º¸¾È ¿¬±¸´Â ºê¶ó¿ìÀú ´ÜÀ§¿¡¼¸¸ ÀÌ·ïÁö´Â °Ô º¸Åë...SQL Äõ¸® ´Ù½Ã °ËÅäÇؾß
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¼¼»ó °ÅÀÇ ¸ðµç µðÁöÅÐ ¼¼»ó¿¡ Á¸ÀçÇÏ°í ÀÖ´Ù½ÃÇÇ ÇÑ ¿ä¼Ò Áß¿¡ SQ¶óÀÌÆ®(SQLite)¶ó´Â µ¥ÀÌÅͺ£À̽º ¼Ö·ç¼ÇÀÌ ÀÖ´Ù. µ¥½ºÅ©ÅéÀ̳ª ¸ð¹ÙÀÏ ±â±â¿¡ °í·ç ÆÛÁ® Àֱ⠶§¹®¿¡ °ø°ÝÀڵ鿡°Ô´Â ¸Å·ÂÀûÀÎ °ø°Ý Ç¥ÀûÀÌ µÈ´Ù. ´Ù¸¸ ÃÖ±Ù±îÁö ´ëºÎºÐÀÇ ³ë·ÂÀº À¥SQL°ú ºê¶ó¿ìÀú ÃþÀ§¿¡ ¸Ó¹°·¯ ÀÖ¾ú´Ù. SQ¶óÀÌÆ®´Â ¹ø¿Ü Æí°ú °°Àº ´À³¦À̾ú´Ù.
[À̹ÌÁö = iclickart]
±×·± »çÀÌ º¸¾È ¾÷ü üũÆ÷ÀÎÆ®(Check Point)ÀÇ Àü¹®°¡µéÀÌ SQ¶óÀÌÆ®¸¦ °ø°ÝÇÒ ¼ö ÀÖ´Â »õ·Î¿î ¹æ¹ýÀ» ¹ß°ßÇß´Ù. SQ¶óÀÌÆ® ¿£Áø¿¡ ÀÖ´Â ¸Þ¸ð¸® ¾ÈÀü(memory safety) °ü·Ã ¹®Á¦¸¦ ¹ßµ¿½ÃÅ°´Â ±â¼ú·Î, °ø°ÝÀÚµéÀÌ »ç¿ëÇÑ °Ç SQL ¾ð¾î»ÓÀ̾ú´Ù. SQL Äõ¸®¸¦ Á¶ÀÛÇØ ¾Ç¼º ¸í·ÉÀ» SQ¶óÀÌÆ® °ü·Ã ¾ÖÇø®ÄÉÀ̼ǿ¡ ½ÇÇà½ÃÅ°´Â µ¥ ¼º°øÇÑ °Ç À̹øÀÌ Ã³À½À̶ó°í ÇÑ´Ù.
¿ÃÇØ ¿¸° º¸¾È Çà»çÀÎ µ¥ÇÁÄÜ(DEF CON)¿¡¼ ÀÌ·¯ÇÑ ³»¿ëÀ» ¹ßÇ¥ÇÑ Ã¼Å©Æ÷ÀÎÆ®ÀÇ ¿¬±¸¿øµéÀº ¡°ÀÌ ±â¹ýÀ» »ç¿ëÇØ ¾ÖÇÃÀÇ º¸¾È ºÎÆ®(Secure Boot)¸¦ ¿ìȸÇÏ´Â °Ô °¡´ÉÇÏ´Ù¡±°í ¼³¸íÇß´Ù. ¡°º¸¾È ºÎÆ®¸¦ ¿ìȸÇÏ°í °ü¸®ÀÚ ¼öÁØÀÇ Á¢±Ù ±ÇÇÑÀ» °®°Ô µÇ¸ç, °ø°ÝÀ» Áö¼Ó½Ãų ¼ö ÀÖ´Â ¹ßÆÇÀ» ¸¶·ÃÇÏ´Â °Íµµ °¡´ÉÇÕ´Ï´Ù. ÀÌ °ø°ÝÀº ÃֽŠ¾ÆÀÌÆù¿¡µµ ½ÇÇà½Ãų ¼ö ÀÖ½À´Ï´Ù.¡± ½Ã¿¬À» ÅëÇØ ÀÌ °ø°ÝÀº ¿ø°Ý ÄÚµå ½ÇÇàÀÇ ÇüÅ·εµ ½Ç½ÃÇÒ ¼ö ÀÖ´Ù´Â °Ô Áõ¸íµÆ´Ù.
üũÆ÷ÀÎÆ®ÀÇ ¿¬±¸ Àü¹®°¡ÀÎ ¿À¸Þ¸£ ±¼(Omer Gull)Àº ¡°µ¥ÀÌÅͺ£À̽º·Î Äõ¸®¸¦ º¸³»´Â °Ô ±×¸® ¾ÈÀüÇÏÁö ¾ÊÀº °ÍÀÏ ¼ö ÀÖ´Ù¡±°í ¼³¸íÇß´Ù. ¡°¿©Å±îÁö ÇØ¿ÔµíÀÌ µ¥ÀÌÅͺ£À̽º·Î Äõ¸®¸¦ º¸³»´Â °Í¸¸À¸·Îµµ À§ÇèÇÑ °á°ú°¡ ³ªÅ¸³¯ ¼ö ÀÖ½À´Ï´Ù. ¹æ¾î Àü·«À» ¼ö¸³ÇÒ ¶§ ÀÌ·¯ÇÑ ºÎºÐµµ °í·ÁÇØ¾ß ÇÕ´Ï´Ù. °ø°ÝÀÚµéÀº SQ¶óÀÌÆ® µ¥ÀÌÅͺ£À̽º¸¦ ÀڽŵéÀÇ Àǵµ¿¡ ¸Â°Ô È°¿ëÇÏ´Â °Ô °¡´ÉÇÕ´Ï´Ù.¡±
µ¥ÀÌÅͺ£À̽º ¿£Áø Áß Àü ¼¼°è¿¡ °¡Àå ¸¹ÀÌ È®»êµÇ¾î ÀÖ´Â °Ç ´Ü¿¬ SQ¶óÀÌÆ®´Ù. ±×°Íµµ ¾ÐµµÀûÀÎ 1À§·Î ¾Ë·ÁÁ® ÀÖ´Ù. ¸ðµç ¾Èµå·ÎÀ̵å¿Í iOS Àåºñ¿¡ ÀÓº£µå µÇ¾î ÀÖÀ¸¸ç, ¸ÆŲÅä½Ã¿Í À©µµ¿ì 10 ½Ã½ºÅÛ¿¡µµ SQ¶óÀÌÆ®°¡ »ðÀԵǾî ÀÖ´Ù. Å©·Ò, »çÆĸ®, ÆÄÀ̾îÆø½º ºê¶ó¿ìÀúµµ SQ¶óÀÌÆ®¸¦ »ç¿ëÇϸç, ½ºÄ«ÀÌÇÁ, ¾ÆÀÌƪÁî, µå·Ó¹Ú½º Ŭ¶óÀ̾ðÆ®µµ, ½º¸¶Æ® TV, ¼¼Åé¹Ú½º, ¸ÖƼ¹Ìµð¾î ½Ã½ºÅÛµµ SQ¶óÀÌÆ®¸¦ È°¿ëÇÑ´Ù.
ÀÌ·± SQ¶óÀÌÆ®ÀÌÁö¸¸ ÇöÀç±îÁö´Â ¡®ÀÎÅÍ³Ý ºê¶ó¿ìÀúÀÇ ÀϺΡ¯·Î¼¸¸ º¸¾È Á¡°ËÀÌ ÀÌ·ç¾îÁ®¿Ô´Ù°í ±¼Àº ¼³¸íÇÑ´Ù. ¡°ºê¶ó¿ìÀú·Î º¸´Â SQ¶óÀÌÆ®ÀÇ ¹®Á¦´Â ¸» ±×´ë·Î ºù»êÀÇ ÀÏ°¢¿¡ ±×Ä¥ »ÓÀÌÁÒ. SQ¶óÀÌÆ®´Â »ç½Ç»ó °ÅÀÇ ¸ðµç °÷¿¡ È°¿ëµÇ´Â ¿ä¼Ò·Î, °¢Á¾ ÀͽºÇ÷ÎÀÕ ¹æ¹ýÀÌ °³¹ßµÉ ¿î¸í¿¡ ÀÖ´Ù°í º¼ ¼ö ÀÖ½À´Ï´Ù.¡±
üũÆ÷ÀÎÆ®´Â ÇØÄ¿µéÀÌ °ø·«ÇÒ ¸¸ÇÑ ºÎºÐÀÌ SQ¶óÀÌÆ®¿¡ ÀÖ´ÂÁö Á÷Á¢ ¾Ë¾Æº¸±â·Î Çß´Ù. ±×·¯¸é¼ SQ¶óÀÌÆ®¿¡ ÀÖ´ø ¸Þ¸ð¸® º¯Çü ¹®Á¦¸¦ SQL·Î¸¸ °ø·«ÇÏ´Â °É ½ÃµµÇß°í ¼º°øÇß´Ù. ¡°SQ¶óÀÌÆ® ȯ°æ¿¡¼ Äõ¸®¸¦ °¡·Îä°í ¿øÇÏ´Â Äڵ带 »ðÀÔÇÏ´Â °Ô °¡´ÉÇÏ´Ù´Â °É ¹ß°ßÇß½À´Ï´Ù. À̸¦ È°¿ëÇØ SQ¶óÀÌÆ® µ¥ÀÌÅͺ£À̽º¿¡¼ µ¥ÀÌÅ͸¦ ÀÐ¾î µéÀÌ´Â ¾ÖÇø®ÄÉÀ̼ǿ¡ ¿ÀÀÛµ¿À» ÀÏÀ¸Å°°Å³ª, °¢Á¾ ¾Ç¼º ÇàÀ§¸¦ ½Ç½ÃÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
¿À¸Þ¸£ ±¼Àº ÀÌ ¹®Á¦¸¦ Á» ´õ ÆÄÇìÃÆ´Ù. ±×·¯¸é¼ 1) °ü¸®ÀÚ±ÞÀ¸·Î ±ÇÇÑÀ» »ó½Â½ÃÅ°°í, 2) °ø°Ý Áö¼Ó¼ºÀ» È®º¸ÇØÁÖ´Â ¹éµµ¾î¸¦ ½É°í, 3) ¿ø°Ý¿¡¼ ÀÓÀÇ Äڵ带 ½ÇÇà½Ãų ¼ö ÀÖ´Ù´Â °É Ãß°¡·Î ¾Ë¾Æ³Â´Ù. ¡°Áï ¼¼»ó¿¡¼ °¡Àå ÀαⰡ ³ôÀº µ¥ÀÌÅͺ£À̽º¿¡¼ ¿©·¯ °¡Áö Ãë¾àÁ¡À» ã¾Æ³½ °Ì´Ï´Ù. »Ó¸¸ ¾Æ´Ï¶ó ±×·± Ãë¾àÁ¡µéÀ» ÀͽºÇ÷ÎÀÕ ÇÏ´Â ¹æ¹ýµéµµ °³¹ßÇسÂÁÒ. ÀüºÎ ÃֽŠ¾ÆÀÌÆù¿¡µµ ÅëÇÏ´Â ¹æ¹ýµéÀÔ´Ï´Ù.¡±
ÀÌ ½ÇÇè°ú ½Ã¿¬À¸·Î µå·¯³ °Ç ¡°½Å·ÚÇÒ ¼ö ÀÖ´Â SQL ÀԷ°ª°ú ½Å·ÚÇÒ ¼ö ¾ø´Â SQL ÀԷ°ªÀ» ¾î¶»°Ô Á¤ÇÏ°í È®ÀÎÇÏ´À³Ä¸¦ º¸¾È ¾÷°è°¡ °í¹ÎÇØ¾ß ÇÑ´Ù¡±´Â °ÍÀÌ´Ù. ±×·¯¸é¼ ±¼Àº µÎ °¡Áö ½ÇÁ¦ °ø°Ý ½Ã³ª¸®¿À¸¦ Á¦½ÃÇß´Ù. ¡°Çϳª´Â SQ¶óÀÌÆ®¸¦ »ç¿ëÇÏ´Â Àåºñ¸¦ ºñ¹Ð¹øÈ£ Å»ÃëÇü ¸Ö¿þ¾î·Î °¨¿°½ÃÅ°°í ³ª¼, C&C ¼¹ö¸¦ ÅëÇØ ´Ù¸¥ ¸í·ÉÀ» ½ÇÇàÇÏ°í, °á±¹ Àåºñ¿¡ ´ëÇÑ ÅëÁ¦±ÇÀ» °¡Á®°¡´Â °Ì´Ï´Ù.¡± ÀÌ ¹æ¹ýÀº µ¥ÇÁÄÜ¿¡¼ ½Ã¿¬À» °ÅÃÄ È®ÀεƴÙ.
±× ´ÙÀ½ ½Ã³ª¸®¿À ¿ª½Ã µ¥ÇÁÄÜ¿¡¼ ½Ã¿¬ÀÌ µÆ´Âµ¥, ÃֽŠ¾ÆÀÌÆùÀÌ »ç¿ëµÅ À̸ñÀ» ´õ ÁýÁß½ÃÄ×´Ù. ¡°Àåºñ¿¡ Àִ ƯÁ¤ DB¸¦ ±³Ã¼ÇÔÀ¸·Î½á, °ü¸®ÀÚ ±ÇÇÑÀ» ¾òÀ» ¼ö ÀÖ°Ô µË´Ï´Ù. ±×·± ÈÄ¿¡ °ø°ÝÀ» Áö¼Ó½ÃÅ°±â À§ÇÑ ¹éµµ¾î¸¦ ½ÉÀ» ¼ö ÀÖ½À´Ï´Ù. ¸®ºÎÆ®¸¦ Çصµ »ì¾Æ³²´Â ¹éµµ¾î¸¦ ½É´Â´Ù¸é °ø°ÝÀ» ±æ°Ô Áö¼Ó½Ãų ¼ö ÀÖ½À´Ï´Ù.¡± ÀÌ µÎ °¡Áö °ø°Ý ½Ã³ª¸®¿À¸¦ »ç¿ëÇÏ¸é ¾ÖÇÃÀÌ º¸¾È ÀåÄ¡·Î¼ ¸¶·ÃÇÑ »÷µå¹Ú½º¿Í º¸¾È ºÎÆ®¸¦ ¹«·ÂȽÃų ¼ö ÀÖ´Ù°í ÇÑ´Ù.
¹°·Ð üũÆ÷ÀÎÆ®´Â ÀÌ ¹®Á¦¸¦ ÀüºÎ ¾ÖÇÿ¡ ¸ÕÀú ¾Ë·È´Ù. Ãë¾àÁ¡Àº CVE-2019-8600, CVE-2019-8596, CVE-2019-8602, CVE-2019-8577À̾ú°í, ¾ÖÇÃÀº µ¥ÇÁÄÜ¿¡¼ÀÇ ¹ßÇ¥°¡ ÀÖ±â Àü¿¡ ÆÐÄ¡¸¦ ¿Ï·áÇß´Ù. Ãë¾àÁ¡µé¿¡ ´ëÇÑ »ó¼¼ÇÑ Á¤º¸´Â ¿©±â(https://research.checkpoint.com/select-code_execution-from-using-sqlite/)¿¡ °ø°³µÇ¾î ÀÖ´Ù.
3ÁÙ ¿ä¾à
1. Àü ¼¼°è °ÅÀÇ ¸ðµç Àåºñ¿¡¼ ¹ß°ßµÇ°í ÀÖ´Â µ¥ÀÌÅͺ£À̽º, SQ¶óÀÌÆ®.
2. SQ¶óÀÌÆ®¿¡¼ »õ·Ó°Ô ¹ß°ßµÈ Ãë¾àÁ¡ ¾Ç¿ëÇÒ °æ¿ì ÃֽŠ¾ÆÀÌÆùÀ̶ó°í Çصµ Àå¾ÇÇÏ°í ¹éµµ¾î ½ÉÀ» ¼ö ÀÖÀ½.
3. ¾ÖÇÃÀº SQ¶óÀÌÆ®¿Í °ü·ÃµÈ Ãë¾àÁ¡ ³× °¡Áö¸¦ ÆÐÄ¡.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>