보안전문가, 4년전 취약점 보고했으나 패치되지 않아... 실수로 공개

[보안뉴스 호애진] 패치되지 않은 오라클의 한 심각한 취약점에 대한 개념증명(PoC) 코드가 공개돼 물의를 빚고 있다. 해당 취약점이 패치가 된 것으로 오인한 보안전문가가 PoC 코드를 공개한 것.

오라클은 30일(현지시간) 보안 공지를 통해 이 취약점이 패치가 되지 않았다는 사실을 밝히고 이용자들에게 임시 방안을 권고했다.

공격자가 인증할 필요 없이 원격으로 이용할 수 있는 이 심각한 취약점은 CVSS(the Common Vulnerability Scoring System: 공통취약점평가시스템)에서 7.55점을 받은 바 있고, 오라클 데이터베이스 10g와 11g 버전에 영향을 준다.

4년 전 보안전문가인 작시언 코렛(Joxean Koret)은 중간자 공격 취약점(Man-in-the-middle flaw)을 사이버 인텔리전스 업체인 아이사이트 파트너스(iSight Partners)에 보고했고, 회사는 자사 보상 프로그램의 규정대로 오라클과 세부 정보를 공유했다.

오라클은 2주전 발표한 분기 보안 업데이트에서 이 버그를 최종적으로 해결했다. 아니, 적어도 코렛은 그와 같이 생각했다. 오라클이 자사의 ‘심층 보안(Security-In-Depth)’ 코너에서 그의 기여를 인정했기 때문이었다.

코렛은 오라클이 어떤 취약점에 대해 그의 기여를 인정했는가를 이메일을 통해 오라클에 물어 봤고, 더 이상 문제가 없다고 판단한 후 해당 버그에 대한 PoC 코드를 공개했다.

그러나 취약점은 해당 데이터베이스의 향후 버전들에서만 고쳐졌을 뿐, 그가 지적한 버전에서는 그대로인 것으로 드러났다.

그는 취약점을 이용해 인증서 없이도 데이터베이스로의 어떠한 연결이든 스니핑(sniff) 할 수 있고, 또한 악의적인 명령어를 인젝션할 수 있다고 지적했다. 그러면서 이 같은 공격이 실제로 행해지고 있는지는 아는 바 없다고 덧붙였다.

오라클은 보안공지를 통해 주요 코드에서 먼저 취약점을 수정하고 분기별 보안 업데이트를 통해 백포팅(backporting)을 한다고 밝혔다. 그러나 백포팅은 필요한 코드의 양이 지나치게 많거나 고객에게 심각한 퍼포먼스 문제를 유발하는 경우 가능하지 않을 수도 있다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>