Home > Àüü±â»ç

¾Æ¸¶Á¸, ¸®ÇÁÆ®, ½½·¢ µî ³ë¸®´Â ¾Ç¼º ÄÚµå °ø°ÝÀÌ ÆøÆ÷¼öó·³ ½ñ¾ÆÁ®

ÀÔ·Â : 2021-03-04 12:23
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
ÇÑ º¸¾È Àü¹®°¡°¡ ³Ê¹«³ª ½±°Ô ±â¾÷µéÀÇ ³»ºÎ °³¹ß ÇÁ·ÎÁ§Æ®¸¦ ¸Á°¡Æ®¸± ¼ö ÀÖ´Â ¹æ¹ýÀ» °í¾ÈÇß´Ù. ÀÌ°ÍÀ¸·Î ¹ö±×¹Ù¿îƼ »ó±Ýµµ ¹Þ¾Ò´Ù. ±×¸®°í ÀÌƲÀÌ Áö³µ´Ù. ÇØÄ¿µéÀÌ ÀÌ °ø°Ý¹ýÀ» ÀÍÇô ½ÇÁ¦ »çÀ̹ö ¾Ç¼º ÇàÀ§¸¦ ÀúÁö¸£±â ½ÃÀÛÇß´Ù.

[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾Æ¸¶Á¸, ¸®ÇÁÆ®, ½½·¢ µî ±½Á÷ÇÑ ¾÷üµéÀÇ ³»ºÎ ¾ÖÇø®ÄÉÀ̼ÇÀ» ³ë¸®´Â °ø°Ý ½Ãµµ°¡ ¹ß°ßµÆ´Ù. ÇÑ º¸¾È Àü¹®°¡°¡ °í¾ÈÇÏ°í, °³³äÁõ¸í±îÁö ÇÑ °ø°Ý ±â¹ýÀ» ½ÇÁ¦·Î È°¿ëÇÏ´Â »ç·Ê°¡ Àû¹ßµÈ °ÍÀÌ´Ù. ÀÌ °ø°Ý ±â¹ýÀº µðÆæ´ø½Ã ÄÁÇ»Àü(dependency-confusion)À̶ó°í Çϸç, º¸¾È Àü¹®°¡ ¾Ë·º½º ¹ö»ê(Alex Birsan)ÀÌ Ã³À½ ¾Ë¾Æ³Â´Ù.

[À̹ÌÁö = utoimage]


µðÆæ´ø½Ã ÄÁÇ»Àü °ø°ÝÀº, ³»ºÎ °³¹ßÀÚµéÀÌ ¾Û °³¹ß¿¡ »ç¿ëÇÏ´Â ÄÚµå µðÆæ´ø½ÃµéÀ» °¨¿°½ÃÅ´À¸·Î½á ¿Ï¼ºµÈ ¾Û¿¡ ÀÚ¿¬½º·´°Ô ¾Ç¼º ±â´ÉÀÌ ½É°ÜÁöµµ·Ï ÇÏ´Â ±â¹ýÀÌ´Ù. ³»ºÎ °³¹ßÀÚµéÀº ¿©·¯ ¿ä¼ÒµéÀ» ºñ¹Ð ¸®Æ÷ÁöÅ͸®¿¡ ÀúÀåÇØ °øÀ¯ÇÏ´Â °ÍÀÌ º¸ÅëÀÌ´Ù.

¹ö»êÀº ÀÌ·± »ý¸®¸¦ ¾Ë°í, ¿©·¯ °³¹ßÀÚµéÀÌ ½Å·ÚÇÏ°í Àû±Ø »ç¿ëÇÏ´Â ÄÚµå ¿ä¼Ò ¹× µðÆæ´ø½Ã ÆÐÅ°ÁöÀÇ º¹»çÆÇÀ» °ø°ø ¸®Æ÷ÁöÅ͸®¿¡ ¿Ã·Á º¸¾Ò´Ù. ³»ºÎ °³¹ßÀÚ Áß ÇÑ ¸í Á¤µµ´Â ºñ¹Ð ¸®Æ÷ÁöÅ͸®°¡ ¾Æ´Ï¶ó °ø°ø ¸®Æ÷ÁöÅ͸®¿¡¼­ µðÆæ´ø½Ã¸¦ °¡Á®°¥ °ÍÀ̶ó°í ¿¹»óÇ߱⠶§¹®ÀÌ´Ù. ±×¸®°í Á¤¸»·Î ¸¹Àº ³»ºÎ ÇÁ·ÎÁ§Æ®¸¦ ÁøÇàÇÏ°í ÀÖ´Â °³¹ßÀÚµéÀÌ ÀÌ ¡®º¹»çÆÇ¡¯À» °¡Á®´Ù È°¿ëÇÏ´Â °ÍÀÌ È®ÀεƴÙ.

¹°·Ð ¹ö»êÀº ÀϺΠ±â¾÷µé°ú ¹Ì¸® ¸»À» ¸ÂÃç³õ°í ½ÇÇèÀ» ÁøÇàÇß¾ú´Ù. ¾ÖÇÃ, ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®, ³ÝÇø¯½º, ÆäÀÌÆÈ, ¼îÇÇÆÄÀÌ, Å×½½¶ó, ¿ì¹ö µîÀÌ ÀüºÎ ÀÌ·± ºÎºÐ¿¡¼­ Ãë¾àÇÒ ¼ö ÀÖÀ½ÀÌ Áõ¸íµÆ°í ¹ö»êÀº ¹ö±×¹Ù¿îƼ »ó±Ý Çü½ÄÀ¸·Î 13¸¸ ´Þ·¯ ÀÌ»óÀ» °Å¸ÓÁæ ¼ö ÀÖ¾ú´Ù. ¿©±â±îÁö´Â ÈçÇÑ Ãë¾àÁ¡ ¹ß±¼ ¹× ¡®È­ÀÌÆ® ÇØÅ·¡¯ ÇàÀ§¿´´Ù.

¹®Á¦´Â ¹ö»êÀÌ ¹ß°ßÇÑ ÀÌ ¹æ¹ýÀÌ ³Ê¹«³ª °£´ÜÇÏ´Ù´Â °ÍÀ̾ú´Ù. ´©±¸³ª °ø°ÝÀÇ °³³ä¸¸ ÀÌÇØÇÏ°í, ¸®Æ÷ÁöÅ͸®¸¦ È°¿ëÇÒ ÁÙ ¾Ë¸é µû¶óÇÒ ¼ö ÀÖ¾ú´Ù. ±×¸®°í ½ÇÁ¦·Î npmÀ̶ó´Â °ø°ø ¸®Æ÷ÁöÅ͸®¿¡¼­ ÀÌ·± È¿°ú¸¦ ³ë¸° µíÇÑ ¾Ç¼º ÆÐÅ°Áö°¡ 275°³ ÀÌ»ó ¹ß°ßµÆ´Ù. ¹ö»êÀÌ ÀÚ½ÅÀÇ ¿¬±¸ °á°ú¸¦ °ø°³ÇÏ°í 48½Ã°£ÀÌ Ã¤ Áö³ªÁö ¾ÊÀº ½ÃÁ¡¿¡¼­¿´´Ù. ÀÌ·± Çö»óÀ» Á¦ÀÏ ¸ÕÀú ¹ß°ßÇÑ º¸¾È ¾÷ü ¼Ò³ªÅ¸ÀÔ(Sonatype)Àº ¡°ÇöÀç ÀÌ·± ÆÐÅ°Áö´Â 700°³°¡ ³Ñ¾î°£´Ù¡±°í ÇÑ´Ù.

ÀÌ·± ÆÐÅ°Áöµé¿¡¼­ ¹ß°ßµÈ ¡®¾Ç¼º ¿ä¼Ò¡¯µéÀº ´ëºÎºÐ Á¤º¸ Å»Ã븦 À§ÇÑ °ÍµéÀ̾ú´Ù. ¾Æ¸¶Á¸À̳ª ³ÝÇø¯½º¿Í °°Àº ´ëÇü ±â¾÷µéÀÇ Áß¿ä ³»ºÎ Á¤º¸¸¦ ³ë¸° ÇàÀ§¿´´Ù´Â °ÍÀÌ´Ù. ´Ù¸¸ ÀÌ °ø°ÝÀÌ ¾ó¸¶³ª ¼º°øÇßÀ»Áö´Â ¿ÜºÎ º¸¾È ¾÷ü·Î¼­´Â ÆľÇÇϱâ Èûµé´Ù°í ¼Ò³ªÅ¸ÀÔÀº ¼³¸íÇÑ´Ù. °¢ ¾÷ü°¡ ÄÚµå µðÆæ´ø½ÃµéÀ» ³»ºÎÀûÀ¸·Î °Ë»çÇØ¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù.

¹®Á¦´Â ÀÌ·± ÆÐÅ°ÁöµéÀÌ ÀÚµ¿À¸·Î ÀÓÆ÷Æà µÇ´Â °æ¿ì°¡ ´Ù¼ö¶ó´Â °ÍÀÌ´Ù. ƯÈ÷ ÀÌ¹Ì È°¿ëÇÏ°í ÀÖ´Â µðÆæ´ø½ÃÀÇ »õ·Î¿î ¹öÀü(¾Ç¼º ¹öÀü Æ÷ÇÔ)ÀÌ µîÀåÇÒ °æ¿ì ÀÚµ¿À¸·Î À̸¦ ¾Ë¾Æ³» ÀÓÆ÷Æà µÇµµ·Ï ±¸¼ºµÈ °³¹ß ȯ°æÀÌ ¸¹´Ù°í ¼Ò³ªÅ¸ÀÔÀº ¼³¸íÇÑ´Ù. ÀÌ´Â °ø°ÝÀÌ ¼º¸³µÇ±â À§ÇØ ÇÇÇØÀÚ Ãø¸é¿¡¼­ ÃëÇØ¾ß ÇÒ ÇàÀ§(ÆÄÀÏ ¿­±â³ª ¸µÅ© Ŭ¸¯ µî)°¡ ÀüÇô ¾ø´Ù´Â ¶æÀÌ´Ù. ÇÇÇØÀÚ°¡ ¼ÓÁö ¾Ê¾Æµµ °ø°ÝÀÚ´Â °ø°ÝÀ» ¼º°ø½Ãų ¼ö ÀÖ´Ù.

±×·¸´Ù¸é °ø°ÝÀÚ´Â ³»ºÎ °³¹ßÀÚµéÀÌ ¾î¶² µðÆæ´ø½ÃµéÀ» »ç¿ëÇÏ´ÂÁö ¾î¶»°Ô ¾Ë¾Æ³»¾ß ÇÒ±î? ¼Ò³ªÅ¸ÀÔÀº ±â¾÷ÀÇ °ø°ø ±êÇãºê ¸®Æ÷ÁöÅ͸®³ª ºí·Î±×¸¦ ÃæºÐÈ÷ °üÂûÇÏ¸é ¾ó¸¶µçÁö ¾Ë¾Æ³¾ ¼ö ÀÖ´Ù°í ÁÖÀåÇÑ´Ù. ¾Ë·º½º ¹ö»êµµ ½ÇÇè ´ç½Ã ÀÌ·± ½ÄÀ¸·Î ³»ºÎÀÎÀÇ ÄÚµå µðÆæ´ø½ÃµéÀ» ¾Ë¾Æ³Â´Ù°í ÇÑ´Ù. ¼Ò³ªÅ¸ÀÔÀÇ »ó¼¼ÇÑ ¼³¸íÀº ÀÚ»ç ºí·Î±×(https://blog.sonatype.com/dependency-hijacking-software-supply-chain-attack-hits-more-than-35-organizations)¸¦ ÅëÇØ ¿­¶÷ÇÒ ¼ö ÀÖ´Ù.

µðÆæ´ø½Ã ÄÁÇ»Á¯ °ø°ÝÀÇ Ç¥ÀûÀÌ µÇ°í ÀÖ´Â Á¶Á÷Àº ¹ú½á 35°³°¡ ³Ñ¾î°¡°í ÀÖ´Ù. ±× Áß ¾Æ¸¶Á¸, ¸®ÇÁÆ®, ½½·¢, Áú·Î¿ì¸¦ ³ë¸° °ø°ÝÀÌ °¡Àå ¸¹´Ù°í ÇÑ´Ù. ÀÌ ³× °³ ±â¾÷À» ³ë¸° ¾Ç¼º ¡®º¹»çº»¡¯ ÆÐÅ°Áö´Â npmÀ̶ó´Â °ø°ø ¸®Æ÷ÁöÅ͸®¿¡¼­ ƯÈ÷ ¸¹ÀÌ ¹ß°ßµÇ´Â »óȲÀÌ´Ù. ÀÌ·± ÆÐÅ°ÁöµéÀ» npm¿¡ ¾÷·ÎµåÇÑ °Ç µ¿ÀÏ Àι°·Î º¸ÀÌÁö¸¸ ¾ÆÁ÷ Á¤Ã¼°¡ µå·¯³­ °Ç ¾Æ´Ï´Ù.

¼Ò³ªÅ¸ÀÔÀº ¡®È­ÀÌÆ®ÇÞ ÇØÅ·¡¯ ȤÀº ¡®À±¸®Àû ÇØÅ·¡¯ ÇàÀ§ÀÇ °á°ú¹°ÀÌ ÀûÀýÇÑ ¼öÀ§·Î °ø°³µÇ¾î¾ß ÇÏ´Â ÀÌÀ¯¸¦ Àû³ª¶óÇÏ°Ô º¸¿©ÁÖ´Â °ÍÀÌ À̹ø »ç·Ê¶ó°í ¼³¸íÇÑ´Ù. ¡°À̹ø °ø°ÝÀÚ´Â ¾Ë·º½º ¹ö»êÀÇ ¿¬±¸ ¼º°ú¹°À» °è¼ÓÇؼ­ ÁøÈ­½ÃÅ°°í ÀÖ½À´Ï´Ù. npm¿¡ ¿¬¼âÀûÀ¸·Î ¿Ã¶ó¿Â ÆÐÅ°ÁöµéÀ» º¸¸é ¾Ë ¼ö ÀÖ½À´Ï´Ù. »çÀ̹ö °ø°ÝÀÚµéÀº ÀÌ¹Ì °¡Áö°í ÀÖ´Â Àç·á¸¦ ÀÀ¿ëÇÏ´Â µ¥ ¶Ù¾î³ª´Ù´Â °ÍÀ» ´Ù½Ã ÇÑ ¹ø »ó±âÇØ¾ß ÇÏ°Ú½À´Ï´Ù.¡±

3ÁÙ ¿ä¾à
1. ÇÑ º¸¾È Àü¹®°¡, µðÆæ´ø½Ã ÄÁÇ»ÀüÀ̶ó´Â °ø°Ý ±â¹ý °í¾ÈÇØ ¹ö±×¹Ù¿îƼ »ó±Ý ¹ÞÀ½.
2. 48½Ã°£ÀÌ Áö³ªÁöµµ ¾Ê¾Ò´Âµ¥ ÀÌ ±â¹ýÀ» ½ÇÁ¦ °ø°Ý¿¡ Àû¿ëÇÏ´Â »ç·Êµé ¹«´õ±â·Î ½ñ¾ÆÁü.
3. ƯÈ÷ ¾Æ¸¶Á¸, ¸®ÇÁÆ®, ½½·¢, Áú·Î¿ì¿Í °°Àº ´ëÇü ±â¾÷À» ³ë¸®´Â °ø°ÝÀÌ ´«¿¡ ¶ê.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)