¿ø·¡ LAN¿¡¼¸¸ ÀÌ¿ëÇØ¾ß Çϴµ¥...ÀÎÅͳݿ¡µµ ¿¬°áÇÏ°í º¸¾Èµµ ÇÏÁö ¾Ê°í
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] UPnP ÇÁ·ÎÅäÄÝ¿¡¼ Ãë¾àÁ¡ÀÌ »õ·Ó°Ô ¹ß°ßµÆ´Ù. ¿µÇâ·ÂÀÌ ¸Å¿ì Å« Ãë¾àÁ¡À¸·Î ÇöÀç ¼ö½Ê ¾ï ´ëÀÇ ÀåºñµéÀÌ ÀÌ ¿À·ù¸¦ ³»Æ÷ÇÏ°í ÀÖÀ¸¸ç, ÇØÄ¿µéÀÇ ´Ù¾çÇÑ ¾Ç¼º ÇàÀ§ÀÇ ¹ßÆÇÀÌ µÇ°í ÀÖ´Â »óȲÀ̶ó°í ÇÑ´Ù.
[À̹ÌÁö = utoimage]
UPnP´Â ³×Æ®¿öÅ© ³»¿¡ »ðÀԵǴ ÀåºñµéÀ» ÀÚµ¿À¸·Î ¹ß°ßÇØ ¿¬°á½ÃÄÑÁÜÀ¸·Î½á Æí¸®ÇÏ°Ô »ç¿ëÇÒ ¼ö ÀÖµµ·Ï ÇØÁÖ´Â ÇÁ·ÎÅäÄÝÀÌ´Ù. ¿ø·¡´Â ½Å·ÚÇÒ ¼ö ÀÖ´Â ·ÎÄà ¿µ¿ª ³×Æ®¿öÅ©(LAN)¿¡¼¸¸ »ç¿ëÇÒ ¸ñÀûÀ¸·Î ¸¸µé¾îÁ³±â ¶§¹®¿¡ ÀÎÁõ ÀåÄ¡ °°Àº °Ç ¾ø´Ù. ÀåÄ¡¿¡ ·£¼±ÀÌ ²ÅÈ÷¸é ¹Ù·Î ¿¬°áµÇ°í ³×Æ®¿öÅ©¸¦ ÅëÇØ Á¢¼ÓÀÌ °¡´ÉÇÏ´Ù.
±×·±µ¥ »ç¹°ÀÎÅÍ³Ý Àåºñµé¿¡¼µµ UPnP°¡ ±¤¹üÀ§ÇÏ°Ô »ç¿ëµÈ´Ù. ÀÌ ¶§ ¾ÈÀüÇÏ°Ô UPnP¸¦ ±¸ÃàÇÏ·Á¸é Àåºñ º¸È£(Device Protection)¶ó´Â ¼ºñ½º¸¦ È°¿ëÇØ º¸¾È ÃþÀ» Á¶±Ý ´õ µÎÅÓ°Ô ¸¸µé¾î¾ß Çϴµ¥, ÀÌ ±â´ÉÀº °£°úµÇ´Â °æ¿ì°¡ ´ëºÎºÐÀÌ´Ù.
ÇöÁö ½Ã°¢À¸·Î À̹ø ÁÖ ¿ù¿äÀÏ ¹Ì±¹ Ä«³×±â¸á·Ð ´ëÇÐÀÇ CERT/CC´Â ÀÌ UPnP¿¡¼ Ãë¾àÁ¡ÀÌ ³ªÅ¸³µ´Ù´Â ³»¿ëÀÇ °æ°í¹®À» ¹ßÇ¥Çß´Ù. ¡®¿ÀÇ Ŀ³ØƼºñƼ Àç´Ü(Open Connectivity Foundation, OCF)°¡ ÇÁ·ÎÅäÄÝ »ç¾çÀ» ÃÖ½ÅÈ ÇÑ 4¿ù 17ÀÏ ÀÌÀü¿¡ µµÀÔµÈ ÇÁ·ÎÅäÄÝ ÀüºÎ¿¡ ¿µÇâÀÌ ÀÖ´Ù°í ÇÑ´Ù. ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì °ø°ÝÀÚµéÀº ´ë·®ÀÇ µ¥ÀÌÅ͸¦ ÀÎÅͳÝÀ» ÅëÇØ ÀÓÀÇÀÇ Àå¼Ò·Î À̵¿½Ãų ¼ö ÀÖ´Ù¡°°í ÇÑ´Ù.
ÀÌ Ãë¾àÁ¡Àº ÇöÀç CVE-2020-12695¶ó´Â °ü¸®¹øÈ£¸¦ ºÎ¿© ¹ÞÀº »óÅ´Ù. ¶ÇÇÑ ÄݽºÆ®·¹ÀÎÀú(CallStranger)¶ó´Â À̸§µµ ºÙ¾ú´Ù. ¿ø°Ý¿¡¼ ÀÎÁõÀ» ¹ÞÁö ¾ÊÀº °ø°ÝÀÚ°¡ µðµµ½º °ø°ÝÀ» Çϰųª º¸¾È ½Ã½ºÅÛÀ» ¿ìȸÇÒ ¶§, ȤÀº µ¥ÀÌÅ͸¦ »©µ¹¸®°Å³ª ³»ºÎ Æ÷Æ®¸¦ ½ºÄµÇÒ ¶§ È°¿ëÇÒ ¼ö ÀÖ´Ù°í ÇÑ´Ù.
CERT/CC ÃøÀº ¡°UPnP ¼ºñ½º¸¦ ÀÎÅͳݿ¡ ³ëÃâ½ÃÅ°´Â °ÍÀÌ ÀϹÝÀûÀ¸·Î´Â ´Ü¼ø ¼³Á¤ ¿À·ù·Î Àνĵǰí, µû¶ó¼ Å« ÀÏÀÌ ¾Æ´Ñ °Íó·³ ¿©°ÜÁö´Âµ¥, ¼î´ÜÀ¸·Î °Ë»öÀ» Çغ¸¸é ÀûÀÝÀº UPnP°¡ ÀÎÅͳݿ¡ ¿¬°áµÇ¾î ÀÖ´Ù´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù¡±°í °æ°íÇß´Ù.
Ãë¾àÁ¡À» ÃÖÃÊ·Î ¹ß°ßÇÑ °Ç EY ÅÍÅ°(EY Turkey)ÀÇ À¯´©½º Ä«µð¸£Å°(Yunus Cadirci)¶ó´Â º¸¾È Àü¹®°¡·Î, À©µµ¿ì ±â¹Ý PC, °ÔÀÓ ÄܼÖ, TV, °¢Á¾ ¶ó¿ìÅ͵鿡 ¿µÇâÀ» ¹ÌÄ£´Ù°í ±×´Â ¹ßÇ¥Çß´Ù. Ãë¾àÁ¡¿¡ ³ëÃâµÈ ¶ó¿ìÅÍÀÇ Á¦Á¶»çµéÀº ¿¡À̼ö½º, º§Å², ºê·ÎµåÄÄ, ½Ã½ºÄÚ, µ¨, µð¸µÅ©, È¿þÀÌ, ³Ý±â¾î, »ï¼º, TP¸µÅ©, ZTE µîÀÌ´Ù.
EY ÅÍÅ° ÃøÀÇ ¼³¸í¿¡ µû¸£¸é Ãë¾àÁ¡Àº UPnPÀÇ ±¸µ¶(SUBSCRIBE) ±â´ÉÀÇ Äݹé(Callback) Çì´õ °ªÀ» °ø°ÝÀÚ°¡ Á¦¾îÇÒ ¼ö ÀÖ°Ô µÈ´Ù´Â °Í¿¡¼ºÎÅÍ ¹ßµ¿µÈ´Ù°í ÇÑ´Ù. ÀÌ ¶§¹®¿¡ SSRF¿Í À¯»çÇÑ Ãë¾àÁ¡ÀÌ ¹ßµ¿µÇ´Âµ¥, ÇöÀç ÀÎÅͳݿ¡ Á÷Á¢ ¿¬°áµÈ ¼ö½Ê ¾ï´ëÀÇ LAN ÀåºñµéÀÌ À§Çè¿¡ ³ëÃâµÇ¾î ÀÖ´Â »óȲÀ̶ó°í EY ÅÍÅ°´Â °æ°íÇß´Ù.
UPnP¸¦ È°¿ëÇÑ Á¦Á¶»çµéÀ̶ó¸é OCF°¡ ¾÷µ¥ÀÌÆ® ÇÑ ÃֽŠ»ç¾çÀ» µµÀÔÇØ¾ß ÇÑ´Ù. »ç¿ëÀÚµéÀ̶ó¸é Á¦Á¶»çÀÇ À¥»çÀÌÆ® µîÀ» ÁÖ±âÀûÀ¸·Î ¸ð´ÏÅ͸µ ÇØ °ü·Ã ¾÷µ¥ÀÌÆ®°¡ ¹èÆ÷µÇ°í ÀÖ´ÂÁö °ËÅäÇØ Àû¿ëÇØ¾ß ÇÑ´Ù.
¶ÇÇÑ »ç¹°ÀÎÅÍ³Ý Àåºñ Á¦Á¶»çµéÀº »ç¿ëÀÚµéÀÌ UPnP ±¸µ¶(UPnP SUBSCRIBE) ±â´ÉÀ» ¿É¼Ç Á¶Á¤À» ÅëÇØ ºñÈ°¼ºÈ½Ãų ¼ö ÀÖ¾î¾ß ÇÑ´Ù°í EY ÅÍÅ°´Â Á¦¾ÈÇß´Ù. ±¸µ¶ ±â´ÉÀ» µðÆúÆ®·Î È°¼ºÈÇÏ·Á¸é ¹Ýµå½Ã »ç¿ëÀÚÀÇ µ¿ÀÇ°¡ ÇÊ¿äÇÏ´Ù´Â °Ô Å°´Ù¸£Å°ÀÇ »ý°¢ÀÌ´Ù. ¡°ÀÎÅͳݰú ¿¬°áµÈ ÀÎÅÍÆäÀ̽º¿¡¼¶ó¸é UPnP ÇÁ·ÎÅäÄÝÀ» ºñÈ°¼ºÈ ½ÃÅ°´Â °Ô ¸Â½À´Ï´Ù.¡±
ÀÏ¹Ý °¡Á¤¿¡¼ ¶ó¿ìÅÍ µîÀ» ÅëÇÑ »çÀ̹ö °ø°ÝÀÌ Á÷Á¢ °¡ÇØÁöÁö´Â ¾ÊÀ» °Å¶ó°í CERT/CC´Â ¼³¸íÇß´Ù. ¡°´Ù¸¸ UPnP°¡ ¼³Ä¡µÈ Àåºñ¸¦ ¿ø°Ý¿¡¼ ±Ü¾î¸ðÀº °ø°ÝÀÚ°¡ À̸¦ ÅëÇØ °Å´ëÇÑ µðµµ½º °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö´Â ÀÖÀ» °Ì´Ï´Ù. Áï »ç¿ëÀÚ º»ÀÎÀÇ ÀÔÀå¿¡¼´Â Å« ºÒÆíÇÔÀÌ ¾øÁö¸¸, ´©±º°¡´Â ±× Àåºñ¸¦ ÅëÇØ Ä¿´Ù¶õ ÇÇÇظ¦ ÀÔ°Ô µÈ´Ù´Â °ÍÀÔ´Ï´Ù. ±Ã±ÝÇÏ´Ù¸é ¶ó¿ìÅ͸¦ Á¦°øÇÑ Åë½Å»ç³ª ÀÎÅÍ³Ý ¼ºñ½º ¾÷ü¿¡ ¿¬¶ôÇØ UPnP¸¦ »ç¿ëÇÏ°í ÀÖ´ÂÁö, ¶Ç ÄݽºÆ®·¹ÀÎÀú Ãë¾àÁ¡ÀÌ ÀÖ´ÂÁö È®ÀÎÇØ¾ß ÇÕ´Ï´Ù.¡±
ÀÌ ¸»Àº °ø°ÝÀÚµéÀÌ ÀÌ UPnP Ãë¾àÁ¡À» ÅëÇØ °Å´ëÇÑ º¿³ÝÀ» Çü¼ºÇÒ °¡´É¼ºÀÌ ³ô´Ù´Â ¶æÀÌ´Ù. µû¶ó¼ »ç¹°ÀÎÅÍ³Ý Àåºñ¸¦ »ç¿ëÇÏ°í ÀÖ´Â ¼ÒºñÀÚ³ª ±â¾÷µéÀ̶ó¸é UPnP Ãë¾àÁ¡ ½ºÄµ°ú OCF¿¡ µû¸¥ »ç¾ç ¾÷µ¥ÀÌÆ®¸¦ ÇÏ´Â ÆíÀÌ ¾ÈÀüÇÏ´Ù.
3ÁÙ ¿ä¾à
1. Àåºñ¸¦ ³×Æ®¿öÅ©¿¡ Æí¸®ÇÏ°Ô ¿¬°áÇØÁÖ´Â ÇÁ·ÎÅäÄÝÀÎ UPnP¿¡¼ Ãë¾àÁ¡ ¹ß°ß.
2. ¿ø·¡ UPnP´Â ÀÎÅͳݰú ºÐ¸®µÇ¾î¾ß ÇÏ´Â ÇÁ·ÎÅäÄÝÀε¥ ÀÌ°Ô Àß ÁöÄÑÁöÁö ¾ÊÀ½.
3. ¶ÇÇÑ Ãß°¡ º¸¾È ÀåÄ¡¶ó°í ÇÒ ¼ö ÀÖ´Â ¡®Àåºñ º¸È£¡¯ ¼ºñ½ºµµ ¹«½ÃµÇ´Â °ÍÀÌ ÀÏ»ó.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>