Home > Àüü±â»ç

¹«¼ÒºÎÀçÇÏ´Ù½ÃÇÇ ÇÑ SQ¶óÀÌÆ® ¾Ç¿ëÇϸé ÃֽŠ¾ÆÀÌÆùµµ ¶Õ·Á

ÀÔ·Â : 2019-08-13 13:04
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
SQ¶óÀÌÆ®, ¼¼»ó °ÅÀÇ ¸ðµç ȯ°æ¿¡ Á¸ÀçÇÏ°í ÀÖ´Â µ¥ÀÌÅͺ£À̽º
º¸¾È ¿¬±¸´Â ºê¶ó¿ìÀú ´ÜÀ§¿¡¼­¸¸ ÀÌ·ïÁö´Â °Ô º¸Åë...SQL Äõ¸® ´Ù½Ã °ËÅäÇؾß


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¼¼»ó °ÅÀÇ ¸ðµç µðÁöÅÐ ¼¼»ó¿¡ Á¸ÀçÇÏ°í ÀÖ´Ù½ÃÇÇ ÇÑ ¿ä¼Ò Áß¿¡ SQ¶óÀÌÆ®(SQLite)¶ó´Â µ¥ÀÌÅͺ£À̽º ¼Ö·ç¼ÇÀÌ ÀÖ´Ù. µ¥½ºÅ©ÅéÀ̳ª ¸ð¹ÙÀÏ ±â±â¿¡ °í·ç ÆÛÁ® Àֱ⠶§¹®¿¡ °ø°ÝÀڵ鿡°Ô´Â ¸Å·ÂÀûÀÎ °ø°Ý Ç¥ÀûÀÌ µÈ´Ù. ´Ù¸¸ ÃÖ±Ù±îÁö ´ëºÎºÐÀÇ ³ë·ÂÀº À¥SQL°ú ºê¶ó¿ìÀú ÃþÀ§¿¡ ¸Ó¹°·¯ ÀÖ¾ú´Ù. SQ¶óÀÌÆ®´Â ¹ø¿Ü Æí°ú °°Àº ´À³¦À̾ú´Ù.

[À̹ÌÁö = iclickart]


±×·± »çÀÌ º¸¾È ¾÷ü üũÆ÷ÀÎÆ®(Check Point)ÀÇ Àü¹®°¡µéÀÌ SQ¶óÀÌÆ®¸¦ °ø°ÝÇÒ ¼ö ÀÖ´Â »õ·Î¿î ¹æ¹ýÀ» ¹ß°ßÇß´Ù. SQ¶óÀÌÆ® ¿£Áø¿¡ ÀÖ´Â ¸Þ¸ð¸® ¾ÈÀü(memory safety) °ü·Ã ¹®Á¦¸¦ ¹ßµ¿½ÃÅ°´Â ±â¼ú·Î, °ø°ÝÀÚµéÀÌ »ç¿ëÇÑ °Ç SQL ¾ð¾î»ÓÀ̾ú´Ù. SQL Äõ¸®¸¦ Á¶ÀÛÇØ ¾Ç¼º ¸í·ÉÀ» SQ¶óÀÌÆ® °ü·Ã ¾ÖÇø®ÄÉÀ̼ǿ¡ ½ÇÇà½ÃÅ°´Â µ¥ ¼º°øÇÑ °Ç À̹øÀÌ Ã³À½À̶ó°í ÇÑ´Ù.

¿ÃÇØ ¿­¸° º¸¾È Çà»çÀÎ µ¥ÇÁÄÜ(DEF CON)¿¡¼­ ÀÌ·¯ÇÑ ³»¿ëÀ» ¹ßÇ¥ÇÑ Ã¼Å©Æ÷ÀÎÆ®ÀÇ ¿¬±¸¿øµéÀº ¡°ÀÌ ±â¹ýÀ» »ç¿ëÇØ ¾ÖÇÃÀÇ º¸¾È ºÎÆ®(Secure Boot)¸¦ ¿ìȸÇÏ´Â °Ô °¡´ÉÇÏ´Ù¡±°í ¼³¸íÇß´Ù. ¡°º¸¾È ºÎÆ®¸¦ ¿ìȸÇÏ°í °ü¸®ÀÚ ¼öÁØÀÇ Á¢±Ù ±ÇÇÑÀ» °®°Ô µÇ¸ç, °ø°ÝÀ» Áö¼Ó½Ãų ¼ö ÀÖ´Â ¹ßÆÇÀ» ¸¶·ÃÇÏ´Â °Íµµ °¡´ÉÇÕ´Ï´Ù. ÀÌ °ø°ÝÀº ÃֽŠ¾ÆÀÌÆù¿¡µµ ½ÇÇà½Ãų ¼ö ÀÖ½À´Ï´Ù.¡± ½Ã¿¬À» ÅëÇØ ÀÌ °ø°ÝÀº ¿ø°Ý ÄÚµå ½ÇÇàÀÇ ÇüÅ·εµ ½Ç½ÃÇÒ ¼ö ÀÖ´Ù´Â °Ô Áõ¸íµÆ´Ù.

üũÆ÷ÀÎÆ®ÀÇ ¿¬±¸ Àü¹®°¡ÀÎ ¿À¸Þ¸£ ±¼(Omer Gull)Àº ¡°µ¥ÀÌÅͺ£À̽º·Î Äõ¸®¸¦ º¸³»´Â °Ô ±×¸® ¾ÈÀüÇÏÁö ¾ÊÀº °ÍÀÏ ¼ö ÀÖ´Ù¡±°í ¼³¸íÇß´Ù. ¡°¿©Å±îÁö ÇØ¿ÔµíÀÌ µ¥ÀÌÅͺ£À̽º·Î Äõ¸®¸¦ º¸³»´Â °Í¸¸À¸·Îµµ À§ÇèÇÑ °á°ú°¡ ³ªÅ¸³¯ ¼ö ÀÖ½À´Ï´Ù. ¹æ¾î Àü·«À» ¼ö¸³ÇÒ ¶§ ÀÌ·¯ÇÑ ºÎºÐµµ °í·ÁÇØ¾ß ÇÕ´Ï´Ù. °ø°ÝÀÚµéÀº SQ¶óÀÌÆ® µ¥ÀÌÅͺ£À̽º¸¦ ÀڽŵéÀÇ Àǵµ¿¡ ¸Â°Ô È°¿ëÇÏ´Â °Ô °¡´ÉÇÕ´Ï´Ù.¡±

µ¥ÀÌÅͺ£À̽º ¿£Áø Áß Àü ¼¼°è¿¡ °¡Àå ¸¹ÀÌ È®»êµÇ¾î ÀÖ´Â °Ç ´Ü¿¬ SQ¶óÀÌÆ®´Ù. ±×°Íµµ ¾ÐµµÀûÀÎ 1À§·Î ¾Ë·ÁÁ® ÀÖ´Ù. ¸ðµç ¾Èµå·ÎÀ̵å¿Í iOS Àåºñ¿¡ ÀÓº£µå µÇ¾î ÀÖÀ¸¸ç, ¸ÆŲÅä½Ã¿Í À©µµ¿ì 10 ½Ã½ºÅÛ¿¡µµ SQ¶óÀÌÆ®°¡ »ðÀԵǾî ÀÖ´Ù. Å©·Ò, »çÆĸ®, ÆÄÀ̾îÆø½º ºê¶ó¿ìÀúµµ SQ¶óÀÌÆ®¸¦ »ç¿ëÇϸç, ½ºÄ«ÀÌÇÁ, ¾ÆÀÌƪÁî, µå·Ó¹Ú½º Ŭ¶óÀ̾ðÆ®µµ, ½º¸¶Æ® TV, ¼¼Åé¹Ú½º, ¸ÖƼ¹Ìµð¾î ½Ã½ºÅÛµµ SQ¶óÀÌÆ®¸¦ È°¿ëÇÑ´Ù.

ÀÌ·± SQ¶óÀÌÆ®ÀÌÁö¸¸ ÇöÀç±îÁö´Â ¡®ÀÎÅÍ³Ý ºê¶ó¿ìÀúÀÇ ÀϺΡ¯·Î¼­¸¸ º¸¾È Á¡°ËÀÌ ÀÌ·ç¾îÁ®¿Ô´Ù°í ±¼Àº ¼³¸íÇÑ´Ù. ¡°ºê¶ó¿ìÀú·Î º¸´Â SQ¶óÀÌÆ®ÀÇ ¹®Á¦´Â ¸» ±×´ë·Î ºù»êÀÇ ÀÏ°¢¿¡ ±×Ä¥ »ÓÀÌÁÒ. SQ¶óÀÌÆ®´Â »ç½Ç»ó °ÅÀÇ ¸ðµç °÷¿¡ È°¿ëµÇ´Â ¿ä¼Ò·Î, °¢Á¾ ÀͽºÇ÷ÎÀÕ ¹æ¹ýÀÌ °³¹ßµÉ ¿î¸í¿¡ ÀÖ´Ù°í º¼ ¼ö ÀÖ½À´Ï´Ù.¡±

üũÆ÷ÀÎÆ®´Â ÇØÄ¿µéÀÌ °ø·«ÇÒ ¸¸ÇÑ ºÎºÐÀÌ SQ¶óÀÌÆ®¿¡ ÀÖ´ÂÁö Á÷Á¢ ¾Ë¾Æº¸±â·Î Çß´Ù. ±×·¯¸é¼­ SQ¶óÀÌÆ®¿¡ ÀÖ´ø ¸Þ¸ð¸® º¯Çü ¹®Á¦¸¦ SQL·Î¸¸ °ø·«ÇÏ´Â °É ½ÃµµÇß°í ¼º°øÇß´Ù. ¡°SQ¶óÀÌÆ® ȯ°æ¿¡¼­ Äõ¸®¸¦ °¡·Îä°í ¿øÇÏ´Â Äڵ带 »ðÀÔÇÏ´Â °Ô °¡´ÉÇÏ´Ù´Â °É ¹ß°ßÇß½À´Ï´Ù. À̸¦ È°¿ëÇØ SQ¶óÀÌÆ® µ¥ÀÌÅͺ£À̽º¿¡¼­ µ¥ÀÌÅ͸¦ ÀÐ¾î µéÀÌ´Â ¾ÖÇø®ÄÉÀ̼ǿ¡ ¿ÀÀÛµ¿À» ÀÏÀ¸Å°°Å³ª, °¢Á¾ ¾Ç¼º ÇàÀ§¸¦ ½Ç½ÃÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±

¿À¸Þ¸£ ±¼Àº ÀÌ ¹®Á¦¸¦ Á» ´õ ÆÄÇìÃÆ´Ù. ±×·¯¸é¼­ 1) °ü¸®ÀÚ±ÞÀ¸·Î ±ÇÇÑÀ» »ó½Â½ÃÅ°°í, 2) °ø°Ý Áö¼Ó¼ºÀ» È®º¸ÇØÁÖ´Â ¹éµµ¾î¸¦ ½É°í, 3) ¿ø°Ý¿¡¼­ ÀÓÀÇ Äڵ带 ½ÇÇà½Ãų ¼ö ÀÖ´Ù´Â °É Ãß°¡·Î ¾Ë¾Æ³Â´Ù. ¡°Áï ¼¼»ó¿¡¼­ °¡Àå ÀαⰡ ³ôÀº µ¥ÀÌÅͺ£À̽º¿¡¼­ ¿©·¯ °¡Áö Ãë¾àÁ¡À» ã¾Æ³½ °Ì´Ï´Ù. »Ó¸¸ ¾Æ´Ï¶ó ±×·± Ãë¾àÁ¡µéÀ» ÀͽºÇ÷ÎÀÕ ÇÏ´Â ¹æ¹ýµéµµ °³¹ßÇسÂÁÒ. ÀüºÎ ÃֽŠ¾ÆÀÌÆù¿¡µµ ÅëÇÏ´Â ¹æ¹ýµéÀÔ´Ï´Ù.¡±

ÀÌ ½ÇÇè°ú ½Ã¿¬À¸·Î µå·¯³­ °Ç ¡°½Å·ÚÇÒ ¼ö ÀÖ´Â SQL ÀԷ°ª°ú ½Å·ÚÇÒ ¼ö ¾ø´Â SQL ÀԷ°ªÀ» ¾î¶»°Ô Á¤ÇÏ°í È®ÀÎÇÏ´À³Ä¸¦ º¸¾È ¾÷°è°¡ °í¹ÎÇØ¾ß ÇÑ´Ù¡±´Â °ÍÀÌ´Ù. ±×·¯¸é¼­ ±¼Àº µÎ °¡Áö ½ÇÁ¦ °ø°Ý ½Ã³ª¸®¿À¸¦ Á¦½ÃÇß´Ù. ¡°Çϳª´Â SQ¶óÀÌÆ®¸¦ »ç¿ëÇÏ´Â Àåºñ¸¦ ºñ¹Ð¹øÈ£ Å»ÃëÇü ¸Ö¿þ¾î·Î °¨¿°½ÃÅ°°í ³ª¼­, C&C ¼­¹ö¸¦ ÅëÇØ ´Ù¸¥ ¸í·ÉÀ» ½ÇÇàÇÏ°í, °á±¹ Àåºñ¿¡ ´ëÇÑ ÅëÁ¦±ÇÀ» °¡Á®°¡´Â °Ì´Ï´Ù.¡± ÀÌ ¹æ¹ýÀº µ¥ÇÁÄÜ¿¡¼­ ½Ã¿¬À» °ÅÃÄ È®ÀεƴÙ.

±× ´ÙÀ½ ½Ã³ª¸®¿À ¿ª½Ã µ¥ÇÁÄÜ¿¡¼­ ½Ã¿¬ÀÌ µÆ´Âµ¥, ÃֽŠ¾ÆÀÌÆùÀÌ »ç¿ëµÅ À̸ñÀ» ´õ ÁýÁß½ÃÄ×´Ù. ¡°Àåºñ¿¡ Àִ ƯÁ¤ DB¸¦ ±³Ã¼ÇÔÀ¸·Î½á, °ü¸®ÀÚ ±ÇÇÑÀ» ¾òÀ» ¼ö ÀÖ°Ô µË´Ï´Ù. ±×·± ÈÄ¿¡ °ø°ÝÀ» Áö¼Ó½ÃÅ°±â À§ÇÑ ¹éµµ¾î¸¦ ½ÉÀ» ¼ö ÀÖ½À´Ï´Ù. ¸®ºÎÆ®¸¦ Çصµ »ì¾Æ³²´Â ¹éµµ¾î¸¦ ½É´Â´Ù¸é °ø°ÝÀ» ±æ°Ô Áö¼Ó½Ãų ¼ö ÀÖ½À´Ï´Ù.¡± ÀÌ µÎ °¡Áö °ø°Ý ½Ã³ª¸®¿À¸¦ »ç¿ëÇÏ¸é ¾ÖÇÃÀÌ º¸¾È ÀåÄ¡·Î¼­ ¸¶·ÃÇÑ »÷µå¹Ú½º¿Í º¸¾È ºÎÆ®¸¦ ¹«·ÂÈ­½Ãų ¼ö ÀÖ´Ù°í ÇÑ´Ù.

¹°·Ð üũÆ÷ÀÎÆ®´Â ÀÌ ¹®Á¦¸¦ ÀüºÎ ¾ÖÇÿ¡ ¸ÕÀú ¾Ë·È´Ù. Ãë¾àÁ¡Àº CVE-2019-8600, CVE-2019-8596, CVE-2019-8602, CVE-2019-8577À̾ú°í, ¾ÖÇÃÀº µ¥ÇÁÄÜ¿¡¼­ÀÇ ¹ßÇ¥°¡ ÀÖ±â Àü¿¡ ÆÐÄ¡¸¦ ¿Ï·áÇß´Ù. Ãë¾àÁ¡µé¿¡ ´ëÇÑ »ó¼¼ÇÑ Á¤º¸´Â ¿©±â(https://research.checkpoint.com/select-code_execution-from-using-sqlite/)¿¡ °ø°³µÇ¾î ÀÖ´Ù.

3ÁÙ ¿ä¾à
1. Àü ¼¼°è °ÅÀÇ ¸ðµç Àåºñ¿¡¼­ ¹ß°ßµÇ°í ÀÖ´Â µ¥ÀÌÅͺ£À̽º, SQ¶óÀÌÆ®.
2. SQ¶óÀÌÆ®¿¡¼­ »õ·Ó°Ô ¹ß°ßµÈ Ãë¾àÁ¡ ¾Ç¿ëÇÒ °æ¿ì ÃֽŠ¾ÆÀÌÆùÀ̶ó°í Çصµ Àå¾ÇÇÏ°í ¹éµµ¾î ½ÉÀ» ¼ö ÀÖÀ½.
3. ¾ÖÇÃÀº SQ¶óÀÌÆ®¿Í °ü·ÃµÈ Ãë¾àÁ¡ ³× °¡Áö¸¦ ÆÐÄ¡.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)