| 하트블리드의 뒤를 이으러 왔나? 심각한 배시 버그 사태 | 2014.09.26 | ||
해커가 원격에서 명령을 실행할 수 있도록 해
사물인터넷 시대에 되묻는 질문 : 모든 걸 연결할 필요가 있나? [보안뉴스 문가용] 해외에서도 배시 취약점 때문에 소란이 일고 있다. 트렌드 마이크로(Trend Micro)는 지금 하트블리드보다 여러 면에서 더 심각한 것으로 속속 드러나고 있는 배시 취약점을 ‘전염병’이라고 표현했다. 이미 5억 개에 달하는 웹 서버와 인터넷에 연결된 기기들이 감염되어 있다는 결과와 함께였다.
▲ 지도에 나와 있지 않은 게 많을까, 나와 있는 게 더 많을까? 우린 얼마나 알고 또 모르고 있을까? 배시 취약점을 공격하면 공격자는 리눅스 및 유닉스 기반의 시스템에 대한 제어 권한을 갖게 된다. 그렇기 때문에 전문가들은 공격 벡터가 어마어마하게 클 수밖에 없을 것이라고 예상 중이다. 여기엔 맥 OSX 기기, 안드로이드 기기, OpenBSD, DHCP 클라이언트, SSH 서버, CGI나 아파치를 사용하는 웹 서버, 가정용 라우터, 비트코인 코어, 임베디드 시스템 등을 전부 포함한다. 배시는 코드가 포함되어 있을 수 있는 환경 변수를 설정하기 위해 리눅스 및 유닉스 기반 시스템에서 사용하는 로컬 쉘의 일종으로, 이 쉘이 작동을 하자마자 실행된다. 배시 혹은 쉘쇼크(Shellshock)가 로컬 특성을 가지고 있긴 하지만 공격자가 웹 요청의 헤더를 바꾼다거나 하는 임의의 명령을 원격에서 실행할 수 있도록 해준다. 이지솔루션즈(Easy Solutions)의 CTO인 다니엘 잉게발드슨(Daniel Ingevaldson)은 “이번에 발견된 배시 버그는 원격 ‘코드 실행’ 취약점이 아닙니다. 원격 ‘명령 실행’ 취약점으로 공격자는 원격 시스템에서 명령을 실행할 수 있게 됩니다”라고 설명했다. “둘의 차이가 뭐냐면, ‘코드 실행’ 취약점의 경우 실제 뭔가를 하고자 할 때 ‘장난질’을 좀 더 해야 한다는 겁니다.” 어제 발표된 PoC(개념증명) 익스플로잇 덕분에 이 쉘쇼크를 악용하는 데에 필요한 건 단 한 줄의 명령줄이라는 게 공개됐다. 그래서였을까, 그 발표 이후부터 익스플로잇이 급증했다. “웹 서버들이 이미 상당수 공격을 받기 시작했습니다. 사용이 간단해서 너도나도 해보는 듯 합니다.” 비트디펜더(BitDefender) 대변인의 설명이다. “보통 공격 시나리오상 공격자는 자동화된 툴을 사용해 CGI 스크립트에 접근해서 환경 변수를 User-Agent처럼 통과합니다.” User-agent란 웹 서버에게 어떤 브라우저가 사용되고 있는지에 대한 정보를 전달하는 문자열로, 이 정보가 있기 때문에 서버는 정보를 어떤 포맷으로 전달해야 할지를 알게 된다. 이렇듯 배시를 악용하는 사례가 걷잡을 수 없이 늘어나고 있기 때문에 복잡한 컴퓨팅 환경 속으로 침투하는 웜이 발생할 가능성도 높아지고 있다. 그리고 이는 곧 봇넷의 생성으로 이어질 것으로 예상된다. 에얼리언볼트(AlienVault)의 연구자들은 하니팟을 사용해서 이런 움직임이 이미 시작되고 있는 증거들을 발견하기도 했다. “아직은 공격자 대부분이 시스템이 과연 취약한지 아닌지 확인하는 데에서 공격행위를 그치고 있습니다.” 에얼리언볼트의 연구소책임자인 제임 블라스코(Jaime Blasco)의 설명이다. “또한 취약점을 파고들어 멀웨어를 시스템에 심고 있는 웜 두 개를 이미 발견했습니다. 이 멀웨어는 시스템을 봇으로 변환시켜 C&C 서버로 연결시킵니다. 이 연결을 통해 공격자들은 명령을 전달할 수 있게 됩니다. 여태까지 발견한 바에 의하면 주 공격 방식은 디도스였습니다.” 피시미(PhishMe)의 로니 토카조브스키(Ronnie Tokazowski)는 25일 게시글을 통해 다음과 같은 메시지를 남겼다. “인터넷망과 연결된 기기에 이런 취약점이 다수 발견됨에 따라 공격자는 웜으로 변환시킬 가능성이 다분하다. TV 멀웨어를 마지막으로 패치한 게 언제인가? 만약 당신의 TV가 인터넷과 연결되어 있다면, 그리고 제대로 패치가 되어있지 않다면 공격자의 손에 포크폭탄이 있는 것이나 다름없다. 즉 기기는 알 수 없는 공격자에 의해 아주 간단히 작동 불능 상태가 될 수 있다는 것이다. 게다가 이 일은 전 세계 공통의 위험이다.” 파이어아이의 연구 책임자인 다리엔 킨드룬드(Darien Kindlund)는 타깃형 공격 또한 염두에 두어야 한다고 경고했다. “좀 더 고급의 공격 기술을 활용하는 사람들이라면 이것을 응용해 웹사이트를 탈취한 후 다음 차원의 공격을 꾀할 수도 있으리라 봅니다. 우회공격과 비슷한 개념이지요. 타깃형 공격이 점점 늘어나고 있고 성공률도 굉장히 높기 때문에 이런 가능성이 꽤나 높다고 봅니다.” 또한 그는 자신의 블로그를 통해 깔끔하게 한 마디를 더했다. “이번 버그는 정말 끔찍하다.”
하트블리드는 해커들이 정보를 추출하도록만 할 뿐이지만 배시는 명령을 수행할 수 있도록 하기 때문에 더 나쁘다는 의견도 있다. “즉, 배시만 있으면 해커가 당신의 서버와 시스템을 모두 뺏어갈 수 있다는 것입니다.” 잉게발드슨은 대형 호스팅 업체가 직격탄을 받을 수 있다고 경고했다. “충돌이 일어나지도 않고, 복잡하지도 않으며 실험도 간단해지고 무엇보다 익스플로잇 자체가 쉽습니다. 점수를 매길 수 있다면 각 항목마다 10점 만점을 받은 완전체 버그가 돌아다니고 있는 것입니다.” 취약 상태 실험 방법 시스템이 취약점에 노출되어 있는지 시험해보고 싶다면 배시에 다음 코드를 입력해본다. env x=┖() { :;}; echo vulnerable┖ bash -c "echo this is a test" 만약 시스템이 취약하다면 다음과 같은 내용이 출력될 것이다. vulnerable this is a test 배시를 제대로 업데이트 했다면 다음 메시지가 뜰 것이다. this is a test 레드햇, 우분투, 아크 등 다양한 리눅스 버전에서도 패치를 얼른 내놓았다. 아직 맥 OSX를 위한 패치나 안드로이드를 위한 패치는 나오지 않고 있다. 현재의 해결법 문제는 ‘해결’을 해야 한다는 것이다. 보안전문가들은 쉘쇼크 피해 후 복구에 대해서 다음과 같이 의견을 모으고 있다. - 배시의 가장 최신 버전으로 업데이트하라. 여기 링크 참조. - /etc/sshd_config에서 AcceptEnv 커맨드 옵션을 사용해 클라이언트로부터 오는 환경 변수를 일제히 차단한다. - 더 패치가 나올 수 있으므로 주시한다. - 패치가 나올 때까지 배쉬를 비활성화시킨다. - 배쉬를 요청하는 스크립트를 다시 살핀다. - 배시가 돌아가는 데스크톱에서 디폴트 쉘을 잠깐 바꾼다. - 침입 방지 시스템을 사용하거나 네트워크 기반의 모니터링 서비스를 활용한다. 사건의 의의 쉘쇼크는 개발자가 본연의 기능보다 더 많은 것을 구현했는데, 그 과정에서 전혀 예측할 수 없는 보안 구멍이 드러난 사건이다. “사물인터넷 기기 대부분은 리눅스를 기반으로 하고 있습니다. 연결성을 위한 것이지요. 예를 들어 자동온도계를 하나 보자면, 사물인터넷 기기라는 이유로 수많은 다른 기기와 연결이 되어 있지요. 대부분은 온도계 본연의 기능을 실현하는 것과는 상관없는 연결고리이고요. 그렇지만 CPU 자체는 온도계 본연의 기능만을 수행하도록 설계되었을 가능성이 큽니다. 결국 기능과 성능 사이에서 괴리가 생긴 것입니다.” 오센티파이(Authentify)의 부회장인 알란 둔다스(Alan Dundas)의 설명이다. “결국 사물인터넷이라는 이름 아래에 작고 사소한 기기 하나하나까지 전부 연결할 필요가 있을까, 하는 의문이 듭니다. 또한 이번 배시 오류는 하트블리드보다 확실히 위험 잠재성은 큽니다. 리눅스가 임베디드된 기기들은 애초에 패치를 염두에 두고 제작되지 않았기 때문입니다.” 또한 하트블리드와 마찬가지로 쉘쇼크는 오픈소스 소프트웨어의 취약점이다. “오픈소스 커뮤니티의 마인드가 가진 고질적인 문제를 드러낸 사건이라고 봅니다. 무슨 마인드냐하면, ‘내가 아니라도 누군가 하겠지’라며 알고 있는 것 혹은 알려져 있는 것을 수동적으로 따라가는 태도를 말합니다.” 리버만 소프트웨어(Lieberman Software)의 책임자인 크리스 스톤프(Chris Stoneff)가 이번 일에 대한 자신의 의견을 개진했다. “제가 윈도우 신봉자는 아닙니다만 이번에 일어난 OSX와 리눅스 사건을 통해 ‘윈도우가 제일 취약하다’는 모두의 선입견이 깨졌으면 좋겠습니다. 이제 리눅스와 OSX도 결코 안전하다고 말할 수 없게 되었으니까요. 이는 결국 그 동안 해커들이 윈도우를 주 타깃으로 삼았을 뿐 리눅스나 OSX가 태생적으로 튼튼한 것이 아니었다는 의미입니다.” ⓒDARKReading [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
