• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

자바 웹 애플리케이션 프레임워크 스프링, 제로데이 취약점 패치해 2022.04.01

스프링에서 발 빠르게 움직였다. 그래서 새로운 버전의 스프링 프레임워크와 스프링 붓이 배포되는 중이다. 스프링4셸 취약점이 두 번째 로그4셸이 될까봐 보안 업계가 노심초사 했지만 아직까지 그런 징조는 보이지 않는다. 그래도 패치는 하고 보는 편이 낫다고 한다.

[보안뉴스 문가용 기자] 유명 자바 애플리케이션 프레임워크인 스프링(Spring)의 개발 팀이 스프링4셸(Spring4Shell) 혹은 스프링셸(SpringShell)이라고 알려진 제로데이 취약점에 대한 패치를 배포하기 시작했다. 스프링 프레임워크(Spring Framework)와 스프링 붓(Spring Boot)의 사용자들이라면 이번에 발표된 새로운 버전을 사용하는 것이 안전하다.

[이미지 = utoimage]


문제의 제로데이 취약점에는 CVE-2022-22965라는 식별 번호가 붙은 상황이다. 웹 애플리케이션용 프레임워크인 스프링 MVC(Spring MVC)를 활용하는 애플리케이션들 전부와 웹플럭스(WebFlux) 9.0 및 이상 버전에 영향을 미치는 취약점이라고 분석됐다. 보다 상세한 기술 내용은 스프링 개발자 팀이 발표한 보안 권고문을 통해 접할 수 있다.

하지만 취약점의 파급력은 그리 큰 편이라고 할 수 없다. 적어도 지난 12월 자바 생태계에서 발견된 취약점인 로그4셸(Log4Shell)과는 비교도 되지 않을 정도다. 익스플로잇에 성공하려면 피해자가 스프링으로 만든 애플리케이션을 아파치 톰캣(Apache Tomcat)에 WAR 유형의 파일 형태로 구축해야만 하기 때문이다. 보통 스프링 프레임워크로 만들어진 애플리케이션들은 JAR 포맷으로 구축된다.

하지만 이는 현재까지의 분석 결과일 뿐이고, 앞으로 전혀 다른 양상이 펼쳐질 수 있다고 스프링 측의 로센 스토얀체프(Rossen Stoyanchev)는 경고한다. "취약점의 특성 자체는 대단히 보편적인 편입니다. 다른 익스플로잇 방법이 있을 가능성이 높습니다.”

그래서 자바 애플리케이션을 적극 사용 및 개발하는 조직이라면 익스플로잇의 전제 조건이 성립하느냐 마느냐를 따지기 전에 먼저 스프링 프레임워크와 스프링 붓 기반의 애플리케이션들을 빠르게 점검하고 패치하는 편이 좋다고 보안 전문가들은 말한다. "프로그램을 만든 사람조차도 모든 공격 시나리오를 다 파악하고 있는 건 아닙니다. 지금 보안 업계가 파악한 것이 전부일 수도 없고요. 작아 보이는 틈을 어떻게든 파고들어 키우는 공격자들의 지난 행적을 우리는 익히 봐 왔습니다."

보안 업체 소나타입(Sonatype)의 CTO인 일카 투루넨(Ilkka Turunen)은 "유명세를 탄 취약점이라는 건 시간이 흐르면서 항상 변하고 진화한다"고 강조한다. "해커들도 그렇지만 보안 전문가들조차 유명한 취약점에 큰 매력을 느끼거든요. 그러면서 깊이 있게 파고드는 사람들이 수두룩하게 생겨납니다. 그러니 초기에는 상상도 하지 못했던 익스플로잇 방법들이 창의적으로 개발되는 겁니다. 로그4j 사태만 하더라도, 한 번 취약점이 유명해지니 연달아 다른 파생 취약점들이 나오지 않았습니까?"

스프링 측에서 이번 제로데이 취약점에 대해 처음 알게 된 건 3월 29일의 일이다. 하지만 일부 보안 전문가들은 그 전부터 해당 문제를 인지하고 있었다. 한 중국의 보안 전문가가 자신의 소셜미디어에 개념증명용 익스플로잇 장면을 잠깐 업로드 했고, 이것이 며칠 지나지 않아 유명 해킹 포럼에 나돌기 시작했기 때문이다.

클라우드 보안 업체 엑스트라홉(ExtraHop)의 수석 데이터 과학자인 에드워드 우(Edward Wu)는 "일반 기업 내에서 독자적인 힘으로 취약한 스프링 기반 애플리케이션들을 찾아내는 건 쉽지 않을 것"이라고 말한다. “대부분 기업들은 외부에서 제작한 소프트웨어를 그대로 가져와 사용하죠. 그리고 그 출처나 디펜던시를 일일히 추적하지 않아요. 그럴 수도 없고요. 스프링을 기반으로 한 것인지 아닌지 알 수도 없고요. 소스코드에 접근하는 건 더더욱 어려운 일이 되지요. 지금으로서는 각 회사가 자기 네트워크 내에서 일어난 활동들을 모니터링하고 수상한 점들을 추적하는 게 최선입니다."

3줄 요약
1. 유명 자바 앱 프레임워크인 스프링에서 발견된 제로데이 취약점, 스프링4셸.
2. 스프링 개발자 팀에서 오늘 패치 완료해 배포 시작.
3. 익스플로잇에 전제 조건 붙는 편이지만, 해킹 가능성 여부 불문하고 패치 적용하는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>