• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

WPA2 및 인수분해 취약점 패치한 오라클 “이번 업데이트 매우 중요” 2017.10.19

올해 마지막 오라클 패치 업데이트, 취약점 252개 수정
최근 큰 이슈가 된 WPA2와 인피니온 칩셋 인수분해 취약점 패치

[보안뉴스 오다인 기자] 오라클이 이번 주 252개 제품 취약점을 패치하면서 사용자에게 빠르게 적용해줄 것을 촉구했다. 이번 패치에는 오라클 데이터베이스 서버 및 자바 SE 취약점도 포함됐다.

[이미지=iclickart]


오라클은 17일 중요 패치 업데이트(CPU: Critical Patch Update)를 진행했다. 이번 업데이트는 에퀴팩스 정보 유출 사고 이후 처음 진행된 것으로, 광범위하게 사용되는 와이파이 보호 프로토콜 WPA2 내의 심각한 취약점과 인피니온 테크놀로지스(Infineon Technologies)의 특정 암호 칩셋을 포함한 다수의 제품 취약점을 패치했다.

패치 공지에서 오라클은 이번 패치 업데이트를 그 어느 때보다 신속하게 적용해줄 것을 요청했다. 또한, 이전과 다르게 오라클은 고객들에게 정기적인 보고에 대해서도 더 신경써줄 것을 당부했다. 조직에 어떤 침입자가 어떤 취약점을 이용해 성공적으로 침투했는지에 대한 정보를 예전보다 더 꼼꼼하게 보고해 달라는 것이다.

오라클은 공지에서 “지원되는 버전을 적극적으로 따르고 CPU 패치를 지체 없이 적용할 것을 고객에게 강력하게 권고한다”고 강조했다.

오라클의 10월 CPU 패치는 지난 7월 마지막으로 진행된 310개 취약점 패치보다는 규모 면에서 사실상 작고, 300개 취약점을 패치한 4월 업데이트보다도 작다.

애플리케이션 보안 업체 와라텍(Waratek)은 이번 CPU 패치 업데이트가 자바 가상 기계의 버그를 포함해 오라클 데이터베이스 서버의 5개 요소에 대해서도 추가적으로 수정된 것이라고 말했다. 패치된 취약점 중 두 가지는 크리덴셜 없이 원격 공격이 가능한 것들로 나타났다.

IT 자산 관리 및 패치 업체 이반티(Ivanti)의 제품 매니저 크리스 괴틀(Chris Goettl)은 오라클의 10월 CPU 패치에 22개의 자바 SE 취약점이 포함됐다고 말했다. “이 가운데 20개는 인증을 요청하지 않고도 원격으로 공격할 수 있는 것입니다. 어떤 환경에 침입한 공격자가 이 취약점 중 하나만 이용해도 시스템을 주무를 수 있다는 뜻이죠. 시스템을 익스플로잇 하는 데 크리덴셜조차 필요하지 않습니다.”

마이크로소프트가 매월 업데이트를 진행하는 것과는 다르게 오라클은 3개월마다 보안 패치를 발표한다. 즉, 이번 10월 업데이트가 올해 마지막 업데이트였다. 와라텍에 따르면 2017년 초부터 현재까지 오라클은 자바 SE에서 총 79개의 취약점을 수정했는데 이는 작년 37개의 취약점이 수정된 것에 비해 두 배 가량 높은 수치다. 패치한 취약점 수가 가파르게 많아진 건 오라클이 자바 SE 취약점에 그만큼 더 신경을 쓰고 있다는 사실을 의미한다. 그러나 또 한편으론, 자바 플랫폼이 기업에 더 큰 위험이 되고 있다는 뜻이기도 하다고 와라클은 짚었다.

“과거 CPU 패치보다 규모가 작긴 하지만, 이번 CPU 패치에는 직렬화 취약점(serialization flaw) 같은 아주 중요한 패치 업데이트가 포함돼 있습니다.” 와라텍의 보안 아키텍트인 아포스톨로스 지아나키디스(Apostolos Giannakidis)는 “이번 CPU 패치는 특정 암호 클래스와 관련해 이전 버전과 호환되지 않는다”며 “보안팀이 주의 깊게 보지 않는다면 CPU 패치를 적용하는 건 애플리케이션 작동을 망가뜨릴 수도 있다”고 설명했다.

와라텍의 부사장 겸 최고마케팅책임자 제임스 리(James Lee)는 여기서 핵심은 패치를 가능한 빠르게 적용하는 것이라고 강조했다. “공격자들은 CPU 패치가 나온 직후부터 이 취약점을 원격으로 어떻게 익스플로잇할 수 있을지에 몰두하고 있습니다.”

오라클의 CPU 패치는 전부 다 적용하지 않으면 안 되는 패치 꾸러미다. 이에 각 조직은 모든 패치를 한꺼번에 적용해야 한다. 구성, 코딩, 테스팅을 거쳐 기업이 이번 업데이트를 완전히 적용하는 데는 적게는 수주에서 길게는 수개월까지 걸릴 수도 있다. 리는 “그러므로 금방 끝날 일은 아니”라고 덧붙였다.

패치를 담당하는 부서는 이미 오라클, 마이크로소프트, IBM 등에서 발행된 패치들을 처리하는 데 엄청난 압박을 느끼고 있다. 아파치 스트러츠 취약점을 패치하지 못해 대규모 해킹 공격을 당한 에퀴팩스(Equifax)와 같은 처지가 되지 않도록 각별히 신경쓰고 있다. 또한, 패치 담당 부서는 조직이 WPA2 취약점이나 인피니온 칩셋의 인수분해 버그 같은 것을 패치하는 데도 이미 손이 부족하다. 리는 “무엇보다 레거시 소프트웨어를 갖고 있는 조직이라면 앱 보안을 담당하는 팀은 이미 업무량에 압도당한 상태”라고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>