6°³ Ŭ¶ó¿ìµå ¼ºñ½º¿¡¼ ¸ÞŸµ¥ÀÌÅÍ À¯Ãâ Á¤È² ¹ß°ßµÅ...MS ¾ÖÀú¸¸ ¿¹¿Ü
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¼öõ~¼ö¸¸ °³ÀÇ Áö¶ó(Jira) ÀνºÅϽºµéÀÌ ¼¹ö »çÀÌµå ¿äû Á¶ÀÛ(Server-side Request Forgery, SSRF) Ãë¾àÁ¡¿¡ ³ëÃâµÇ¾î ÀÖ´Ù´Â ¼Ò½ÄÀÌ´Ù. °ø°ø Ŭ¶ó¿ìµå¸¦ ±â¹ÝÀ¸·Î ÀÛµ¿ÇÏ´Â °¢Á¾ ¾ÖÇø®ÄÉÀ̼ǵ鿡 ÀûÀÝÀº ¿µÇâÀÌ ÀÖ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
SSRF Ãë¾àÁ¡Àº Ŭ¶ó¿ìµå ¼ºñ½º¿Í ¹ÐÁ¢ÇÑ °ü·ÃÀÌ ÀÖ´Ù. ¸ÞŸµ¥ÀÌÅÍ API ¶§¹®ÀÌ´Ù. ¸ÞŸµ¥ÀÌÅÍ API°¡ ÀÖ¾î °ø°ø Ŭ¶ó¿ìµå¸¦ ÅëÇØ Á¦°øµÇ´Â ¾ÖÇø®ÄÉÀ̼ǵéÀÌ È¯°æ¼³Á¤, ·Î±×, Å©¸®µ§¼È µîÀÇ Á¤º¸¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ¹°·Ð ¸ÞŸµ¥ÀÌÅÍ API´Â ·ÎÄÿ¡¼¸¸ Á¢±ÙÀÌ °¡´ÉÇѵ¥, SSRF Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ÀÎÅͳÝÀ» ÅëÇؼµµ Á¢±ÙÀÌ °¡´ÉÇÏ°Ô µÈ´Ù. ¶ÇÇÑ ÇÑ ¹ø ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇϸé ȾÀû ¿òÁ÷ÀÓ°ú ³×Æ®¿öÅ© Á¤Âûµµ °¡´ÉÇÏ´Ù°í ÇÑ´Ù.
SSRF Ãë¾àÁ¡ÀÌ ¹ß»ýÇÏ°Ô µÇ´Â °Ç À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ±¸Á¶ ¶§¹®ÀÌ´Ù. ¾ÖÇø®ÄÉÀ̼ÇÀ» ÅëÇØ ¿äûÀÌ µé¾î¿À¸é, À̸¦ ó¸®Çϱâ À§ÇØ ´Ù¸¥ µµ¸ÞÀο¡ ¸¶·ÃµÈ ÀÚ¿ø¿¡ Á¢±ÙÇØ¾ß Çϴµ¥, ÀÌ ¶§ ÀԷµǴ URLÀÌ Á¦´ë·Î °Ë»çµÇÁö ¾ÊÀ» ¶§ SSRF °ø°ÝÀÌ °¡´ÉÇÏ°Ô µÈ´Ù. ÀÌ Á¡À» È°¿ëÇÒ °æ¿ì °ø°ÝÀÚ´Â µµÂøÁö°¡ µÇ´Â URLÀ» Á¶ÀÛÇÒ ¼ö ÀÖ´Ù.
°ø°ÝÀÚµéÀÌ SSRF Ãë¾àÁ¡À» ÁÁ¾ÆÇÏ´Â ÀÌÀ¯´Â, ¹æȺ® ³Ê¸Ó¿¡±îÁö µµ´ÞÇÒ ¼ö Àֱ⠶§¹®ÀÌ´Ù. µû¶ó¼ ¾î¶² ȯ°æ¿¡¼ SSRF °ø°ÝÀ» ÇÏ´À³Ä¿¡ µû¶ó ±× °á°ú°¡ õÂ÷¸¸º°·Î ´Þ¶óÁø´Ù. ¹æȺ® µÚÆíÀ» ¾î¶² ½ÄÀ¸·Î ±¸¼ºÇسõ´À³Ä¿¡ µû¶ó ´ë´ÜÈ÷ ½É°¢ÇÑ »çÅ°¡ ¹ß»ýÇÒ ¼öµµ ÀÖ´Ù. ¿Ã ¿©¸§ ijÇÇÅ» ¿ø(Capital One)ÀÇ ´ëÇü Á¤º¸ À¯Ãâ »ç°í¸¦ ÀÏÀ¸Ä×´ø Ãë¾àÁ¡°ú »ó´çÈ÷ Èí»çÇÏ´Ù.
º¸¾È ¾÷ü ÆȷξËÅä ³×Æ®¿÷½º(Palo Alto Networks)ÀÇ º¸¾È Àü¹®°¡µéÀº ÀÌ·± SSRF Ãë¾àÁ¡ÀÌ °ø°ø Ŭ¶ó¿ìµå ȯ°æ¿¡ ¹ÌÄ¡´Â ¿µÇâÀ» ¸íÈ®È÷ ¾Ë°íÀÚ, Áö¶ó(Jira)ÀÇ SSRF Ãë¾àÁ¡ÀÎ CVE-2019-8451À» ¿©¼¸ °³ÀÇ °ø°ø Ŭ¶ó¿ìµå ȯ°æ¿¡¼ ½ÇÇèÇß´Ù. ÀÌ Ãë¾àÁ¡Àº ÀÎÁõ °úÁ¤À» Åë°úÇÏÁö ¾Ê¾Æµµ ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÑ °ÍÀ¸·Î Áö³ 8¿ù¿¡ ÃÖÃÊ·Î °ø°³µÆ´Ù. 2017³â 11¿ù¿¡ ¹èÆ÷µÈ Áö¶ó 7.6 ¹öÀü¿¡¼ ¹ß°ßµÇ¾ú°í, 2011³â 3¿ù¿¡ ¹ßÇ¥µÈ 4.3 ¹öÀü¿¡±îÁö ¿µÇâÀ» ¹ÌÄ¡°í ÀÖÀ½ÀÌ È®ÀεƴÙ.
À̹ø ¿¬±¸¸¦ À̲ø¾ú´ø À§Çù øº¸ ºÎ¹® ºÎȸÀåÀÎ Á¨ ¹Ð·¯¿À½ºº»(Jen Miller-Osborn)Àº ¡°CVE-2019-8451ÀÌ ³Ê¹«³ª ¿À·£ ±â°£ ¹æÄ¡µÇ¾ú´ø Ãë¾àÁ¡À̶ó´Â Á¡¿¡¼ »ó´çÈ÷ À§ÇèÇÑ Ãë¾àÁ¡¡±À̶ó°í ÁöÀûÇß´Ù. ¡°»ç½Ç»ó 2011³âºÎÅÍ ÇÑ ¹øµµ ¹ß°ßµÇÁö ¾ÊÀº ä Áö¶ó ¼Ó¿¡ µµ»ç¸®°í ÀÖ´ø °ÍÀÔ´Ï´Ù.¡± ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ ÆÐÄ¡´Â 8¿ù¿¡ ¹ßÇ¥µÆ´Ù. ÇÏÁö¸¸ ¾ÆÁ÷ ¾÷µ¥ÀÌÆ®°¡ ´Ù Àû¿ëµÈ °Ç ¾Æ´Ï´Ù.
¡°Áö¶ó´Â ¾÷¹«¿ëÀ¸·Î È°¿ëµÇ´Â »ý»ê¼º ¼ÒÇÁÆ®¿þ¾îÀÔ´Ï´Ù. ±×·¸´Ù´Â °Ç, ÆÐÄ¡¸¦ À§ÇØ Àá½Ã ¿î¿µÀ» Áß´ÜÇÒ ¶§ °ð¹Ù·Î »ý»ê·®¿¡ ¿µÇâÀ» Áشٴ ¶æÀÔ´Ï´Ù. ±×·¡¼ »ç¿ëÀÚµéÀÌ Àß ÆÐÄ¡¸¦ ÇÏÁö ¾ÊÁÒ. ÇÏ´õ¶óµµ ¸Å¿ì ´Ê´Â °Ô º¸ÅëÀÌ°í¿ä. »ý»êÀ» ¸ØÃß´À´Ï À§ÇèÀ» °¨¼öÇÏ°Ú´Ù´Â °Ô ÀϹÝÀûÀÎ ±â¾÷µéÀÇ »ý°¢ÀÔ´Ï´Ù.¡±
ÆȷξËÅäÀÇ ¿¬±¸¿øµéÀº ÀÌ·¯ÇÑ Ãë¾àÁ¡ Á¤º¸¸¦ ¼Õ¿¡ µé°í ¼î´Ü(Shodan)¿¡¼ ½ºÄµÀ» ½ÃÀÛÇß´Ù. ÀÎÅͳݿ¡ ³ëÃâµÇ¾î ÀÖ´Â Áö¶ó ÀνºÅϽº°¡ 2¸¸ 5õ¿© °³ ³ªÅ¸³µ´Ù. °¡Àå Áö¶ó°¡ ¸¹Àº Ŭ¶ó¿ìµå Á¦°ø ¾÷ü 6°³¸¦ °ñ¶ó³Â´Ù. ¾î¶² °ø°ø Ŭ¶ó¿ìµå ¼ºñ½º°¡ CVE-2019-8451¿¡ °¡Àå ¸¹ÀÌ ³ëÃâµÇ¾î ÀÖ´ÂÁö º¸·Á°í ÇÑ °ÍÀÌ´Ù.
¡°±× °á°ú 7002°³ÀÇ Áö¶ó ÀνºÅϽºµéÀÌ ¿©¼¸ °³ Ŭ¶ó¿ìµå ¼ºñ½º¸¦ ÅëÇØ ÀÎÅͳݿ¡ ³ëÃâµÇ¾î ÀÖ¾ú½À´Ï´Ù. ÀÌ Áß 45%ÀÎ 3152°³´Â ÆÐÄ¡¿Í ¾÷µ¥ÀÌÆ®°¡ µÇÁö ¾Ê¾Æ¼ Ãë¾àÇÑ »óÅ¿´½À´Ï´Ù. ÀÌ Ãë¾àÇÑ ÀνºÅϽº Áß 56%ÀÎ 1779°³´Â Ŭ¶ó¿ìµå ÀÎÇÁ¶óÀÇ ¸ÞŸµ¥ÀÌÅÍ(¼Ò½ºÄÚµå, Å©¸®µ§¼È, ȯ°æ¼³Á¤ µî)¸¦ ³ëÃâ½ÃÅ°°í ÀÖ¾ú½À´Ï´Ù. °¡Àå ¸¹Àº µ¥ÀÌÅ͸¦ ³ëÃâ½ÃÅ°°í ÀÖ´ø Ŭ¶ó¿ìµå ¼ºñ½º´Â µðÁöÅпÀ¼Ç(DigitalOcean)À̾ú°í(93%), ±× µÚ·Î ±¸±Û(80%), ¾Ë¸®¹Ù¹Ù(71%), AWS(68%), ÇìÃ÷³Ê(21%)°¡ À̸§À» ¿Ã·È½À´Ï´Ù.¡±
°ø°ø Ŭ¶ó¿ìµå ¼ºñ½º Áß ¸ÞŸµ¥ÀÌÅÍ À¯ÃâÀÌ ´Ü ÇÑ °Çµµ ³ªÅ¸³ªÁö ¾ÊÀº °Ç MS ¾ÖÀú°¡ À¯ÀÏÇß´Ù. ¡°¾ÖÀúÀÇ °æ¿ì ¸ÞŸµ¥ÀÌÅÍ APIÀÇ Çì´õ °ü·Ã ±ÔÄ¢ÀÌ ¸Å¿ì ±î´Ù·Ó½À´Ï´Ù. ÀÌ ¶§¹®¿¡ SSRF ¿äûÀÌ ÀüºÎ Â÷´ÜµË´Ï´Ù.¡±
ÀÌ ¹®Á¦¸¦ ÇØ°áÇÏ·Á¸é ¸ÕÀú °³¹ßÀÚµéÀÌ »ç¿ëÀÚµéÀÇ ÀԷ°ªÀ» Á¦´ë·Î È®ÀÎÇÏ´Â ÀýÂ÷¸¦ ¾ÖÇø®ÄÉÀÌ¼Ç ·ÎÁ÷ ¾È¿¡ Æ÷ÇÔ½ÃÄÑ¾ß ÇÑ´Ù. ¾ÈŸ±õÁö¸¸ ¾ÛÀ» È®ÀÎ, ¼³Ä¡, »èÁ¦¸¸ ÇÏ´Â ³×Æ®¿öÅ© ¹× º¸¾È °ü¸®ÀÚ ÀÔÀå¿¡¼´Â ÇÒ ¼ö ÀÖ´Â ÀÏÀÌ °ÅÀÇ ¾ø´Ù. ¡°±×·¡µµ ¾ÖÇø®ÄÉÀ̼ÇÀÌ Á¢¼ÓÇÒ ¼ö ÀÖ´Â µµ¸ÞÀÎÀ» ÈÀÌÆ®¸®½ºÆ®·Î ÁöÁ¤ÇØ µÎ¸é ¾î´À Á¤µµ À§ÇèÀÌ ¿Ï鵃 ¼ö ÀÖ½À´Ï´Ù. ±× ¿Ü¿¡ ¸ÞŸµ¥ÀÌÅÍ APIÀÇ IP¸¦ Â÷´ÜÇÏ´Â ±ÔÄ¢À» °¡»ó±â°è ¾È¿¡ ¼³Á¤Çسõ´Â °Íµµ ³ª»ÚÁö ¾ÊÀº ¹æ¹ýÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. À¯¸í À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ÀνºÅϽº ÅëÇØ °ø°ø Ŭ¶ó¿ìµå µ¥ÀÌÅÍ »õ³ª°¡°í ÀÖÀ½.
2. ¿©±â¼ ¹®Á¦°¡ µÇ´Â Ãë¾àÁ¡Àº SSRF.
3. °³¹ßÀÚµéÀÌ À¥ ¾Û ¸¸µé ¶§ »ç¿ëÀÚ ÀԷ°ª °Ë»ç µÇµµ·Ï ÇØ¾ß ÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>