¾îµµºñ´Â °ø°Ý °¡´É¼º ³·´Ù°í ÆÇ´ÜÇØ¡¦ÇÏÁö¸¸ ¾ó¸¶ Àü ºñ½ÁÇÑ ¿¹»ó Ʋ¸° Àû ÀÖ¾î
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾îµµºñ(Adobe)°¡ À̹ø ´Þ ÆÐÄ¡ Æ©Áîµ¥À̸¦ ÅëÇØ Ç÷¡½Ã Ç÷¹À̾î(Flash Player), ¾ÆÅ©·Î¹î ¸®´õ(Acrobat Reader), Æ÷Åä¼¥ CC(Photoshop CC)ÀÇ ÃֽŠ¹öÀüÀ» ¹ßÇ¥Çß´Ù. Ãë¾àÁ¡Àº °¢ Á¦Ç°¿¡ Çϳª¾¿, ÃÑ ¼¼ °³¿´´Ù.
[À̹ÌÁö = iclickart]
ÀÌÁß Èï¹Ì·Î¿î °ÍÀº À©µµ¿ì¿ë ¾ÆÅ©·Î¹î ¸®´õ¿¡¼ ³ª¿Â Ãë¾àÁ¡¿¡ ´ëÇÑ ¾÷µ¥ÀÌÆ®´Ù. ¿Ö³ÄÇϸé ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ °³³äÁõ¸í Äڵ尡 ÀÌ¹Ì ´ëÁß¿¡°Ô °ø°³µÈ »óÅÂÀ̱⠶§¹®ÀÌ´Ù. ÀÌ´Â Á¤º¸¸¦ À¯Ãâ½ÃÅ°´Â Ãë¾àÁ¡ÀÎ CVE-2018-15979·Î, »ç¿ëÀÚÀÇ Çؽà ó¸®µÈ NTLM ºñ¹Ð¹øÈ£°¡ ¹ÛÀ¸·Î »õ³ª°¡°Ô ÇÏ´Â °ÍÀÌ ÁÖ¿ä Ư¡ÀÌ´Ù.
¾îµµºñ¿¡ ÀÇÇϸé ÀÌ Ãë¾àÁ¡Àº ¹«·á ÀͽºÇ÷ÎÀÕ Å½Áö ¼ºñ½ºÀÎ ¿§Áö½ºÆý(EdgeSpot)ÀÌ ¹ß°ßÇÑ °ÍÀ¸·Î, À§Ç輺¿¡¼ ¡°Á߿䡱 µî±ÞÀ» ¹Þ¾Ò´Ù. ¶ÇÇÑ ¿ì¼±¼øÀ§ µî±Þ¿¡¼ 1À» ¹Þ¾Ò´Âµ¥, ÀÌ´Â ½ÇÁ¦ ÀͽºÇ÷ÎÀÕ µÉ °¡´É¼ºÀÌ ²Ï³ª ³ô´Ù´Â ¶æÀÌ´Ù.
»ç½Ç NTLM Å©¸®µ§¼ÈÀ» À¯Ãâ½ÃÅ°´Â Ãë¾àÁ¡ÀÌ ¾ÆÅ©·Î¹î¿¡¼ ³ª¿Â °Ç À̹øÀÌ Ã³À½ÀÌ ¾Æ´Ï´Ù. ¿ÃÇØ 4¿ù, º¸¾È ¾÷ü üũÆ÷ÀÎÆ®(Check Point)°¡ ºñ½ÁÇÑ Ãë¾àÁ¡À» ¹ß°ßÇÑ ¹Ù ÀÖ´Ù. CVE-2018-4993À¸·Î, ¾Ç¼º ÄÜÅÙÃ÷¸¦ PDF¿¡ ÁÖÀÔÇÔÀ¸·Î½á ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇß´Ù. NTLM Çؽð¡ ÀÚµ¿À¸·Î À¯ÃâµÇ´Â °É °¡´ÉÇÏ°Ô ÇØÁÖ´Â Ãë¾àÁ¡À̾ú´Ù. ´ç½Ã ¾îµµºñ´Â ÆÐÄ¡¸¦ °³¹ßÇÏÁö ¾Ê°Ú´Ù°í ÇßÀ¸³ª, ¸¶À½À» ¹Ù²ã ÇȽº¸¦ °ø°³Çß´Ù.
¿¡Áö½ºÆýÀº ÀÌ µÎ °¡Áö Ãë¾àÁ¡(4¿ù¿¡ ¹ß°ßµÈ Ãë¾àÁ¡°ú À̹ø¿¡ ÆÐÄ¡µÈ Ãë¾àÁ¡) »çÀÌ¿¡ ¿¬°ü¼ºÀÌ ÀÖ´Ù°í ¼³¸íÇÑ´Ù. ¡°»õ·Î¿î Ãë¾àÁ¡ÀÎ CVE-2018-15979´Â Áö³ ¹ø üũÆ÷ÀÎÆ®°¡ ¹ß°ßÇÑ CVE-2018-4993ÀÌ ¿ÏÀüÇÏ°Ô ÆÐÄ¡µÇÁö ¾Ê¾Æ »ý±ä Ãë¾àÁ¡ÀÔ´Ï´Ù.¡±
ÇÑÆí Ç÷¡½Ã Ç÷¹À̾¼ ³ª¿Â Ãë¾àÁ¡Àº CVE-2018-15978À̾ú´Ù. ¾Æ¿ô ¿Àºê ¹Ù¿îµå ¸®µå(out-of-bounds read) ¹ö±×·Î, Á¤º¸ À¯ÃâÀ» À¯¹ßÇÏ´Â ¹ö±×ÀÎ °ÍÀ¸·Î ºÐ¼®µÆ´Ù. ÀÌ Ãë¾àÁ¡Àº À©µµ¿ì, ¸ÆOS, ¸®´ª½º, Å©·ÒOS¿ë Ç÷¡½Ã Ç÷¹À̾îµé¿¡¼ ¹ß°ßµÆÁö¸¸ ¾îµµºñ´Â ¡°Çö½ÇÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ µÉ °¡´É¼ºÀº ¸Å¿ì ³·´Ù¡±°í ¹ßÇ¥Çß´Ù.
¸¶Áö¸·À¸·Î ¾îµµºñ´Â À©µµ¿ì¿Í ¸ÆOS¿ë Æ÷Åä¼¥ CC¿¡ ´ëÇÑ ¾÷µ¥ÀÌÆ®µµ ¹ßÇ¥Çß´Ù. ¿ª½Ã ¾Æ¿ô ¿Àºê ¹Ù¿îµå ¸®µå Ãë¾àÁ¡À̾ú°í, ¸¶Âù°¡Áö·Î ÀͽºÇ÷ÎÀÕ µÇ¾úÀ» ¶§ Á¤º¸¸¦ À¯Ãâ½ÃÅ°´Â À§Ç輺À» °¡Áö°í ÀÖ´Ù. º¸¾È ¾÷ü Æ®·»µå ¸¶ÀÌÅ©·Î(Trend Micro)°¡ ¿î¿µÇÏ´Â Á¦·Îµ¥ÀÌ À̴ϼÅƼºê(Zero Day Initiative, ZDI)¸¦ ÅëÇØ À͸íÀÇ Àü¹®°¡°¡ ¾îµµºñ¿¡ º¸°íÇÑ °ÍÀ̶ó°í ÇÑ´Ù.
¾îµµºñ´Â ÀÌ ¼¼ °¡Áö Ãë¾àÁ¡µéÀÌ ½ÇÁ¦·Î ¾Ç¼º °ø°Ý¿¡ È°¿ëµÇ¾ú´Ù´Â Áõ°Å¸¦ ãÀ» ¼ö ¾ø¾ú´Ù°í ¹ßÇ¥Çß´Ù.
ÇÏÁö¸¸ ÃÖ±Ù ¾îµµºñ°¡ ÆÐÄ¡ÇÑ ¾îµµºñ ÄݵåÇ»Àü(Adobe ColdFusion)ÀÇ Ãë¾àÁ¡Àº °ø°Ý °¡´É¼ºÀÌ ³·´Ù°í ¾îµµºñ°¡ ºÐ¼®ÇßÁö¸¸, ½ÇÁ¦ °ø°Ý¿¡ È°¿ëµÇ±âµµ Çß´Ù. ÀÌ ¶§¹®¿¡ À¥»çÀÌÆ® ¿©·¯ °³°¡ ÇØÅ·À» ´çÇß´Ù.
3ÁÙ ¿ä¾à
1. ¾îµµºñµµ ÆÐÄ¡ Æ©Áîµ¥ÀÌ. ¼¼ °¡Áö Ãë¾àÁ¡ À̹ø¿¡ ÆÐÄ¡ÇÔ.
2. Ãë¾àÁ¡Àº °¢°¢ Æ÷Åä¼¥, ¾îµµºñ ¸®´õ, Ç÷¡½Ã Ç÷¹À̾¼ ¹ß°ßµÇ¾úÀ½.
3. ¾îµµºñ´Â À̹ø ´Þ¿¡µµ °ø°Ý °¡´É¼º ³·´Ù°í ¿¹¾ðÇÔ. Áö³ ´Þ ¿¹¾ðÀº Ʋ·ÈÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>