| 20년 된 버그, 사물 인터넷 타고 번지나 | 2014.06.30 | |
여러 플랫폼과 시스템에 널리 퍼진 알고리즘 내 취약점 발견 워낙 다양하게 사용되는 알고리즘이라 현재는 더 지켜보는 수밖에 [보안뉴스 문가용] 리눅스 커널, 오픈소스 라이브러리, 삼성 안드로이드 모바일 기기에서 인기리에 사용되고 있는 압축 알고리즘에서 20년이나 된 버그가 발견됐다.
이 버그는 바로 정수 오버플로우의 일종으로 공격자가 LZO 코드를 사용해 시스템에 DoS 류의 공격을 감행할 수 있게 해준다. 또한 원격코드 실행도 가능케 한다. 지난 며칠 동안 리눅스 커널과 여러 오픈소스 미디어 라이브러리용 패치가 배포되긴 했었다. LZO는 임베드된 시스템에서 IP 네트워크 트래픽과 파일의 고속 압축 및 해제를 하는 알고리즘이다. “공격의 주 타깃이 되는 건 이미지 데이터입니다. 사진이나 동영상 스트리밍으로 생성된 파일들이며 로우 이미지(raw image)도 포함합니다.” 베일리 씨의 설명이다. “이 취약점이 치명적인 건 다름 아니라 공격대상이 된 알고리즘이 소비자 시장에서 아주 인기가 많기 때문에 확장성이 엄청나기 때문입니다. 지금 정확히 얼마나 퍼져 있는지 파악하는 게 불가능할 정도입니다.” LZO를 활용하는 제품으로는 OpenVPN, 일부 삼성 안드로이드 기기, 아파치 하둡(Apache Hadoop), 주니퍼 주노스(Juniper Junos) IPsec, 엠플레이어2(mplayer2), 지스트리머(gstreamer), 일루모스(Illumos)/솔라리스(Solaris) BSD ZFS 등이 있다. 다만 아직 이런 제품들에 임베디드된 LZO 코드 역시 취약점을 가지고 있다는 가정은 사실로 확인된 바가 없다. “아마 DoS를 통해 감염된 것으로 보입니다.” 문제는 이 알고리즘이 어떤 식으로 구현되는지, 또 어떤 구조를 가지고 있으며 애플리케이션의 메모리 배치는 어떤 식인지가 모두 중요한 변수로 작용한다는 것이다. 그렇기 때문에 LZO를 사용하는 애플리케이션들은 전부 검토가 필요하다. 그러고 나서 패치까지도 적절하게 만들어야 한다. 시장에 퍼질대로 퍼진 알고리즘이니 언제고 터질지 모르는 암세포처럼 우리 주위에 도사리고 있어서 껄끄럽다는 게 베일리 씨의 의견이다. “임베디드 시스템을 가진 자동차나 비행기라면 운행 중에 얼마든지 뭔가 잘못될 수도 있습니다. 생각해보면 거리 전체가 위험해진 것이나 다름이 없습니다. 물론 기기 및 시스템의 구조에 따라 취약점에 완전히 공략을 당할 수도 있고 아닐 수도 있습니다.” 나사(NASA)의 화성 프로젝트에도 LZO가 활용되고 있지만 정확히 어떤 방식으로 어디에 활용되고 있는지를 몰라 취약성 여부를 판단하기가 어렵다는 게 베일리 씨의 설명이다. 이 버그는 시청각 미디어를 통해 코드를 원격 조정할 때 사용할 수도 있다. “동영상을 보는 중에 컴퓨터가 쉘에 감염될 수도 있습니다. 즉 영상을 재생시키는 간단한 행동만으로 악성코드에 감염될 수 있다는 것입니다.” 레피드7의 글로벌 보안 전략가인 트레이 포드(Trey Ford) 씨는 “LZO 압축방식이 모든 리눅스 기반 시스템과 솔라리스, iOS, 안드로이드에 사용되고 있다고 봐야 한다”며 “이는 곧 사물 인터넷 기기도 모두 잠재위험을 가지고 있다는 뜻”이라고 문제를 확장시켰다. 또한 “아직 정확히 얼마나 위험한지, 어떤 파급력을 가지고 있으며 어떤 식으로 우리 생활을 위협할 것인지에 대해선 알 수가 없다”며 “아직은 손놓고 지켜봐야 할 상태”라고 말했다. 베일리 씨도 비슷한 의견이다. “아직은 예상할 수도 건드릴 수도 없습니다. 사물인터넷이 더 보급되고 널리 퍼지면서 문제가 확연히 드러나기를 기다리는 수밖에 없습니다.” 게다가 이렇게 손쓰기 힘들 정도로 널리 퍼져 있다는 문제의 특성상 패치가 된다고 해도 어디서부터 어디까지 커버가 될지도 미지수다. “아마 사용자들 본인조차 자기들 기기에 LZO가 있는지 없는지 모를 겁니다.” ⓒDARKReading [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
.jpg)