배시, OSX와 리눅스의 디폴트 쉘이라 위험한 것

ISC, 배시 취약점 사태로 인포콘 황색 경보 발령

[보안뉴스 문가용] 애플은 단호했다. 이번에 대대적으로 발생한 쉘쇼크 혹은 배시버그 사태에 대해 대다수 맥 OSX 사용자들은 큰 영향을 받지 않았다고 발표한 것이다. 애플 사용자들에게는 환영할만한 소식이다.

“대부분의 OSX 사용자들은 최근 보도된 배시 취약점으로부터 안전한 것으로 밝혀졌습니다. 유닉스의 명령 쉘이면서 OSX에 포함된 언어인 배시는 인가되지 않은 사용자가 원격으로 시스템에 대한 권한을 가져갈 수 있는 취약점을 가지고 있습니다. 하지만 OSX는 굉장히 견고한 시스템이며 사용자가 유닉스 서비스에 대한 고급 설정을 변경하지 않는 이상 원격 익스플로잇에 노출될 염려는 없습니다. 애플은 현재 고급 설정을 활용하는 사용자들을 위한 소프트웨어 업데이트를 준비하고 있습니다.”

하지만 애플의 이 발언에는 조금 모호한 면이 있다. ‘고급 설정’이 무엇인지 구체적으로 제시하지 않았기 때문이다. 이센타이어(eSentire)의 최고보안전략가인 엘돈 스프리커호프(Eldon Sprickerhoff)는 “ssh, 웹 서비스(혹은 아파치) 등을 포함한 인바운드 서비스”를 말하는 것 같다고 추측했다. “웹 서버에서 OSX를 운영 중에 있다면 패치가 나올 때까지 혹은 쉘쇽을 차단할 수 있는 무언가가 나올 때까지 잠시 서버를 닫는 것이 최고입니다.”

인터넷을 통한 공격 대부분이 웹 서버를 통해 들어온다는 게 그의 설명이다. “배시 버그를 악용하도록 해주는 스크립트를 실행하려면 웹 서버가 필요합니다. 웹 서버는 버그 자체에 접근하기 위한 벡터입니다. 그렇기 때문에 오픈 벡터가 거의 없다면 사실상 취약하지 않다고 봐도 무방합니다. 하지만 DHCP가 벡터가 되는 경우도 있다고 합니다. 아직 더 조사를 해봐야 합니다.”

작가이자 보안 전문가인 트로이 헌트(Troy Hunt)는 자신의 블로그를 통해 “배시는 사용자가 유닉스와 리눅스 시스템에서 명령을 조직할 수 있게 해주는 인터프리터인 닉스 쉘이다. 웹 서버의 CGI 스크립트 파서처럼 운영하는 것도 가능하다”라고 자신의 분석 결과를 간략하게 발표했다.

“다양한 버전의 유닉스에서 사용이 가능한 다른 종류의 배시가 지천에 깔렸습니다. 그런데 왜 배시만 문제가 될까요. 리눅스와 맥 OSX의 디폴트 쉘이기 때문입니다. 그러므로 다른 쉘보다 훨씬 많은 시스템에 이미 잠재해 있는 것이죠. 그렇기 때문에 리스크가 크다고 말하는 겁니다. 배시는 생각보다 많은 시스템에 존재합니다.”

이번 사태로 언급되는 리스크란 결국 “배시 쉘 내에서 함수 정의를 명시해주는 환경 변수를 임의로 정의할 수 있는 능력”과 관련 있다고 헌트는 블로그에 쓰고 있다. “함수 정의가 코드 인젝션 공격과 같은 수준으로 바뀌었는데도 배시가 쉘 명령어를 계속해서 처리할 때 문제가 시작됩니다.” 그리고 과연 이런 공격은 배시에 대한 보고가 있은 후 엄청나게 늘어났다.

“어떤 경우는 공격자가 웹 서버에 대한 제어를 가져오기 위해 배시의 인스턴스를 만들어 특정 TCP 포트에 리스닝이 되는 원격 서버로 전송하더군요. 이는 리버스 코넥트 쉘(reverse-connect-shell)이라고도 알려져 있는 방법이죠.” 카스퍼스키 랩의 스티븐 오트로프(Stefan Ortloff)의 설명이다. “즉 해커들은 리눅스 백도어를 설치하기 위해 특별히 제작된 HTTP 요청을 사용해 배시 취약점을 공략하기 시작했다는 것입니다. 현재 이런 멀웨어 및 그 변종들을 Backdoor.Linux.Gafgyt이라는 이름으로 감지하고 있습니다.”

한편 이번 사태로 인터넷 스톰 센터(ISC)는 인포콘을 ‘황색’ 단계로 올렸다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>