최근 해외 커뮤니티를 중심으로 OpenSSH의 제로데이 취약점에 대한 논란이 불거져 관심을 끌고 있다. 그러나 현지 언론들은 실제 제로데이 취약점인지는 확인되지 않았다고 보도하고 있다.

IT 종합 포털 사이트 Heise Online 영국판은 최근 Heise Online은 다수의 시스템에 대한 침입과 관련된 OpenSSH 제로데이 공격설을 보도하며 “며칠 전부터 OpenSSH 버전 4.3의 기존에 알려지지 않은 보안 취약점과 관련해 제로데이(zero day) 공격이 가능하다는 루머가 있었지만 확인되지 않았다”고 전했다. 특히 감염된 서버 중 하나에 대한 공격 분석 결과를 인용해 “최근 탐지된 다수의 시스템에 대한 침입은 브루트 포스(brute force) 공격인 것으로 나타났다”고 전했다.

이에 앞선 지난 7일에는 Heise Online와 제휴하고 있는 H시큐리티(The H Security)가 “웹호스팅토크 포럼(Web Hosting Talk forum)에서 RHEL(CentOS/Red Hat Enterprise Linux)의 OpenSSH 서버의 주요 보안 취약점에 관한 의혹이 거세게 일고 있다”고 보도했다.

Heise Online에 따르면 이러한 의혹은 자칭 Anti-Sec이라는 단체가 다수의 서버를 침입하고 그 로그를 리스팅한 게시물이 등장하면서 불거지기 시작했다. 이 포스팅은 OpenSSH 4.3 버전이 침입 가능하다는 것을 보여주는 증거가 될 수 있다는 것이다. 심지어 이 단체는 침입한 로그를 열거한 뒤 “우리를 쫓으려고 하지 말라. 우리가 문제가 아니라 (레드햇의) 말과 행동이 일치하지 않는다는 것이 문제다”라며 “수정이 먼저다”라고 충고(?)했다.

포스팅된 내용이 사실이라면 수년 전에 만들어져 여전히 배포되고 있는 OpenSSL 4.3 버전에 취약점이 존재한다. 그러나 레드햇 개발팀은 과거 버전까지 적용되는 패치(backport patch, 혹은 백포팅)를 제공하는 편이기 때문에 OpenSSL은 버전에 큰 상관없이 항상 최신으로 업데이트 되는 것과 마찬가지라는 것이 일반적인 이해다. 특히 백포팅(backporting)은 소프트웨어를 이용하다가 문제가 생기면 전체를 업그레이드 할 필요 없이 그 부분만 해결해 준다는 점에서 매력적일 수 있다.

그러나 웹호스팅토크(www.webhostingtalk.com) 포럼에서 불거진 OpenSSH 루머에 따르면 이러한 백포팅 과정에서 에러가 삽입돼 현재 이를 해킹할 경우 서버 접근 권한을 획득할 수 있다는 것이다.

또한 H시큐리티(The H Security)는 몇 주 전 ssanz.net에 대한 공격을 포함해 일부 사이트들에 대한 공격들이 SSH 특정 버전의 알려지지 않은 취약점에 대한 제로데이 공격의 존재를 가리키고 있는 것인지도 모른다고 전했다.

한편, 레드햇 보안대응팀은 “제로데이 취약점으로 생각되지 않는다”며 이 취약점의 존재 여부에 대한 언급을 거부했다고 Heise Online은 전했다. 그러면서도 레드햇 보안대응팀은 이 소문을 알고 있으며 좀 더 정보를 수집해 상황을 지켜보고 있다고 말한 것으로 전해진다.

[김동빈 기자(foreign@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>