³ª¸ÓÁö 2°³´Â °ú°ÅÀÇ 1À§¿´´ø ¾îµµºñ Ç÷¡½Ã Ç÷¹À̾î...Ãë¾àÁ¡ °ü¸® Àý½ÇÈ÷ ÇÊ¿ä
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] »çÀ̹ö ¹üÁËÀÚµéÀÌ °¡Àå ¸¹ÀÌ ÀͽºÇ÷ÎÀÕ ÇÏ´Â ¼ÒÇÁÆ®¿þ¾î´Â ¹«¾ùÀϱî? 3³â ¿¬¼Ó MS°¡ 1À§¿¡ µî±ØÇß´Ù. 2019³â °¡Àå ¸¹ÀÌ ÀͽºÇ÷ÎÀÕ µÈ Ãë¾àÁ¡ 10°³ Áß 8°³°¡ MSÀÇ Á¦Ç°¿¡¼ ³ª¿Â °ÍÀ̾ú´Ù. ³ª¸ÓÁö 2°³´Â ¾ó¸¶ Àü±îÁö 1À§ ÀÚ¸®¸¦ ±»°ÇÈ÷ ÁöÄ×´ø ¾îµµºñ Ç÷¡½Ã Ç÷¹À̾¼ ³ª¿Ô´Ù.
[À̹ÌÁö = iclickart]
À̸¦ Á¶»çÇÑ º¸¾È ¾÷ü ·¹ÄÚµðµå ǻó(Recorded Future)¿¡ ÀÇÇϸé ÁÖ·Î ÇÇ½Ì °ø°Ý, ÀͽºÇ÷ÎÀÕ Å°Æ® È°¿ë, ¿ø°Ý Á¢±Ù Æ®·ÎÀÌ ¸ñ¸¶ ¼³Ä¡¿¡ Ãë¾àÁ¡µéÀÌ È°¿ëµÇ°í ÀÖ´Ù°í ÇÑ´Ù. ´Ù¸¸ À̹ø Á¶»ç¿¡¼´Â ±¹°¡ »çÀ̹öÀü¿¡ ¼ÓÇÏ´Â ÀͽºÇ÷ÎÀÕ »ç°ÇµéÀº Á¦¿ÜµÇ¾ú´Ù.
2019³â 1À§ ÀÚ¸®¿¡ ¿À¸¥ Ãë¾àÁ¡Àº CVE-2018-15982ÀÎ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ¾îµµºñ Ç÷¡½Ã Ç÷¹À̾î 31.0.0.153 ¹× ÀÌÇÏ ¹öÀü°ú 31.0.0.108 ¹× ÀÌÇÏ ¹öÀü¿¡¼ ¹ß°ßµÈ UaF Ãë¾àÁ¡ÀÌ´Ù. ¼º°øÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ¿ø°Ý ÄÚµå ½ÇÇàÀ» °¡´ÉÄÉ ÇÑ´Ù. ÀͽºÇ÷ÎÀÕÀº ¸®±×(RIG), ±×·£µå¼ÒÇÁÆ®(Grandsoft), ¾ð´õ¸¶À̳Ê(UnderMiner), ÄÉÀÌÇÁ»÷µå(Capesand), ½ºÆç·¹º¸(Spelevo)¿Í °°Àº ÀͽºÇ÷ÎÀÕ Å°Æ®¿¡µµ Æ÷ÇԵŠÀÖ´Ù.
±× ´ÙÀ½À¸·Î ¸¹ÀÌ ÀͽºÇ÷ÎÀÕ µÈ ¼ÒÇÁÆ®¿þ¾î´Â MSÀÇ ÀÎÅÍ³Ý ÀͽºÇ÷η¯¿´´Ù. ¹«·Á 4°³ÀÇ IE Ãë¾àÁ¡ÀÌ 10À§¿¡ À̸§À» ¿Ã·È´Ù. ±× Áß Çϳª°¡ À©µµ¿ì VB½ºÅ©¸³Æà ¿£Áø¿¡¼ ¹ß°ßµÈ CVE-2018-8174·Î Àüü 2À§¸¦ ±â·ÏÇß´Ù. ÀÌ Ãë¾àÁ¡ÀÇ ÀͽºÇ÷ÎÀÕ ¿ª½Ã ¿©·¯ °¡Áö ÀͽºÇ÷ÎÀÕ Å°Æ®¸¦ ÅëÇØ ¹èÆ÷µÆ´Ù.
2019³â ÃÖ°íÀÇ Ãë¾àÁ¡ 10°³ Áß 6°³´Â »ç½Ç 2018³â ÃÖ°íÀÇ Ãë¾àÁ¡ 10°³¿¡ Æ÷ÇÔµÈ °ÍµéÀÌ´Ù. ±× Áß Çϳª´Â ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿ÀÇǽº¿Í ¿öµåÆе忡¼ ¹ß°ßµÈ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÎ CVE-2017-0199·Î, 3³â ¿¬¼Ó À̸§À» ¿Ã¸®´Â ±â¿°À» ÅäÇÏ°í ÀÖ´Ù. »ç½Ç ¿ÃÇØ ¸· ¹ß°ßµÇ¾úÀ¸¸é¼ 10À§ ¸ñ·Ï ¾È¿¡ µé¾î°£ Ãë¾àÁ¡Àº µü Çϳª, CVE-2019-0752¹Û¿¡ ¾ø´Ù°í ÇÑ´Ù. ÀÎÅÍ³Ý ÀͽºÇ÷η¯ 10°ú 11¿¡¼ ¹ß°ßµÈ °ÍÀÌ´Ù.
¡°ÀÌ·¸°Ô ¸î ³â ¾¿À̳ª °°Àº Ãë¾àÁ¡ÀÌ ²ÙÁØÈ÷ ÀͽºÇ÷ÎÀÕ µÇ°í ÀÖ´Ù´Â °Ç ½É°¢ÇÑ ÀÏÀÔ´Ï´Ù. ±× ¸¸Å ÆÐÄ¡³ª ÇØ°áÀÌ ÀÌ·ïÁö°í ÀÖÁö ¾Ê´Ù´Â ¶æÀ̴ϱî¿ä. ¸· ¸»·Î, ¹ß°ß¸¸ Àß ÇÏÁö, ±× ÈÄ¿¡´Â ¾Æ¹«µµ ½Å°æÀ» ¾²Áö ¾Ê´Â´Ù´Â °Í°ú ´Ù¸§ÀÌ ¾ø½À´Ï´Ù.¡± ·¹ÄÚµðµå ǻóÀÇ ¼¼ÀÏÁî ¿£Áö´Ï¾îÀΠij½½¸° ÄíÅ©Á(Kathleen Kuczma)ÀÇ ¼³¸íÀÌ´Ù.
ÀÌ ¶§¹®¿¡ ÆÄ»ýµÇ´Â ¶Ç ´Ù¸¥ Çö»óµµ Á¸ÀçÇÑ´Ù. ¡°Ãë¾àÁ¡À» °ü¸®Çϰųª ÇØ°áÇÏ·Á´Â ³ë·ÂÀÌ ¾ø°Å³ª ½ÇÆÐÇÏ´Ï, Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕÀ» ÅëÇØ Ä§Åõ¿Í ÇØÅ· °ø°ÝÀÌ ¹ß»ýÇÏ°í À־ ¸ð¸£´Â Á¶Á÷ÀÌ Å¹ÝÀÔ´Ï´Ù. °í°´»ç¿¡¼ ħÅõ Å×½ºÆ®¸¦ ÇÏ´Ùº¸¸é ½ÇÁ¦ °ø°ÝÀÇ ÈçÀûÀ» ¹ß°ßÇÏ´Â ¶§°¡ ¸¹Àºµ¥, ´ëºÎºÐ Ŭ¶óÀ̾ðÆ®´Â ÀÌ¿¡ ´ëÇØ ÀüÇô ¸ð¸£°í ÀÖ½À´Ï´Ù.¡±
µû¶ó¼ ·¹ÄÚµðµå ǻó°¡ ¹ßÇàÇÑ 2019³â ÃÖ°í Ãë¾àÁ¡ 10°³(https://www.recordedfuture.com/top-vulnerabilities-2019/)¿Í °°Àº ¸ñ·ÏÀ» Âü°íÇØ ÆÐÄ¡¿Í Ãë¾àÁ¡ Á¡°ËÀ» ÁøÇàÇϸé È¿À²ÀûÀÏ ¼ö ÀÖ´Ù. ¡°´ÙÇàÀÎ °Ç Ãë¾àÁ¡ÀÌ ¹ß°ßµÇÀÚ¸¶ÀÚ ÀͽºÇ÷ÎÀÕ µÇ°í °ø°ÝÀÚµéÀÇ µµ±¸°¡ µÇ´Â °æ¿ì´Â 1%µµ µÇÁö ¾Ê´Â´Ù´Â °Ì´Ï´Ù. ±×·¯´Ï Áß¿äÇÑ Ãë¾àÁ¡µéºÎÅÍ Ã£¾Æ³» ÆÐÄ¡¸¦ ºü¸£°Ô Çϸé ÇÒ¼ö·Ï ¸¹Àº ÇØÅ· ½Ãµµ¸¦ ÅðÄ¡ÇÒ ¼ö ÀÖ½À´Ï´Ù.¡±
º¸¾È ¾÷ü ¸®½ºÅ© º£À̽ºµå ½ÃÅ¥¸®Æ¼(Risk Based Security)ÀÇ ºÎȸÀåÀÎ ºê¶óÀ̾𠸶ƾ(Brian Martin)Àº ¡°±â¾÷µéÀÌ Ãë¾àÁ¡À» °ü¸®ÇÏ´Â µ¥ ÀÖ¾î ±â¾ïÇØ¾ß ÇÒ Çö½ÇÀÌ ÀÖ´Ù¡±°í °Á¶ÇÑ´Ù. ¡°±×°Ç ¹Ù·Î ¾Ë·ÁÁø Ãë¾àÁ¡µéÀ̶ó¸é CVE ¹øÈ£°¡ ºÙ±âµµ Àü¿¡ È°¹ßÈ÷ ÀͽºÇ÷ÎÀÕÀ» ÇÑ´Ù´Â °ÍÀÔ´Ï´Ù. ¶ÇÇÑ CVE Ãë¾àÁ¡ µ¥ÀÌÅͺ£À̽º´Â ¿Ïº®ÇÏÁö ¾Ê´Ù´Â °Ì´Ï´Ù. ¼¼»ó¿¡´Â CVE°¡ ºÙÁö ¾ÊÀº Ãë¾àÁ¡µéÀÌ ¼ö¾øÀÌ ¸¹ÀÌ Á¸ÀçÇÕ´Ï´Ù. ±×·¯´Ï ±â¾÷µéÀº ´Ù¸¥ Ãë¾àÁ¡ µ¥ÀÌÅͺ£À̽ºµµ Âü°íÇØ¾ß ÇÕ´Ï´Ù.¡±
ÆÇ´Ù ½ÃÅ¥¸®Æ¼(Panda Security)ÀÇ ¿£Áö´Ï¾îÀÎ ·çÀÌ ·ÎÆäÁî(Rui Lopes)´Â ¡°ÀÌ·± ¸ñ·ÏÀÌ ¹ßÇ¥µÉ ¶§¸¶´Ù ¹æ¾îÀÚ È¤Àº »ç¿ëÀÚ ±â¾÷µéÀº Ãë¾àÁ¡ °ü¸® ½Ã½ºÅÛÀÌ º¸¾È Àü·«¿¡ ÀÖ¾î °¡Àå Áß¿äÇÏ°í Çö½ÇÀûÀÎ ¿ä¼Ò¶ó´Â °É ±ú´Þ¾Æ¾ß ÇÑ´Ù¡±°í °Á¶ÇÑ´Ù. ¡°Ãë¾àÁ¡À» ÆľÇ, ¸ð´ÏÅ͸µ, ÆÐÄ¡ÇÏ´Â ½Ã½ºÅÛÀÌ °ß°íÇÑ ±â¾÷Àº, ´Ü´ÜÇÑ ¹ÙÀ§ À§¿¡ ÁýÀ» ÁöÀº °Í°ú °°½À´Ï´Ù. °ªºñ½Ñ º¸¾È ¼Ö·ç¼Ç ±¸¸ÅÇÏ´Â °Íº¸´Ù ÀÌ·± ÆÐÄ¡ Àü·«À» ¼ö¸³ÇÏ°í ½ÇõÇÏ´Â °ÍÀÌ ÈξÀ È¿°úÀûÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. 3³â ¿¬¼Ó MS°¡ ÇØÄ¿µé »çÀÌ¿¡¼ Àα⠰¡Àå ³ôÀº ¼ÒÇÁÆ®¿þ¾î·Î ²ÅÈû.
2. ¾Ç¸í ³ô¾Ò´ø Ç÷¡½Ãµµ ¿©ÀüÈ÷ ž10 ¸ñ·Ï¿¡ À̸§À» ¿Ã¸².
3. Ãë¾àÁ¡ °ü¸®¿Í ÆÐÄ¡ Àü·«, Á¶Á÷ ³» ¹Ýµå½Ã ÀÖ¾î¾ß ÇÒ º¸¾È Á¤Ã¥.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>