오픈소스 프록시 서버인 엔보이 프록시에서 디도스 공격을 유발케 하는 취약점이 발견됐다. 압축 파일 용량 제한 때문에 생기는 문제인데, 최신 버전들로 업데이트를 할 경우 해결이 가능하다. 다만 패치를 원활하게 적용하기 힘들 곳들이 제법 될 것으로 예상된다.

[보안뉴스 문가용 기자] 엔보이 프록시(Envoy Proxy)에서 디도스 공격을 가능하게 하는 취약점이 발견됐다. 이 취약점을 익스플로잇 할 경우 공격자들은 프록시 서버를 완전히 마비시킬 수 있게 된다고 한다. 때문에 프록시 서버에서 처리하는 자원을 사용자들이 사용할 수 없게 되거나, 프록시 서버의 속도가 느려질 수 있다고 한다. 보안 업체 제이프로그(JFrog)가 발견했고, 취약점에는 CVE-2022-29225라는 번호가 붙었다.


엔보이 프록시는 널리 사용되는 오픈소스 에지 및 프록시 서버로, 클라우드 네이티브 애플리케이션들과 트래픽양이 많은 웹사이트들에 알맞다. GZip과 Brotli 데이터 모두를 압축 해제할 수 있으나 Brotli 파일의 경우 결과 버퍼에 대한 용량 제한을 걸지 않고 있다. “그렇기 때문에 무제한의 용량이 버퍼에 걸려 시스템과 네트워크를 마비시킬 수 있게 됩니다. 한 마디로 압축 파일 폭탄을 떨어트릴 수 있게 되는 것이죠.”

그러므로 악성 행위자가 Brotli 압축 파일을 특수하게 만들고(용량을 무한정 키우는 방식으로), 이를 엔보이 프록시 서버에 심으면 갑자기 서버의 속도가 크게 떨어지게 된다. “대부분의 경우 시스템 메모리로도 대용량의 데이터를 처리할 수 있습니다. 하지만 이것이 어느 정도 선을 넘어가면 엔보이와 관련된 프로세스가 오류를 일으키고 마비됩니다. 그러면 컴퓨터 자원의 대다수 그 프로세스로 할당되고 시스템 전체가 마비되기도 합니다.”

다행히 이 취약점은 패치가 되었다. 제이프로그는 엔보이 1.19.5, 1.20.4, 1.21.3, 1.22.1 버전이 안전하다고 권고했다. 하지만 경우에 따라 업그레이드가 불가능한 조직이 있을 수 있다. 그런 경우라면 설정 파일을 건드려 Brotli 파일에 대한 압축 해제를 하지 못하도록 해야 한다고 제이프로그는 자사 블로그를 통해 설명했다. “Brotli 파일을 아예 비활성화시켜도 되고, Gzip 압축 해제기를 사용해 Brotli를 해제할 수 있습니다.”

보안 업체 발틱스(Valtix)의 수석 보안 전문가인 데이비스 맥카시(Davis McCarthy)는 “오픈소스 기술은 취약점 발굴 및 익스플로잇에 취약한 편”이라고 설명한다. “오픈소스 생태계에는 여러 가지 오래된 취약점들이 존재하고, 오래된 기법으로도 잘 뚫립니다. 압축 파일을 통해 메모리와 시스템 자원을 소진시키는 것 역시 오래된 디도스 공격 원리 중 하나죠. 오픈소스의 큰 단점이라고 할 수 있겠습니다.”

클라우드 기반 시스템과 애플리케이션도 문제가 될 소지가 크다. “클라우드 서비스들은 거의 대부분 ‘올웨이즈 온’ 즉, 항상 켜져 있고 항상 활성화 되어 있어야 하는 경우가 많습니다. 때문에 모든 것을 잠시 꺼두고 패치를 하는 게 불가능한 경우들이 대다수죠. 클라우드 기반 서비스들 중에 패치가 되지 않은 채 사용되는 것들이 제법 된다고 볼 수 있습니다. 이번에 발견된 취약점은 클라우드 익스플로잇 및 해킹 공격에 대한 연구가 왜 중요한지를 드러내기도 합니다.”

맥카시는 “클라우드에서의 취약점 익스플로잇 공격을 막기 위해서는 가상 패치(virtual patching)를 진행하는 게 좋은 대안이 될 수 있다”고 설명을 덧붙였다.

3줄 요약
1. 인기 높은 오픈소스인 엔보이 프록시에서 취약점 발견됨.
2. 디도스 공격을 가능하게 하는 취약점으로, 압축 파일 설정과 관련이 있음.
3. 최신 엔보이 프록시 버전을 설치하게 될 경우 안전해질 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>