[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ÀÛ³â È£ÁÖ ±â¾÷°ú Á¤ºÎ ±â°üµéÀ» ÁýÁßÇؼ °ø°ÝÇß´ø °ø°Ý ´Üü°¡ ÃÖ±Ù ¹Ì±¹ ³» Á¶Á÷µéÀ» ´ë»óÀ¸·Î ºñ½ÁÇÑ °ø°ÝÀ» ½ÃÀÛÇÑ °ÍÀ¸·Î º¸ÀδÙ. À̵éÀº ÇØÅ· ½Ç·ÂÀÌ ¸Å¿ì ¶Ù¾î³ ÀÚµé·Î, ¸Þ¸ð¸®¿¡¼¸¸ ÀÛµ¿ÇÏ´Â ÆÄÀÏ·¹½º ¸Ö¿þ¾î¸¦ ÁÖ·ÂÀ¸·Î »ç¿ëÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ÀÌ °ø°ÝÀÚµéÀº ÁÖ·Î ÇÁ·¹À× ¸ÇƼ½º(Praying Mantis)·Î ºÒ¸°´Ù.
[À̹ÌÁö = utoimage]
À̵éÀÇ È°µ¿À» Á¶»çÇØ º¸°íÇÑ °Ç º¸¾È ¾÷ü ½Ã±×´Ï¾Æ(Sygnia)¿´´Ù. À̹ø Ä·ÆäÀÎÀ» ¸é¹ÐÈ÷ ºÐ¼®ÇßÀ» ¶§ ÆľÇÇÒ ¼ö ÀÖ¾ú´ø »ç¾ÈµéÀÌ Áö³ ÇØ È£ÁÖ¿¡¼ ¹ú¾îÁø Àϵé°ú »ó´çÈ÷ À¯»çÇÏ´Ù°í ½Ã±×´Ï¾Æ´Â ¹ßÇ¥Çß´Ù. ¡°ÇÁ·¹À× ¸ÇƼ½º¶ó°í º¸ÀÌ´Â °ø°ÝÀÚµéÀÌ À©µµ ÀÎÅÍ³Ý Á¤º¸ ¼ºñ½º(Internet Information Services, IIS) ȯ°æ°ú À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» °ø°ÝÇÔÀ¸·Î½á ÇÇÇØÀÚ ³×Æ®¿öÅ©¿¡ ÃÖÃʷΠħÅõÇÒ ¼ö ÀÖ¾ú½À´Ï´Ù. ÀÌ´Â Áö³ ÇØ È£ÁÖ¿¡¼ ¹ß»ýÇÑ °ø°Ý Ä·ÆäÀο¡¼ ¹ß°ßµÈ ³»¿ëÀ̱⵵ ÇÕ´Ï´Ù.¡±
½Ã±×´Ï¾Æ´Â ¡°À̹ø Ä·ÆäÀÎÀº ÃÖ¼Ò ÀÛ³â 6¿ùºÎÅÍ ½ÃÀÛµÈ °ÍÀ¸·Î º¸Àδ١±¸ç ¡°Á¤ºÎ ±â°üÀ» ¹èÈÄ¿¡ µÎ°í ¿òÁ÷ÀÌ´Â ±×·ìÀÇ ¼ÒÇàÀÏ °¡´É¼ºÀÌ ³ô´Ù¡±°í ÁÖÀåÇÑ´Ù. ¡°°ø°ÝÀÚµéÀº ±â¼ú·ÂÀÌ »ó´çÈ÷ ¶Ù¾î³ª°í °ø°Ý Ç¥ÀûÀÇ ³×Æ®¿öÅ©¿¡ Áý¿äÇÏ°Ô ¸Ó¹°·¯ ÀÖÀ¸·Á ÇÕ´Ï´Ù. ÀÌ µÎ °¡Áö Ư¼ºÀº ±¹°¡ Áö¿ø ÇØÄ¿µé¿¡°Ô¼ ÀüÇüÀûÀ¸·Î ³ªÅ¸³ª´Â °ÍÀÔ´Ï´Ù. ¾ÆÁ÷ Ä·ÆäÀÎÀÇ Àüü ±Ô¸ð¸¦ ÆľÇÇÏ°í ÀÖÁö´Â ¸øÇÏÁö¸¸, »ó´çÈ÷ Å©´Ù°í ¿¹»óÇÒ ¼ö ÀÖ°Ô ÇØ ÁÖ´Â ºÎºÐµéÀÌ ÀÖ½À´Ï´Ù.¡± ½Ã±×´Ï¾ÆÀÇ ºÎȸÀåÀÎ ¾Æ¸® Áú¹ö½ºÅ¸ÀÎ(Arie Zilberstein)ÀÇ ¼³¸íÀÌ´Ù.
Áö³ ÇØ È£ÁÖ¿¡¼ ÇÁ·¹À× ¸ÇƼ½ºÀÇ ´ëÇü Ä·ÆäÀÎÀÌ ¹ß»ýÇßÀ» ¶§ ÀϺΠÀü¹®°¡µéÀº °ø°ÝÀÚ°¡ Áß±¹ Á¤ºÎÀÇ Áö¿øÀ» ¹Þ°í ÀÖ´Ù°í ÁÖÀåÇß¾ú´Ù. Áß±¹Àº ¡®Áý¿äÇÑ »çÀ̹ö Á¤Âû ÇàÀ§¡¯¸¦ ÇÏ´Â °ÍÀ¸·Î Àß ¾Ë·ÁÁø ³ª¶óÀ̸ç, ÃÖ±Ù ¹Ì±¹°ú µ¿¸Í±¹µéÀÌ ¡°ÇØÅ· °ø°ÝÀ» ±×¸¸µÎ¶ó¡±°í Áß±¹À» °ø½ÄÀûÀ¸·Î ±ÔźÇÑ ¹Ù ÀÖ´Ù. Áß±¹ ÇØÄ¿µéÀº ½Ç·Âµµ ¶Ù¾î³ª¸ç ±¹°¡ ¹ßÀüÀÇ ¸ñÀûÀ» ÀÌ·ç±â À§ÇØ °ÇÑ µ¿±â¸¦ °¡Áö°í °ø°ÝÀ» ½Ç½ÃÇÏ´Â °ÍÀ¸·Î À¯¸íÇÏ´Ù.
½Ã±×´Ï¾Æ¿¡ ÀÇÇϸé ÇÁ·¹À× ¸ÇƼ½ºÀÇ ÁÖ¿ä °ø°Ý Àü·«Àº ¡°IIS¿Í À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ Çؼ ÇÇÇØÀÚÀÇ ³×Æ®¿öÅ©¸¦ ¶Õ¾î³»´Â °Í¡±À̶ó°í ÇÑ´Ù. ¡°¾ÖÇø®ÄÉÀ̼ÇÀÌ Á÷·ÄÈ µÈ °´Ã¼µéÀ» ¹ßµ¿½ÃÅ°´Â ¹æ¹ýÀ» ¾Ç¿ëÇÏ´Â ÀͽºÇ÷ÎÀÕ ±â¹ýÀ» ƯÈ÷ ¸¹ÀÌ »ç¿ëÇÕ´Ï´Ù. Á÷·ÄÈ ÇÁ·Î¼¼½º°¡ ºÒ¾ÈÀüÇÒ °æ¿ì, °ø°ÝÀÚ´Â ¾Ç¼º Äڵ带 ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ¿¡¼ ½ÇÇà½Ãų ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
ÇÁ·¹À× ¸ÇƼ½º°¡ ÁÖ·Î ÀͽºÇ÷ÎÀÕ ÇØ¿Ô´ø Ãë¾àÁ¡ Áß Çϳª´Â CVE-2021-27852¿´´Ù. üũ¹Ú½º ¼º£ÀÌ(Checkbox Survey)¶ó´Â À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡¼ ¹ß°ßµÈ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À̾ú´Ù. ÀÌ Ãë¾àÁ¡À» ÅëÇØ ÇÁ·¹À× ¸ÇƼ½º´Â IIS ¼¹öµéÀ» ÀͽºÇ÷ÎÀÕ Çß¾ú´Ù. ¾ÖÇø®ÄÉÀ̼ÇÀÇ Á÷·ÄÈ ÇÁ·Î¼¼½º¿Í °ü·ÃµÈ Ãë¾àÁ¡À̾ú°í, °ø°ÝÀÚµéÀº ¼º°øÀûÀÎ ÀͽºÇ÷ÎÀÕ ÈÄ ¾Ç¼º Äڵ带 ¿ø°Ý¿¡¼ ½Ç½ÃÇÒ ¼ö ÀÖ¾ú´Ù°í ÇÑ´Ù. ±× ¿Ü¿¡ CVE-2019-18935¿Í CVE-2017-11317 Ãë¾àÁ¡µµ ÀÚÁÖ È°¿ëµÆ´Âµ¥, ÅÚ·¹¸¯(Telerik)À̶ó´Â ȸ»ç°¡ ¸¸µç ¾ÖÇø®ÄÉÀ̼ǵ鿡¼ ¹ß°ßµÈ °Íµé·Î ¾Ë·ÁÁ® ÀÖ´Ù.
ÀÌ·± ½ÄÀ¸·Î ÃÖÃÊ Ä§Åõ¿¡ ¼º°øÇÑ ÇÁ·¹À× ¸ÇƼ½º´Â ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ ³» ¸Þ¸ð¸®¿¡¼ ½ÇÇàµÇ´Â ¸Ö¿þ¾î¸¦ ½ÇÇà½ÃÅ°±â À§ÇÑ ÀÛ¾÷À» ÁøÇàÇÑ´Ù. ÀÌ ¸Ö¿þ¾îÀÇ ÁÖ¿ä ±â´ÉÀº ¡®¹éµµ¾î¡¯·Î, ÀÎÅͳݿ¡ ¿¬°áµÈ IIS ¼¹öµé¿¡¼ Á¤º¸¸¦ ¼öÁýÇØ °ø°ÝÀڵ鿡°Ô·Î Àü¼ÛÇÑ´Ù. ¶ÇÇÑ ÇØ´ç ¼¹öµé¿¡¼ Á¢¼öµÇ´Â HTTP ¿äûµéÀ» °¡·Îä±âµµ ÇÑ´Ù. ÀÌ ¸Ö¿þ¾î´Â IIS ¼¹öµé¿¡¼ Àß ÀÛµ¿µÇµµ·Ï ¸ÂÃãÇüÀ¸·Î °³¹ßµÈ °ÍÀ¸·Î º¸Àδٰí Çϸç, µû¶ó¼ ÈçÀûÀ» °ÅÀÇ ³²±âÁö ¾Ê´Â´Ù°í ºÐ¼®µÆ´Ù.
±× ¿Ü¿¡µµ ÇÁ·¹À× ¸ÇƼ½º´Â ³×Æ®¿öÅ© Á¤ÂûÀ» È¿°úÀûÀ¸·Î ÇÏ°Ô ÇÏ°í, ±ÇÇÑÀ» »ó½Â½ÃÅ°¸ç, ȾÀûÀ¸·Î ¿òÁ÷ÀÌ°Ô ÇØ ÁÖ´Â ¸Ö¿þ¾îµéµµ »ç¿ëÇß´Ù. ½Ã±×´Ï¾Æ´Â ¡°°ø°ÝÀÚµéÀº À©µµ IIS ȯ°æ¿¡ ´ëÇÑ ³ôÀº ¼öÁØÀÇ Áö½ÄÀ» º¸À¯ÇÏ°í ÀÖ´Â °ÍÀ¸·Î º¸Àδ١±¸ç ¡°ÇØÅ· °ø°Ý ÀÚü¿¡ ´ëÇÑ °æÇèµµ dzºÎÇÑ °ÍÀ¸·Î º¸Àδ١±°í ¹ßÇ¥Çß´Ù. ¡°½ÉÁö¾î ÆÄÀÏ·¹½º ¸Ö¿þ¾î¸¦ Á¦ÀÛÇÒ ÀÚ¿øµµ °¡Áö°í ÀÖÁÒ. Àü ¼¼°è °ø°ÝÀÚµé Áß Ã¹ ¼Õ¿¡ ²ÅÇôµµ ÀÌ»óÇÏÁö ¾ÊÀ» ½Ç·ÂÀÔ´Ï´Ù.¡±
Áú¹ö½ºÅ¸ÀÎÀº ¡°ÇØÅ· °ø°ÝÀÌ ±²ÀåÈ÷ ½¬¿öÁö°í ¼ö¸¹Àº »çÀ̹ö ¹üÁËÀÚµéÀÌ ÇØÅ· »ê¾÷¿¡ ¶Ù¾îµé°í Àִµ¥, ÇÁ·¹À× ¸ÇƼ½º Á¶Á÷¿øµéÀº ÀÌ·± ¡®ÈçÇÑ ÇØÄ¿¡¯¿Í´Â Â÷¿øÀÌ ´Ù¸¥ ½Ç·ÂÀ» °¡Áö°í ÀÖ´Ù¡±°í Æò°¡ÇÑ´Ù. ¡°À̵éÀº ÀڽŵéÀÇ ÈçÀûÀ» °¨Ãß´Â µ¥ Å©°Ô ÁýÁßÇÕ´Ï´Ù. ±×·¸±â ¶§¹®¿¡ óÀ½ºÎÅÍ ´Ù½Ã ħÅõ¸¦ ÀÌ·ï°¡´Â ÇÑÀÌ ÀÖ´õ¶óµµ ÈçÀû Áö¿ì±â¿¡ ´õ ¸ôµÎÇϱ⵵ ÇÕ´Ï´Ù. ÀÌ·± ³ë·ÂÀ» °ø°ÝÀÇ ¿©·¯ ´Ü°è¿¡¼ ²ÙÁØÇÏ°Ô º¸¿©ÁÝ´Ï´Ù. ÀÌ·± ²Ä²ÄÇÔÀº ¾îÁö°£ÇÑ °ø°ÝÀڵ鿡°Ô¼´Â ³ª¿ÀÁö ¾Ê½À´Ï´Ù.¡±
±×·¯¹Ç·Î ÇÁ·¹À× ¸ÇƼ½ºÀÇ °ø°ÝÀ¸·ÎºÎÅÍ ½º½º·Î¸¦ ¹æ¾îÇÏ´Â °Ç ²Ï³ª Èûµç ÀÏÀÌ µÉ ¼ö ÀÖ´Ù°í Áú¹ö½ºÅ¸ÀÎÀº ¼³¸íÇÑ´Ù. ¡°IIS ¼¹ö¸¦ ÃÖ½ÅÈ ÇϵÇ, Ưº°È÷ ºñÁ÷·ÄÈ °ü·Ã Ãë¾àÁ¡µéÀ» ÁßÁ¡ÀûÀ¸·Î ÆÐÄ¡ÇÏ´Â °ÍÀÌ Áß¿äÇÕ´Ï´Ù. ¸¸¾à üũ¹Ú½º ¼º£ÀÌ ¾ÖÇø®ÄÉÀ̼ÇÀ» »ç¿ëÇÏ´Â Á¶Á÷À̶ó¸é ÀÌ ¿ª½Ã ÃÖ½ÅÈ ÇÏ´Â °ÍÀÌ ÁÁ½À´Ï´Ù. IIS ȯ°æ¿¡¼ÀÇ È°µ¿À» ¸é¹ÐÈ÷ ¸ð´ÏÅ͸µ ÇÏ´Â °Íµµ »©³õÀ» ¼ö ¾ø½À´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ÀÛ³â È£ÁÖ °ø°ÝÇß´ø °ø°Ý ´Üü, À̹ø¿¡´Â ¹Ì±¹ °ø°Ý ½Ç½Ã.
2. ÇÁ·¹À× ¸ÇƼ½º¶ó´Â ¼öÁØ ³ôÀº °ø°Ý ´Üü°¡ Àǽɵǰí ÀÖÀ½.
3. ÇÁ·¹À× ¸ÇƼ½º´Â Áß±¹ Á¤ºÎÀÇ Áö¿øÀ» ¹Þ´Â ÇØÄ¿·Î Àǽɵǰí ÀÖÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>