리눅스 커널 ┖sock_sendpage()┖ NULL Pointer Dereference 취약점

리눅스의 커널에서 심각한 보안취약점이 발견돼 주의가 요구되고 있다. 이 취약점은 관리자 계정 권한을 탈취할 수 있는 심각한 수준인 것으로 알려지고 있다.

국내 정보보안 전문 커뮤니티인 시큐리티플러스는 "Linux Kernel  ┖sock_sendpage()┖ NULL Pointer Dereference"에 대한 취약점을 공개하고 사용자에게 주의를 당부했다. 이 취약점은 리눅스 시스템 상에서 슈퍼 유저 권한으로 임의 코드 실행하거나, 커널 Crash, 서비스 거부등이 가능한 것으로 알려지고 있다.

시큐리티플러스 측은 외국의 많은 보안 커뮤니티나 블로그에서 이 취약점에 대한 위협을 권고하고 있으며 레드햇이나 우분투 같은 유명 리눅스 업체에서도 이 취약점에 대한 대처방안을 제시하고 있다고 설명했다.

시큐리티플러스에 따르면 “취약한 리눅스 커널은 proto_ops 구조 내에서 발생한 소켓 동작에 대해서 모든 Function Point에 대한 초기화를 하지 않기 때문에 로컬 사용자가 NULL Pointer deferference에 대한 추적을 허용한다”고 설명한다. 그리고 “메모리맵 프로그래밍(MMAP)을 사용하여  Zero-Page 매핑을 통해 권한을 획득하고, Zero-Page 상의 악의적인 코드를 위치시킴으로써 이용할 수 없는 동작을 호출할 수 있다”고 덧붙였다.

현재 ‘리눅스 커널 2.4.37.5’와 ‘리눅스 커널 2.6.31-rc6’ 이전의 리눅스 커널은 모두 취약한 것으로 알려져 있다. 따라서 레드햇 엔터프라이즈 리눅스(3/4/5_와 수세 리눅스 엔터프라이즈 8, 우분투 리눅스 (‘4.1’, ‘6.06 LTS’, ‘8.04 LTS’, ‘8.10’, ‘9.04’)와 이에 대응되는 쿠분투(Kubuntu), 에듀분투(Edubuntu), 주분투(Xubuntu) 모든 버전 그리고 데비안 리눅스 5도 해당 취약점에 노출돼 있는 것으로 파악되고 있다.

그나마 다행스러운 것은 이 취약점은 원격으로는 공격할 수 없으며 로컬 상에서만 가능하다는 사실이다. 하지만 로컬 상에서만 가능하다 하더라도 그 위협은 심각한 수준이라고 보안업계 담당자들은 경고한다. 직원이라든지 호스팅을 사용하고 있는 사용자가 악의적인 목적을 가지고 있다면 이 취약점을 이용해 시스템을 중지시키거나 서비스를 거부하는 등 시스템의 지배권을 가질 수 있기 때문이다.  

현재 이 취약점에 대한 해결책은 최신 커널로 업데이트 하는 방법이 최선인 것으로 알려지고 있다. 그러나 리눅스 파운데이션에서는 이 커널에 대한 업데이트가 나온 것으로 알려져 있지만 대다수 유명 리눅스 업체에서도 이 취약점에 대한 패치가 나오지 않아 사용자 스스로 취약점에 대비해야할 것으로 보인다.

보안업계의 한 전문가는 “현재 우분투는 패치가 완료돼 최신 커널 패치를 적용하면 되지만 대다수 업체의 경우에는 임시 취약점 대처방안을 공개하고 있는 실정”이라며 “일단 사용자들의 접근을 엄격하게 제한하고 사용 중인 운영체제의 회사에 해당패치가 나왔는지 확인하고 패치가 없을 경우 임시 해결책을 파악해 적용해야한다”고 조언했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>