Æ÷Ƽ³Ý°ú ÆÞ½º ½ÃÅ¥¾îÀÇ Ãë¾àÁ¡ÀÌ Æ¯È÷ À§ÇèÇØ º¸¿©...ÆÐÄ¡´Â 8¿ù ÀÌÀü¿¡ ³ª¿Í
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ÃÖ±Ù º¸¾È ¾÷ü Æ÷Ƽ³Ý(Fortinet)°ú ÆÞ½º ½ÃÅ¥¾î(Pulse Secure)ÀÇ VPN Á¦Ç°¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡µéÀ» ½ÇÁ¦ º¸¾È °ø°Ý¿¡ È°¿ëÇÏ·Á´Â ½Ãµµ°¡ ¾ú¾ú´Ù´Â °ÍÀÌ À̹ø ÁÖ »õ·Ó°Ô ¹àÇôÁ³´Ù.
[À̹ÌÁö = iclickart]
¸ÕÀú´Â º¸¾È Àü¹®°¡ Äɺó ºä¸óÆ®(Kevin Beaumont)°¡ ¹ÙÀ̳ʸ®¿¡Áö(BinaryEdge)¶ó´Â °Ë»ö ¿£ÁøÀ» ÅëÇØ ´©±º°¡ VPN Ãë¾àÁ¡µéÀ» ÀͽºÇ÷ÎÀÕ ÇϷôٴ »ç½ÇÀ» ¹ß°ßÇس´Ù. ÀÌ °ø°ÝÀÚµéÀÌ Ç¥ÀûÀ¸·Î »ïÀº Ãë¾àÁ¡Àº CVE-2018-13379(Æ÷ƼOS SSL VPN(FortiOS SSL VPN) À¥ Æ÷Åп¡¼ ¹ß°ßµÈ °æ·Î Á¶ÀÛ ¹ö±×)¿Í, CVE-2019-11510(ÆÞ½º Ä¿³ØÆ® ½ÃÅ¥¾î(Pulse Connect Secure)ÀÇ ÀÓÀÇ ÆÄÀÏ Àб⠹ö±×)ÀÌ´Ù.
CVE-2018-13379¿Í CVE-2019-11510 ¸ðµÎ ¿ø°Ý¿¡¼, ÀÎÁõ °úÁ¤À» Åë°úÇÒ ÇÊ¿ä ¾øÀÌ ÀͽºÇ÷ÎÀÕ ÇÒ ¼ö ÀÖ´Ù. Ç¥ÀûÀÌ µÈ ½Ã½ºÅÛ¿¡¼ ÀÓÀÇÀÇ ÆÄÀÏ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù.
ÀÌ Ãë¾àÁ¡µéÀÌ Á¦ÀÏ ¸ÕÀú »ó¼¼È÷ °ø°³µÈ °Ç Áö³ 7¿ùÀÇ ÀÏÀÌ´Ù. º¸¾È ÄÁ¼³Æà ¾÷ü µ¥ºêÄÚ¾î(DEVCORE)ÀÇ º¸¾È Àü¹®°¡ÀÎ ¿À·»Áö Â÷ÀÌ(Orange Tsai)¿Í ¸Þ â(Meh Chang)ÀÌ ¹ßÇ¥Çß´Ù. Æ÷Ƽ³Ý, ÆȷξËÅä ³×Æ®¿÷½º(Palo Alto Networks), ÆÞ½º ½ÃÅ¥¾î¿¡¼ ³ª¿Â Á¦Ç°µé¿¡¼ ²Ï³ª ¸¹Àº ½É°¢ÇÑ Ãë¾àÁ¡µéÀÌ ¹ß°ßµÆ¾ú´Ù. ±â¾÷ÀÇ ³×Æ®¿öÅ©¿¡ ħÅõÇØ ¹Î°¨ÇÑ Á¤º¸¸¦ Å»ÃëÇϰųª ¿°Å½À» ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â Ãë¾àÁ¡µéÀ̾ú´Ù.
ÀÌ ¿¬±¸ °á°ú´Â 8¿ù ÃÊ¿¡ ¿¸° ºí·¢ÇÞ(Black Hat) Çà»ç¿Í µ¥ÇÁÄÜ(DEFCON)¿¡¼ ¹ßÇ¥µÇ±âµµ Çß°í, ¹ßÇ¥ ÀÌÈÄ¿¡´Â °³³äÁõ¸í¿ë ÀͽºÇ÷ÎÀÕµéÀÌ ¿©±â Àú±â¼ ³ª¿À±âµµ Çß´Ù. »ç½Ç ÀÌ ºÎºÐÀÌ °ø°ÝÀÇ ÀüÁ¶¿´´Ù.
ÆÞ½º ½ÃÅ¥¾îÀÇ Á¦Ç°¿¡¼´Â Ãë¾àÁ¡µéÀÌ 7°³³ª ¹ß°ßµÆ´Ù. ÀÌ Áß¿¡´Â ¿ø°Ý ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÑ °Íµéµµ ÀÖ¾ú´Ù. Æ÷Ƽ³ÝÀÇ Á¦Ç°¿¡¼´Â Ãë¾àÁ¡ÀÌ 5°³ ³ª¿Ô´Ù. ÀÌ Áß 2°³´Â ¿¬¼ÓÀ¸·Î ÀͽºÇ÷ÎÀÕ ÇßÀ» ¶§ ¿ø°Ý ÄÚµå ½ÇÇàÀ» °¡´ÉÄÉ ÇÑ´Ù. ÀÌ Ãë¾àÁ¡µéÀÌ ²Ï³ª ½É°¢ÇÑ ¼öÁØÀÇ À§Ç輺À» ³»Æ÷ÇÏ°í ÀÖ¾ú±â ¶§¹®¿¡ ½ÇÁ¦ °ø°ÝÀÌ ³ªÅ¸³ªµµ ÀÌ»óÇÏÁö ¾Ê´Ù´Â ÀÇ°ßÀÌ ´ç½Ã¿¡µµ ÀÖ¾ú´Ù.
ÀÌ Á¶»ç¿¡ À̸§ÀÌ ¾ð±ÞµÈ ¸ðµç ¾÷üµéÀº ºí·¢ÇÞ°ú µ¥ÇÁÄÜ ¹ßÇ¥°¡ ÀÖ±â Àü¿¡ ÀÌ »ç½ÇÀ» ¹Ì¸® º¸°í¹Þ°í ÆÐÄ¡¸¦ °³¹ßÇß´Ù.
ºä¸óÆ®¿¡ ÀÇÇϸé CVE-2018-13379ÀÇ °æ¿ì, ÀͽºÇ÷ÎÀÕÀÌ ¸Å¿ì °£´ÜÇϸç, °ø°Ý¿¡ ¼º°øÇßÀ» ¶§ °ø°ÝÀÚ°¡ °ü¸®ÀÚÀÇ ºñ¹Ð¹øÈ£¸¦ Æò¹®À¸·Î Å»ÃëÇÒ ¼ö ÀÖ°Ô ÇØÁشٰí ÇÑ´Ù. °Ë»ö ¿£ÁøÀ¸·Î »ìÆñÀ» ¶§ ÀÌ Ãë¾àÁ¡¿¡ ³ëÃâµÈ ½Ã½ºÅÛÀÌ 50¸¸°³ °¡±îÀÌ ¹ß°ßµÆ´Ù. °ø°ÝÀڵ鿡°Ô ÀÖ¾î ¾È¼º¸ÂÃãÀÎ Ãë¾àÁ¡ÀÎ °ÍÀÌ´Ù.
ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ·Á´Â ½Ãµµ°¡ Á¦ÀÏ Ã³À½ ¹ß°ßµÈ °Ç 8¿ù 21ÀÏÀ̶ó°í ºä¸óÆ®´Â ¸»ÇÑ´Ù. ¹Ù·Î ´ÙÀ½ ³¯¿¡´Â ÆÞ½º ½ÃÅ¥¾îÀÇ Á¦Ç°µé¿¡ ´ëÇÑ °ø°Ý ½Ãµµ°¡ ÀÖ¾ú´Ù. ¾ÆÁ÷±îÁö´Â Ãë¾àÇÑ ½Ã½ºÅÛÀ» ã±â À§ÇÑ ½ºÄµ ÇàÀ§°¡ ÀüºÎÀ̱ä ÇÏÁö¸¸, ¡°¼ö¸¹Àº »çÀ̹ö °ø°ÝÀÌ ÀÌ·± ½ÄÀ¸·Î ½ÃÀ۵ǹǷΠ°£°úÇÒ ¼ö´Â ¾ø´Ù.¡±
ÆÞ½º ½ÃÅ¥¾î´Â ¡°¹®Á¦°¡ µÇ°í ÀÖ´Â Ãë¾àÁ¡Àº Áö³ 4¿ù¿¡ ÆÐÄ¡°¡ µÆ°í, ÆÐÄ¡¸¦ Àû¿ëÇÏ¸é ¾ð±ÞµÇ°í ÀÖ´Â Ãë¾àÁ¡ ¶§¹®¿¡ À§Çè¿¡ ³ëÃâµÇ´Â ÀÏÀº ¾ø´Ù¡±°í ¹ßÇ¥Çß´Ù. ¡°ÆÞ½º ½ÃÅ¥¾î´Â 4¿ù 24ÀÏ Ãë¾àÁ¡ ÆÐÄ¡¸¦ °ð¹Ù·Î Àû¿ëÇß½À´Ï´Ù. ±×·± ÈĺÎÅÍ °í°´µé ¹× ¼ºñ½º Á¦°ø ÆÄÆ®³Ê»çµé¿¡ ÀÌ »ç½ÇÀ» ¾Ë¸®°í ÆÐÄ¡¸¦ ±Ç°íÇß½À´Ï´Ù.¡±
Æ÷Ƽ³Ýµµ Ãë¾àÁ¡ ÆÐÄ¡¸¦ ºí·¢ÇÞ ÀÌÀü¿¡ °ø°³ÇßÁö¸¸, ÃÖ±Ù °ø°ÝÀÚµéÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ·Á´Â ¡Á¶°¡ º¸Àδٴ º¸°í¿¡ ´ëÇؼ´Â º° ´Ù¸¥ ÀÔÀå ¹ßÇ¥¸¦ ÇÏÁö ¾Ê°í ÀÖ´Ù.
3ÁÙ ¿ä¾à
1. ¾ó¸¶ Àü À¯¸í VPN Á¦Ç°µé¿¡¼ ¿©·¯ Ãë¾àÁ¡µéÀÌ ¹ß°ßµÈ ¹Ù ÀÖÀ½.
2. ±× Áß Æ÷Ƽ³Ý¿¡¼ ¸¸µç Á¦Ç°°ú ÆÞ½º ½ÃÅ¥¾î¿¡¼ ¸¸µç Á¦Ç°¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡À» ´©±º°¡ ½ºÄµÇÏ´Â °ÍÀÌ Æ÷ÂøµÊ.
3. °ø°ÝÀÚµéÀÌ ½ÇÁ¦·Î È°¿ëÇÒ ¸¸ÇÑ Ãë¾àÁ¡À̱⵵ ÇÏ°Å´Ï¿Í, ¸¹Àº ÇØÅ· °ø°ÝÀÌ ½ºÄµÀ¸·ÎºÎÅÍ ½ÃÀ۵ȴٴ °É ±â¾ïÇØ¾ß ÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>