MS의 긴급 보안 권고문을 통해 드러난 현 개발 방식의 취약점

오토데스크의 소프트웨어 개발 키트인 FBX에서 여러 가지 취약점 발견되고
이 때문에 영향 받는 MS 제품들 있어 긴급 보안 권고문 발표돼...패치는 다음 달

[보안뉴스 문가용 기자] 마이크로소프트가 긴급 보안 권고문을 발표했다. 오토데스크의 FBX 소프트웨어에서 발견된 취약점들과 관련된 내용으로, MS의 오피스, 오피스 365, 페인트3D와 같은 제품에 영향을 미친다고 한다.

[이미지 = iclickart]

이번 달 초 오토데스크는 자사의 FBX 소프트웨어 개발 키트에서 발견된 다량의 취약점을 패치한 바 있다. 원격 코드 실행과 디도스 공격 등을 가능케 하는 취약점이었다. FBX 2020.0 및 이전 버전들에 영향을 미치며, 오토데스크에 따르면 그 유형들이 다음과 같이 분류된다고 한다.

1) 버퍼 오버플로우(buffer overflow)
2) 타입 컨퓨전(type confusion)
3) UaF(use-after-free)
4) 정수 오버플로우(integer overflow)
5) 널 포인터 역참조(NULL pointer dereference)
6) 힙 오버플로우(heap overflow)

취약점의 공식 관리 번호와 성격은 다음과 같았다.
1) CVE-2020-7080 : 코드 실행으로 이어짐
2) CVE-2020-7081 : 코드 실행 혹은 디도스 공격으로 이어짐
3) CVE-2020-7082 : 코드 실행
4) CVE-2020-7083 : 디도스
5) CVE-2020-7084 : 디도스
6) CVE-2020-7085 : 코드 실행

문제는 마이크로소프트 제품 일부에서 FBX 라이브러리가 사용된다는 것이다. 그 결과 특수하게 조작된 3D 콘텐츠를 통해 원격 코드 실행이 가능해진다고 MS가 발표했다. 익스플로잇에 성공할 경우 공격자는 현재 사용자와 동일한 권한을 갖게 된다. 공격자가 할 일은 3D 콘텐츠를 만들어 사용자가 열도록 꾀는 것이다.

MS는 이러한 요소들에서 3D 콘텐츠가 처리되는 방식을 바꿈으로써 문제를 해결했다고 한다. 패치를 적용하는 것 외에 위험을 감소시킬 방법은 존재하지 않는다고 한다.

이번에 MS가 긴급 권고문을 발표했다고 해서 해당 제품 개발에 있어 MS의 태도가 안일했다고 말할 수는 없다. 다른 조직에서 만든 요소들을 가져와 사용할 경우(현대 제품 개발은 전부 이런 식으로 행해진다), 그 기능만이 아니라 취약점까지 고스란히 가져갈 수밖에 없다는 것이 드러났을 뿐이다.

보안 외신인 시큐리티위크(Securityweek)는 보안 업체 테너블(Tenable)의 엔지니어인 라이언 세구인(Ryan Seguin)의 말을 인용해 “오픈소스 요소였다면 MS가 미리 점검하지 않은 것에 대해 비판을 할 수 있지만, 오토데스크의 것이었기 때문에 MS는 이번처럼 긴급 권고문 발표로 대응하는 것이 최선이었다. 이는 현대 소프트웨어 개발 방식이 갖는 한계점”이라고 짚었다.

한편 MS는 권고문 외 실제 패치는 다음 달 공식 보안 업데이트를 통해 제공할 예정이다.

3줄 요약
1. MS, 오토데스크의 FBX 요소에서 발견된 취약점과 관련된 보안 권고문 발표.
2. 오토데스크에서 발견된 여러 가지 취약점, MS 제품 일부에도 영향 미침.
3. 이번에는 긴급 권고문, 5월 ‘패치 튜즈데이’에 실제 업데이트 배포 예정
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)