비프, 10년 넘게 개발자들 사이에서 애용되어 왔으나
2013년 이후 업데이트 없어...비프 대체할 방법들 많아

[보안뉴스 문가용 기자] 리눅스의 오래된 툴인 비프(Beep)에서 취약점이 몇 가지 발견됐다. 이 중에는 권한을 상승시켜주는, 위험성이 매우 심각한 것도 있다고 한다. 또한 기존 패치로 인해 새롭게 나타난 취약점도 존재한다.


비프는 리눅스 개발자들이 컴퓨터의 내부 스피커를 사용해 신호음을 발생시키는 데 활용하던 것으로, 지난 십 년 동안 꾸준한 사랑을 받아왔다. 그냥 단순 소리 발생기가 아니라 소리의 높낮이, 발생 시간, 반복 주기 등을 제어하는 데에 비프만큼 편한 게 없었다고 한다. 오픈소스 애플리케이션으로 2013년 이후 업데이트를 한 번도 받은 적이 없다.

하지만 한 익명의 보안 전문가가 비프 1.3.4까지 버전에서 취약점을 하나 발견했다. 레이스 컨디션(race condition) 취약점으로 로컬의 공격자가 루트 권한을 취득할 수 있게 해주는 것이었다.

이 구멍에는 CVE-2018-0492라는 번호가 붙었다. 소리와 관련된 기능에서 발견된 것이었기 때문에 전문가들끼리는 “정보보안 사상 최초의 어쿠스틱한 사이버 보안 취약점”이라는 농담이 오가기도 했다. 심지어 어떤 전문가는 이 어쿠스틱한 취약점을 기리기 위한 전문 웹사이트를 개설하기도 했다(holeybeep.ninja).

이 홀리비프(Holey Beep) 웹사이트에는 취약점에 대한 소개뿐만 아니라 패치까지도 제공되고 있다. 그런데 이 패치에 문제가 있는 것으로 뒤늦게 밝혀지는 반전이 있었다. 취약점을 해결해주는 게 아니라 임의 명령 실행까지도 가능케 해주는 등, 오히려 문제를 더 키운다는 주장이 나온 것이다.

데비안(Debian) 버그 관련 포럼에 의하면 홀리비프에 올라와 있는 패치는 원래의 취약점보다 더 심각한 문제를 일으킨다고 한다. 게다가 리눅스 커뮤니티에 있는 개발자들은 패치를 습관적으로 적용하기 때문에 문제가 걷잡을 수 없이 커질 수도 있다고 지적한다. 홀리비프를 만든 개발자가 의도적으로 이런 해치를 배포하고 있는지, 실수인지는 아직 밝혀지지 않았다.

또한 지난 주말 동안에는 비프와 관련된 또 다른 문제점들이 제기되기도 했다. 홀리비프의 패치에 관한 내용도 있었고, 정수 오버플로우와 관련된 문제를 발견했다고 주장한 이들도 나타났다. 시스템 내 파일들에 관한 정보를 수집할 수 있게 해주는 취약점도 언급됐다.

이렇게 많은 문제들이 속속 나타나기 시작하자 리눅스 개발자들 사이에서는 “이제 비프를 보내줘야 할 때가 되지 않았나”하는 목소리들도 나오기 시작했다. “PC 내장 스피커를 조정할 수 있게 해주는 기능 때문에 이 많은 취약점을 떠안고 있는 게 정상적인 상태로 보이지 않는다”는 의견이다. 심지어 현대 PC들은 내장 스피커를 가지고 있지 않은 경우도 많다.

독일의 보안 전문가인 하노 보크(Hanno Bock)가 바로 이런 의견을 피력하는 이들 중 하나다. “비프를 대체할 솔루션들도 이미 나와 있습니다. 디스트로(리눅스의 다양한 배포판 버전을 의미한다)들에 내장되어 있는 printf \a로도 충분히 비프를 대체할 수 있고요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>