À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡Àº °ÅÀÇ ¸ðµç Àåºñ¿¡ Á¸Àç...¿¬¶ôÇϱâ Èûµç ȸ»çµµ ÀÖ¾î
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¿¡À̼ö½º(Asus), ÀÚÀÌÁ©(Zyxel), ·¹³ë¹ö(Lenovo), ³Ý±â¾î(Netgear) µî¿¡¼ ¸¸µç ¼Ò±Ô¸ð »ç¹«½Ç ¹× °¡Á¤¿ë ¶ó¿ìÅÍ¿Í NAS Àåºñ¿¡¼ 100°³°¡ ³Ñ´Â Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. º¸¾È ¾÷ü ISE(Independent Security Evaluators)°¡ 13°³ÀÇ ¸ðµ¨µéÀ» µ¶ÀÚÀûÀ¸·Î ½ÇÇè ¹× ºÐ¼®ÇÑ °á°ú¶ó°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
ISE°¡ À̹ø Á¶»ç¸¦ ÅëÇØ ¹ß°ßÇÑ Ãë¾àÁ¡ÀÇ ÃÑ °³¼ö´Â 125°³´Ù. 13°³ÀÇ ¸ðµ¨À» ´ë»óÀ¸·Î ħÅõ Å×½ºÆ®¸¦ ½Ç½ÃÇß´Ù°í Çϸç, ¿©±â¿¡´Â Àú·ÅÇÑ °¡°ÝÀÇ ÀÏ¹Ý Àåºñ¿¡¼ºÎÅÍ °í°¡ÀÇ ±â¾÷¿ë Àåºñ±îÁö Æ÷ÇԵǾî ÀÖ´Ù°í ÇÑ´Ù. ±×·¯³ª ±× ¾î´À °Íµµ ¸¸Á·ÇÒ ¸¸ÇÑ º¸¾È¼ºÀ» º¸¿©ÁÖÁö´Â ¸øÇß´Ù.
¡°ÀúÈñ°¡ ½ÇÇèÇÑ 13°³ Àåºñ ¸ðµÎ ÃÖ¼Ò ÇÑ °³ ÀÌ»óÀÇ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡À» °¡Áö°í ÀÖ¾ú½À´Ï´Ù. XSS³ª OS ¸í·É ÁÖÀÔ, SQL ÁÖÀÔ Ãë¾àÁ¡ µîÀÌ ¾îµð¿¡³ª ÀÖ¾ú´Ù´Â °Ì´Ï´Ù. ÀÌ·¯ÇÑ Ãë¾àÁ¡µéÀÇ °æ¿ì °ø°ÝÀÚ°¡ ¿ø°Ý¿¡¼ Á¢±ÙÇØ °ü¸®ÀÚ±Þ ±ÇÇÑÀ» °¡Á®°¥ ¼ö ÀÖ°Ô µË´Ï´Ù.¡± ISEÀÇ ¼³¸íÀÌ´Ù.
¡°13°³ Áß 12°³ Àåºñ¿¡¼´Â ·çÆ® ¼Ð(root shell)À» È®º¸ÇÏ´Â µ¥ ¼º°øÇß½À´Ï´Ù. Áï ÀåºñÀÇ ¿ÏÀüÇÑ Àå¾Ç°ú ÅëÁ¦°¡ °¡´ÉÇß´Ù´Â °ÍÀÔ´Ï´Ù. ÀÌ Áß 6°³´Â ÀÎÁõ °úÁ¤À» Åë°úÇÒ ÇÊ¿äµµ ¾øÀÌ ¿ø°Ý¿¡¼ ÀͽºÇ÷ÎÀÕÀ» ÇÒ ¼öµµ ÀÖ¾ú½À´Ï´Ù. ÀÌ ¿©¼¸ °³´Â The Asustor AS-602T, Buffalo TeraStation TS5600D1206, TerraMaster F2-420, Drobo 5N2, Netgear Nighthawk R9000, TOTOLINK A3002RUÀÔ´Ï´Ù.¡±
ÀÌ Áß Buffalo TeraStation TS5600D1206¶ó´Â Àåºñ´Â ±â¾÷¿ë ¼öÁØÀÇ °í±Þ NAS·Î, »ç¿ëÀÚ°¡ Àåºñ ³»¿¡¼ ½ÇÇà ÁßÀÎ ¼ºñ½º¸¦ °ü¸®ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ±â´ÉÀ» °¡Áö°í ÀÖ´Ù. ±×·¯³ª ÄíÅ°¸¦ ó¸®ÇÏ´Â ºÎºÐ¿¡¼ ¹®Á¦°¡ ¹ß°ßµÆ´Ù. ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì ¼ºñ½º¸¦ °ø°ÝÀÚ ¸¶À½´ë·Î ²ô°Å³ª ÄÓ ¼ö ÀÖ°í, À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» ÅëÇØ ´Ù¸¥ ±â´ÉÀ» ¼öÇàÇÏ´Â °Íµµ °¡´ÉÇÏ°Ô µÈ´Ù.
Netgear Nighthawk X10 R9000¶ó´Â ÀåºñÀÇ °æ¿ì, °í°¡ÀÇ ÇÏÀÌ¿£µå Ç÷¡±×½Ê ¶ó¿ìÅÍÀε¥, ÄÚµå ÁÖÀÔ °ø°Ý¿¡ Ãë¾àÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ¡°ÀÌ Àåºñ´Â SOAPÀ» ±â¹ÝÀ¸·Î ÇÑ ¸ð¹ÙÀÏ ¾ÖÇø®ÄÉÀ̼ÇÀ» ÅëÇØ °ü¸®ÀÚ°¡ ³×Æ®¿öÅ© ȯ°æ¼³Á¤À» Á¶Á¤Çϰųª Àåºñ ·Î±×¸¦ ¿¶÷ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â ±â´ÉÀ» °¡Áö°í ÀÖ½À´Ï´Ù. ÀÌ ºÎºÐÀ» ½ÇÇèÇغ¸´Ï ƯÁ¤ HTTP Çì´õ¸¦ ó¸®ÇÏ´Â µ¥¿¡ ÀÖ¾î¼ ¹®Á¦°¡ ³ªÅ¸³µ½À´Ï´Ù. Çì´õÀÇ ³»¿ëÀ» Ŭ¶óÀ̾ðÆ®ÀÇ ½ÇÁ¦ IP ÁÖ¼Ò·Î Çؼ®ÇÏ°í, ÀÌÀü °ªÀ» ÀüºÎ ¿À¹ö¶óÀ̵å½ÃŲ´Ù´Â °Ì´Ï´Ù. »Ó¸¸ ¾Æ´Ï¶ó ÀÚ½ÅÀÇ IP ÁÖ¼Ò¿¡¼ ¿À´Â ¸ðµç ¿äûµéÀ» ÈÀÌÆ®¸®½ºÆ® ó¸®ÇѴٴ Ư¡µµ °¡Áö°í ÀÖ¾ú½À´Ï´Ù. ÀÌ °æ¿ì ÀÎÁõ ¾øÀÌ API¸¦ ³»ºÎ¿¡¼ »ç¿ëÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
ÀÌ µÎ °¡Áö ¹®Á¦°¡ ÇÕÃÄÁú °æ¿ì, °ø°ÝÀÚ´Â SOAP API¿Í °ü·ÃµÈ ¸ðµç ÀÎÁõ È®ÀÎ °úÁ¤À» ¿ìȸÇÒ ¼ö ÀÖ°Ô µÈ´Ù°í ISE´Â ¼³¸íÇÑ´Ù. ¡°Æ¯Á¤ HTTP Çì´õ¸¦ Ŭ¶óÀ̾ðÆ®°¡ Á¦¾îÇÏ°í ÀÖ°í, Àåºñ°¡ Á¦´ë·Î µÈ ¹ë·±¼(balancer)³ª ¸®¹ö½º ÇÁ·Ï½Ã·Î º¸È£µÇÁö ¾Ê±â ¶§¹®ÀÔ´Ï´Ù.¡±
±×·¯¸é¼ ISE´Â ¶ó¿ìÅͳª NAS¿¡ º¸ÆíÀûÀ¸·Î µµÀÔµÈ ±âº» º¸¾È ÀåÄ¡µéÀ» Àü¹ÝÀûÀ¸·Î Á¶»çÇÒ ¼ö ÀÖ°Ô µÇ¾ú´Ù. ±×¸®°í ÀϺΠÀåºñ¿¡´Â ²Ï³ª Çâ»óµÈ º¸¾È ±â´ÉÀÌ Å¾ÀçµÇ¾î ÀÖ´Ù´Â »ç½Çµµ ¹ß°ßÇÒ ¼ö ÀÖ¾ú´Ù°í ÇÑ´Ù. ¡°¿¹¸¦ µé¾î ¿¡À̼ö½ºÀÇ ¶ó¿ìÅ͵éÀº ÁÖ¼Ò °ø°£ ·¹À̾ƿô ¹«ÀÛÀ§È(ASLR) ±â´ÉÀ» °¡Áö°í ÀÖ¾ú½À´Ï´Ù. ¹öÆÛ ¿À¹öÇÃ·Î¿ì °ø°ÝÀ» ÈξÀ ´õ ¾î·Æ°Ô ÇØÁÖ´Â ±â´ÉÀÌÁÒ. ¶Ç ÀϺΠÁ¦Á¶»çµéÀº ¸®¹ö½º ¿£Áö´Ï¾î¸µÀ» ¾î·Æ°Ô ¸¸µå´Â ÀåÄ¡¸¦ žÀç½ÃÅ°±âµµ Çß½À´Ï´Ù. Å׶󸶽ºÅÍ F2-420ÀÇ °æ¿ì PHP À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» À§ÇÑ ÆÄÀϵéÀ» ¾ÏÈ£È Çϱ⵵ ÇÕ´Ï´Ù. ½Ã°ÔÀÌÆ®ÀÇ STCR3000101Àº °íÀ¯ÀÇ ¿äû ¹«°á¼º È®ÀÎ ÀåÄ¡·Î HTTP ¿äû Á¶ÀÛ °ø°ÝÀ» ¹«·ÂȽÃÅ°°í ÇÕ´Ï´Ù.¡±
±×·¯³ª ÀÌ·± °í±Þ ±â´ÉÀ» °¡Áö°í ÀÖ´Ù°í Çؼ º¸¾ÈÀÌ ¿Ïº®ÇÑ °ÍÀº °áÄÚ ¾Æ´Ï¾ú´Ù. ¡°CSRF ¹æÁö ÅäÅ«À̳ª ºê¶ó¿ìÀú º¸¾È Çì´õ µî ±âº»ÀûÀÎ °ÍµéÀÌ Àß °®ÃçÁø Àåºñ¸¦ °ÅÀÇ º¸Áö ¸øÇß½À´Ï´Ù. »ç½Ç»ó ¾ø´Ù°í ºÁµµ ¹«¹æÇÕ´Ï´Ù. Çâ»óµÈ º¸¾È ±â¼úÀ» º¸À¯ÇÏ°í ÀÖ´õ¶óµµ ±âº»ÀûÀÎ ºÎºÐÀ» ÁöÄÑ¾ß ÇÏ´Â °Ç, º¸¾ÈÀÌ ¿©·¯ ÃþÀ§¿¡¼ ÀÌ·ïÁ®¾ß ÇÏ´Â °ÍÀ̱⠶§¹®ÀÔ´Ï´Ù. ±×°É Àß ÀÌÇØ ¸øÇÏ´Â °Í °°½À´Ï´Ù.¡±
ISE ÃøÀº ÀÌ·¯ÇÑ Ãë¾àÁ¡µéÀ» °ø°³Çϱ⿡ ¾Õ¼ Á¦Á¶»çµé¿¡ ¸ÕÀú ¾Ë·È´Ù. ´ëºÎºÐ ´äÀåÀ» º¸³»°í ÀûÀýÇÑ Á¶Ä¡¸¦ ÃëÇØ ¹®Á¦¸¦ ÇØ°áÇß´Ù. ±×·¯³ª µå·Îº¸(Drobo), ¹öÆÈ·Î ¾Æ¸Þ¸®Ä«½º(Buffalo Americas), ½Ã¿ÂÄÞ È¦µùÁî(Zioncom Holdings)´Â ¾ÆÁ÷ ¾Æ¹«·± ¹ÝÀÀÀ» º¸ÀÌÁö ¾Ê°í ÀÖ´Ù. ´äÀåµµ ¾ø°í, ÆÐÄ¡µµ ¾ø´Â »óŶó´Â °ÍÀÌ´Ù.
±×·¯³ª ¸¶Áö¸· ¼ø°£¿¡ ISE´Â µå·Îº¸ Ãø°ú ¿¬¶ôÀÌ ´ê¾Ò´Ù. ¡°±×·¡¼ ÀúÈñ°¡ ã¾Æ³½ °á°ú¸¦ ÀüºÎ Á¦°øÇß½À´Ï´Ù. ÇÏÁö¸¸ ¾ÆÁ÷±îÁö ÃÖÃÊ ¿¬¶ô ÀÌÈÄ ´äÀåÀ̳ª ÆÐÄ¡°¡ ¾ø½À´Ï´Ù. ISE´Â ´Ù½Ã ÇÑ ¹ø ÀÌÀü ¸ÞÀÏÀ» ÅëÇØ Àü¼ÛÇß´ø ÀڷḦ º¸³»Áá°í, Áö±ÝÀº µÎ ¹ø°·Î ´äÀ» ±â´Ù¸®´Â »óÅÂÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ¶ó¿ìÅÍ¿Í NAS 13Á¾ Á¡°ËÇß´ø, Ãë¾àÁ¡ 125°³ ³ª¿È.
2. ²Ï³ª À¯¸íÇÑ È¸»çµéÀÇ Á¦Ç°µéµµ ÇÑ °á °°ÀÌ º¸¾È ±âº»±â ºÎÁ·.
3. Çâ»óµÈ º¸¾È ±â´É ÀÖÀ¸¸é ¹¹Çϳª, ±âº»ÀûÀÎ ´ÙÃþ ¹æ¾î°¡ ¾È µÇ´Âµ¥.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>