ÀüºÎ °°Àº ¹æ½ÄÀÇ °ø°ÝÀ¸·Î ÀͽºÇ÷ÎÀÕ °¡´É...ÀϺΠ±â¾÷µéÀº ÀÌ¹Ì ÆÐÄ¡ ¹ßÇ¥
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ³ÝÇø¯½º¿Í ±¸±ÛÀÇ ¿¬±¸¿øµéÀÌ ¿©·¯ °¡Áö À¯ÇüÀÇ HTTP/2 ±¸Çö ÇüÅ¿¡¼ ÃÑ 8°³ÀÇ ¼ºñ½º °ÅºÎ Ãë¾àÁ¡À» ¹ß°ßÇß´Ù. ¿©±â¿¡´Â ¾Æ¸¶Á¸, ¾ÖÇÃ, ÆäÀ̽ººÏ, ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® µî IT ±â¼úÀÇ °Àڵ鵵 ¿¬·çµÇ¾î ÀÖ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
ÀÌ ¿¬±¸¿Í °ø°³¸¦ ÇÔ²²ÇÑ ³ÝÇø¯½º, ±¸±Û, CERT/CC¿¡ ÀÇÇÏ¸é ¡°À̹ø¿¡ ¹ß°ßµÈ ¿À·ùµéÀº ÀÚ¿ø °í°¥(resource exhaustion)°ú °ü·ÃÀÌ ÀÖÀ¸¸ç, ÀͽºÇ÷ÎÀÕÀ» ÅëÇØ HTTP/2¸¦ Áö¿øÇÏ´Â ¼¹ö¿¡ µðµµ½º °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö ÀÖ´Ù¡±°í ÇÑ´Ù.
HTTP/2´Â HTTP ÀÎÅÍ³Ý ÇÁ·ÎÅäÄÝÀÇ µÎ ¹ø° ¹öÀüÀ¸·Î, ¾ÖÇø®ÄÉÀ̼ÇÀ» º¸´Ù ºü¸£°í, º¸´Ù °£´ÜÇϸç, º¸´Ù ´Ü´ÜÇÏ°Ô ¸¸µé±â À§ÇØ °í¾ÈµÇ¾ú´Ù.
´ÙÇàÈ÷ À̹ø¿¡ ¹ß°ßµÈ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ Çؼ Á¤º¸¸¦ ÈÉÃij»°Å³ª Á¶ÀÛÇÏ´Â ÇàÀ§´Â ºÒ°¡´ÉÇÏ´Ù°í ÇÑ´Ù. ¡°³·Àº ´ë¿ªÆøÀÇ ¾Ç¼º ¼¼¼Çµé ¼Ò¼ö¸¦ °¡Áö°í ÀϺΠ¿ä¼ÒµéÀÌ Á¦´ë·Î ÀÛµ¿ÇÏÁö ¸øÇϵµ·Ï ¸¸µå´Â °ÍÀÌ °ÅÀÇ ÀüºÎÀ̱ä ÇÕ´Ï´Ù. ±×·¯³ª À̸¦ ÅëÇØ ÀÚ¿øÀ» °í°¥½Ãų ¼ö ÀÖ°í, µû¶ó¼ Àåºñ°¡ ¿ÏÀüÈ÷ ¸¶ºñµÇµµ·Ï ¸¸µé ¼ö ÀÖ¾î °£°úÇÒ ¼ö ¾ø½À´Ï´Ù.¡±
ÀÌ Ãë¾àÁ¡µéÀÇ À̸§°ú CVE ¹øÈ£´Â ´ÙÀ½°ú °°´Ù.
1) µ¥ÀÌÅÍ µå¸®ºí(Data Dribble) : CVE-2019-9511
2) ÇÎ Ç÷¯µå(Pin Flood) : CVE-2019-9512
3) ¸®¼Ò½º ·ì(Resource Loop) : CVE-2019-9513
4) ¸®¼Â Ç÷¯µå(Reset Flood) : CVE-2019-9514
5) ¼¼ÆÃÁî Ç÷¯µå(Settings Flood) : CVE-2019-9515
6) Á¦·Î·À½º Çì´õÁî ¸®Å©(0-Length Headers Leak) : CVE-2019-9516
7) ÀÎÅͳΠµ¥ÀÌÅÍ ¹öÆÛ¸µ(Interna Data Buffering) : CVE-2019-9517
8) ¿¥Æ¼ ÇÁ·¹ÀÓÁî Ç÷¯µå(Empty Frames Flood) : CVE-2019-9518
1~7¹ø±îÁö´Â ³ÝÇø¯½ºÀÇ Á¶³ª´Ü ·ç´Ï(Jonathan Looney)°¡, 8¹øÀº ±¸±ÛÀÇ ÇÇ¿ÀÅÍ ½ÃÄÚ¶ó(Piotr Sikora)°¡ ¹ß°ßÇß´Ù°í ÇÑ´Ù.
ÀÌ ¸ðµç Ãë¾àÁ¡µéÀº ÀüºÎ °°Àº °ø°ÝÀ¸·Î ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÑ, ÀÏÁ¾ÀÇ º¯Á¾µéÀÌ´Ù. ÇØ´ç °ø°ÝÀº ´ÙÀ½°ú °°ÀÌ ÁøÇàµÈ´Ù.
1) ¾Ç¼º Ŭ¶óÀ̾ðÆ®°¡ ¼¹ö¸¦ °Çµå·Á ÀÀ´äÀÌ »ý¼ºµÇµµ·Ï ÇÑ´Ù.
2) ¿©±â¼ Ŭ¶óÀ̾ðÆ®°¡ ÀÀ´äÀ» ÀÐÁö ¾Ê´Â´Ù¸é, ¼¹öÀÇ ´ë±â¿ °ü¸® Äڵ尡 ¹ßµ¿µÈ´Ù.
3) ´ë±â¿À» Á¦´ë·Î 󸮵ÇÁö ¾Ê´Â´Ù¸é, ¼¹ö°¡ ¸Þ¸ð¸®¿Í CPUÀÇ ÀÚ¿øÀ» ¸¹ÀÌ ¼Ò¸ðÇÑ´Ù.
4) ÀÌ ¶§ µðµµ½º »óÅ°¡ ¹ßµ¿µÈ´Ù.
ÀÌ Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹Þ´Â ¾÷üµé Áß¿¡´Â ´©±¸³ª ¾Ë¸¸ÇÑ ±â¾÷µéµµ ÀÖ´Ù. ±×·¯³ª ÀÎÅÚ°ú ¸¶ÀÌÅ©·Îƽ(MicroTik)Àº ÀüÇô ¿µÇâÀÌ ¾ø´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. CERT/CC´Â ¿µÇâ ¿©ºÎ°¡ ¾ÆÁ÷ ¾Ë·ÁÁöÁö ¾ÊÀº Á¶Á÷ÀÌ 200°³°¡ ³Ñ´Â´Ù°í ¹ßÇ¥Çß´Ù.
¸¶ÀÌÅ©·Î¼ÒÇÁÆ®, ¾ÖÇÃ, Ŭ¶ó¿ìµåÇ÷¹¾î, NGINX, ¾ÆÄ«¸¶ÀÌ µîÀº ÀÌ¹Ì À§ Ãë¾àÁ¡µé¿¡ ´ëÇÑ ÆÐÄ¡¸¦ ¹ßÇ¥Çß´Ù. ¾ÆÁ÷ ÆÐÄ¡ Àû¿ëÀÌ ºÒ°¡´ÉÇÑ »óȲÀ̶ó¸é HTTP/2 Áö¿øÀ» ºñÈ°¼ºÈ ÇÏ¸é µÈ´Ù. ±×·¯³ª ³ÝÇø¯½º´Â ¡°ÆÐÄ¡ ´ë½Å HTTP/2¸¦ ºñÈ°¼ºÈ ÇÒ °æ¿ì, ¼Óµµ°¡ Áö¿¬µÉ ¼ö ÀÖ´Ù¡±°í °æ°íÇß´Ù.
3ÁÙ ¿ä¾à
1. ³ÝÇø¯½º¿Í ±¸±Û, HTTP/2¿¡¼ µðµµ½º ÀÏÀ¸Å³ ¼ö ÀÖ´Â Ãë¾àÁ¡ 8°³ ¹ßÇ¥.
2. ¿µÇâÀ» ¹Þ´Â ±â¾÷µéÀº MS, ¾ÖÇÃ, ¾Æ¸¶Á¸, Ŭ¶ó¿ìµåÇ÷¹¾î µî À¯¸íÇÑ Á¶Á÷µé.
3. ÀϺδ ÆÐÄ¡ ÀÌ¹Ì ¹ßÇ¥. HTTP/2 ºñÈ°¼ºÈ ÅëÇؼµµ ¹®Á¦ ÇØ°á °¡´ÉÇϳª ¼Óµµ°¡ ´À·ÁÁú ¼ö ÀÖÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>