구글, 파일 접근 취약점 탐지 도구의 소스코드 공개해

파일 접근 취약점 탐지 도구 패스오디터...구글 내부적으로 유용하게 써와
파일 시스템에 접근 가능한 공격자는 권한 상승시켜 임의 코드 실행할 수 있어

[보안뉴스 문가용 기자] 구글이 오늘 파일 접근과 관련된 취약점을 식별하는 데 도움을 줄 수 있는 도구의 소스코드를 공개했다. 이 툴의 이름은 패스오디터(PathAuditor)로, “구글 내부적으로 유용하게 사용해온 도구”라고 한다. 그러한 경험을 바탕으로 오늘 패스오디터를 오픈소스로 전환한 것이다.

[이미지 = iclickart]

현재 구글은 패스오디터의 최종 보완 및 마무리 작업을 진행 중에 있는데, IT 개발 커뮤니티에서 툴의 향상에 도움을 줄 수 있을 것이라 보고 있다. 패스오디터는 구글이 계속해서 지원과 관리하는 도구가 아니라는 것도 강조됐다.

구글은 “파일 접근과 관련된 취약점들을 악용할 경우 공격자는 권한을 상승시켜 임의 코드를 실행할 수 있게 된다”며 “요즘처럼 소프트웨어에 대한 의존도가 높아진 때에 파일 접근과 관련된 취약점을 빠르고 정확하게 찾아낼 수 있다는 건 대단한 능력”이라고 강조했다. “그리고 이것이 패스오디터를 무료로 푸는 이유”라고 한다.

패스오디터는 LD_PRELOAD와 함께 프로세스들에 로딩될 수 있는 공유 라이브러리의 일종이다. 또한 파일 시스템과 연관성이 있는 libc 기능들을 감사한다. 권한이 없는 사용자가 파일이나 디렉토리를 변경할 수 있는지, 심볼릭 링크(symlink) 등을 활용해 비정상 조작이 가능한지 등을 점검한다고 한다.

구글은 툴의 소스코드와 함께 사용 설명서 성격의 문건들도 함께 공개했다. 패스오디터로 찾아낼 수 있는 취약점의 예시들도 제공했다. 현재 깃허브(https://github.com/google/path-auditor)를 통해 소스코드와 여러 자료들을 다운로드 받는 게 가능하다.

구글은 올해 다양한 프로젝트를 오픈소스로 전환한 바 있다.
1) 신뢰점 강화 프로젝트인 ‘오픈타이탄’(https://opensource.googleblog.com/2019/11/opentitan-open-sourcing-transparent.html)
2) 암호화 프로토콜인 ‘프라이빗 조인 앤 컴퓨트’(https://github.com/Google/private-join-and-compute)
3) 퍼징 테스트 플랫폼인 클러스터퍼즈(https://github.com/google/clusterfuzz)
4) 샌드박스 API(https://github.com/google/sandboxed-api)

3줄 요약
1. 구글, 파일 접근 관련 취약점 탐지 툴, 무료로 공개.
2. 이 툴의 이름은 패스오디터로, 깃허브에서 다운로드 가능함.
3. 구글은 올해 꽤 많은 툴들을 무료로 풀고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)