» ¡®±¸±ÛÀÇ ºñ¹Ð º´±â¡¯¶ó°í ºÎ¸£±âµµ ÇÏ°í, Æ÷ÃáÁö´Â ¡®ÇØÄ¿µéÀÇ µå¸²ÆÀ¡¯À̶ó°í ĪÇϱ⵵ Çϴµ¥, º¸¾È Àü¹®°¡µé »çÀÌ¿¡¼´Â ¶Ù¾î³ ±â¼ú·ÂÀ» ¶æÇÏ´Â ¡®¿Ü°èÀÎ Áý´Ü¡¯À̶ó´Â º°¸íµµ °¡Áö°í ÀÖ´Ù. ¸áÆ®´Ù¿î°ú ½ºÆåÅÍ »çÅ ÀÌÀü¿£ ÀÎÅÚÀÌ ¡®¿Ü°èÀÎÀ» °¨±ÝÇÏ°í ÀÖ´Ù¡¯´Â ¿ì½º°¹¼Ò¸®°¡ IT ¾÷°è ³» ÆÄ´ÙÇß¾ú´Ù.
ÇÏÁö¸¸ ±¸±Û ÇÁ·ÎÁ§Æ® Á¦·Î ÆÀÀÌ Äª¼Û¸¸ ¹Þ´Â °Ç ¾Æ´Ï´Ù. Ãë¾àÁ¡À» ¹ß°ßÇÏ°í ¼ÒÇÁÆ®¿þ¾î ¾÷ü¿¡ ¾Ë¸®´Â °Í±îÁø ÁÁÀºµ¥, 90ÀÏÀÇ ±âÇÑÀ» ³Ñ±â¸é ÆÐÄ¡°¡ ³ª¿Àµç ¸»µç ´ëÁß¿¡°Ô °ø°³ÇÏ´Â ¿øÄ¢À» °í¼öÇÏ°í Àֱ⠶§¹®ÀÌ´Ù. ±¸±Û ÃøÀº ¡°90ÀÏÀ̸é ÆÐÄ¡ °³¹ßÀÌ ÃæºÐÇÑ ±â°£¡±À̶ó°í ÁÖÀåÇÏÁö¸¸ ¹Ý´ë·Î ¡°»óȲ¿¡ µû¶ó ¾ó¸¶µçÁö ªÀº ½ÃÀÏÀÌ µÉ ¼ö ÀÖ´Ù¡±´Â ÁÖÀåµµ °Å¼¼´Ù.
¹«¾ùº¸´Ù ÆÐÄ¡°¡ ³ª¿ÀÁö ¾ÊÀº »óÅ¿¡¼ Ãë¾àÁ¡ºÎÅÍ ¾Ë¸®¸é ºÒÇÊ¿äÇÑ ÇÇÇØÀÚ°¡ »ý±æ °¡´É¼ºÀÌ ³ô¾ÆÁø´Ù´Â °Ô ±¸±ÛÀÇ ¡®90ÀÏ Á¤Ã¥¡¯À» ¹Ý´ëÇÏ´Â »ç¶÷µéÀÌ ³»¼¼¿ì´Â ÀÌÀ¯´Ù. ±×·¯³ª ±¸±ÛÀº ÇöÀç±îÁöµµ 90ÀÏ Á¤Ã¥À» ÁöÅ°°í ÀÖ°í, ÀÌ´Â ¼¼È÷ ¾÷°è ³» ¡®Ç¥ÁØ¡¯Ã³·³ ±»¾îÁ®°¡°í ÀÖ´Ù.
¶Ç ±¸±ÛÀÇ °¢Á¾ ¼ºñ½º³ª ¾Èµå·ÎÀ̵忡¼µµ Ãë¾àÁ¡ÀÌ ÀûÀÝÀÌ ¹ß°ßµÇ°í ÀÖ´Â °¡¿îµ¥ ¡®¿Ö ÀÚ±â ȸ»çÀÇ °áÇÔÀº ´« °¨¾Æ ÁÖ°í ´Ù¸¥ ȸ»ç ¼ºñ½º¿Í Á¦Ç°¸¸ µÚÁ®¼ Ãë¾àÁ¡À» ã´À³Ä¡¯´Â ºñÆǵµ ÀÖ´Ù. Ãë¾àÁ¡ Á¤º¸¸¦ ½×¾ÆµÎ°í ºñ¹Ð¸®¿¡ °£Á÷ÇÏ°í Àְųª Á¤ºÎ¿Í ¹°¹Ø °Å·¡¸¦ ÇÏ°í ÀÖ´Â °Ç ¾Æ´Ñ°¡ ÇÏ´Â ÀǽÉÀÇ ½Ã¼±µµ Á¸ÀçÇÑ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>