• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

에퀴팩스 사건 일으켰던 아파치에서 또 다른 취약점 나와 2018.10.19

.htaccess의 디폴트 설정과 관련된 취약점...해커들은 이미 알고 있어
유명 파일 업로드 소프트웨어 프로젝트로부터 파생...최소 7800개 복사본 존재

[보안뉴스 문가용 기자] 아파치(Apache)에서 발견된 취약점들 때문에 꽤나 중요한 침해 사고들이 발생했다. 그중 단연 돋보이는 건 작년 에퀴팩스(Equifax) 사건이고 말이다. 그런데 최근 나온 보고서에 의하면 아직도 더 터질 사건이 남아 있는 듯하다.

[이미지 = iclickart]


보안 업체 아카마이(Akamai)의 취약점 분석 전문가인 로렌스 캐시돌라(Lawrence Cashdollar)가 발견한 바에 따르면 수천 개의 코드 프로젝트들에서 아파치 .htaccess가 사용되는 방법에 문제가 존재한다고 한다. 누군가의 비인증 접근을 허용하며, 그 후에는 파일 업로드 공격 역시 가능하게 되기 때문이다.

캐시돌라의 설명에 의하면 이 취약점의 내용은 다음과 같다. “아파치 2.3.9 버전부터 디폴트 상 .hstaccess 기능이 비활성화 되어 있습니다. 아파치 서버의 퍼포먼스 향상을 위한 조치였습니다. 이 때문에 디렉토리가 열릴 때마다 .htaccess 내 파일들에 대한 호출이 발생하게 됩니다.”

하지만 퍼포먼스를 살리려는 시도에는 보안에 대한 대가가 따랐다. “사용자들은 .htaccess 접근을 사용해 서버의 보안 장치들을 무효화시킬 수 있게 됩니다. 혹은 서버 환경설정에 대한 보안 옵션들을 건드릴 수 있게 되거나요. 속도는 높아지되, 누군가 악용할 수 있는 구멍이 생겨버린 것입니다.”

그러면서 캐시돌라는 “앱 개발자가 아파치 재단(Apache Foundation)에서 최근에 발표한 문서들을 참고하지 않고, 오래된 .htaccess 관련 문서들만 본 상태에서 앱을 만들어낼 때 생길 수 있는 현상”이라고 설명한다.

캐시돌라는 처음 블루임프(Blueimp)에서 진행하고 있는 소프트웨어 프로젝트인 j쿼리 파일 업로드(jQuery File Upload)를 연구하다가 이 문제를 발견했고, 그때부터 이미 ‘규모가 상당히 큰 문제일 수도 있겠다’는 느낌을 가졌다고 한다. j쿼리 파일 업로드는 다양한 유형의 파일을 호환하는 업로드 위젯으로 꽤나 널리 사용되고 있기 때문이었다.

“j쿼리 파일 업로드는 인기가 높습니다. 깃허브에 있는 버전은 7800번이나 복제되거나 포크가 개발되기도 했다. 즉 이 취약점은 최소한 7800개 소프트웨어 프로젝트에 그대로 나타나고 있다는 뜻이 됩니다.” 그의 요청에 따라 깃허브는 이 7800개 포크들 중 1000개를 열람할 수 있게 해주었다. 캐시돌라는 수십 개를 직접 확인했고, 100% 위 취약점을 발견했다.

캐시돌라는 이 문제를 블루임프 측에 보고했다. 블루임프 역시 곧바로 확인을 마치고 패치를 발표, 적용했다. 그러나 복제본 혹은 포크들에도 이 패치가 일괄적으로 적용되는 것은 아니었다. 각 포크 운영자들이 이 사실을 알고 패치를 받아 적용해야만 한다.

이 취약점은 CVE-2018-9206이라는 번호를 부여받았고, 캐시돌라는 깃허브를 통해 이 취약점에 대한 익스플로잇 방법을 공개하기도 했다. 그러면서 그는 “공격자들이 이미 이 취약점을 활용하고 있는 것으로 보인다”고 말하기도 했다. “해커들 커뮤니티에서 이 취약점은 이미 잘 알려져 있습니다.”

캐시돌라는 블로그를 통해 자신이 이 취약점을 어떤 식으로 분석했고, 취약점의 영향력이 어디까지인지를 상세히 설명했다. 다만 “이 j쿼리 파일 업로드가 어느 선까지 복제되고 포크가 만들어졌는지 정확하게 파악할 길이 없다”고 한다. 그러므로 발표된 패치가 얼마나 잘 적용되고 있는지도 알 수가 없다고 한다. “포크들이 실제 생산 환경에서 얼마나 사용되고 있는지도 조사하기가 힘듭니다. 이건 각 보안 담당자들이 조사해서 패치를 적용해야 할 문제입니다.”

아파치의 .htaccess와 상관이 있는 개발자들이라면, 시스템 내 어떤 변화가 있었는지 확인하고, 프로젝트에 사용된 라이브러리를 다시 점검할 필요가 있다고 그는 권장한다.

3줄 요약
1. 작년 에퀴팩스 사태 야기한 아파치에서 또 다른 취약점 나옴.
2. 퍼포먼스 위한 디폴트 조절 때문에 비승인 접근 및 파일 업로드 공격 가능한 취약점.
3. 이미 해커들 사이에선 공공연한 비밀. 개발자 및 보안 담당자가 확인 후 패치 적용해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>