• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

구글이 발견한 자바의 취약점, 제로패치가 임시 패치 2019.04.08

2월에 발견된 아웃 오브 바운드 리드 취약점...오라클, “비현실적”
서드파티 패치 업체인 제로패치가 대신 픽스 개발해 발표...우선 두 개

[보안뉴스 문가용 기자] 오라클 자바 런타임 환경(Oracle Java Runtime Environment)에서 구글 프로젝트 제로의 마테우즈 유르차익(Mateusz Jurczyk)이 발견한 취약점 네 가지의 비공식 패치가 발표됐다.

[이미지 = iclickart]


유르차익의 주도로 구글 프로젝트 제로 팀이 네 가지 취약점들을 공개한 것은 2월 18일의 일이다. 힙 아웃 오브 바운드 리드(heap out-of-bounds read) 취약점이었고, 트루타입(TrueType)과 오픈타입(OpenType) 폰트의 처리 과정에 대한 퍼즈 테스팅을 진행하다가 발견했다고 한다.

프로젝트 제로에 따르면 이 취약점들은 ‘중간급’ 위험도를 가진 것으로, 2월 12일 오라클 측으로 보고됐다. 보고 후 1주일 정도가 지나고 나서 세부적인 내용을 공개한 것인데, 그것은 취약점을 먼저 보고 받은 오라클이 “제시된 공격 시나리오가 현실적이지 않다”는 이유로 “취약점 패치를 발표하는 대신 차기 버전을 통해 문제를 다루겠다”고 답했기 때문이다. 프로젝트 제로 측은 2월 18일 취약점들에 대한 세부 내용을 공개하면서 “픽스되지 않을 전망이다”라고 썼다.

이에 서드파티 패치를 전문으로 하는 아크로스 시큐리티(ACROS Security)가 제로패치(0patch)라는 서비스를 통해 임시 픽스를 발표했다. 이 패치는 오라클이 차기 버전의 자바를 내놓을 때까지 자바 사용자들을 보호할 수 있을 것으로 기대된다. 무료이며, 적용이 굉장히 쉬운 것이 특징이라고 제로패치 측은 설명했다(https://twitter.com/0patch/status/1113797743955402754).

제로패치는 네 개의 취약점들 중 두 가지에 대한 픽스를 공개했는데, 나머지 두 개에 대한 것도 곧 발표할 것이라고 약속했다. “아웃 오브 바운드 접근 시도가 탐지될 때 java.exe를 종료함으로써 취약점이 익스플로잇 되는 걸 막았습니다. 악의적인 입력 값이 통과되는 걸 막으려고 해봤지만, 위험부담이 너무 컸습니다.”

이번 임시 패치가 적용되는 건 자바 8 업데이트 202(Java 8 update 202) 버전이다. 프로젝트 제로 팀이 취약점을 찾은 것도 바로 이 버전에서다. 오라클이 진행하는 업데이트인 CPU를 자동으로 적용해오던 사용자들이라면 자바 8 업데이트 201 버전에 머물러 있는 상태일 텐데, 제로패치는 이 버전에도 임시 패치를 임포트 하는 것이 가능하다고 설명한다.

한편 오라클의 공식 CPU는 4월 16일로 예정되어 있다. 하지만 프로젝트 제로 팀이 발견한 네 가지 취약점들에 대한 패치가 어느 정도나 반영될지는 아무도 모른다. 취약점 하나하나를 따로 익스플로잇 할 경우 자바 RE 사용자들에게 심각한 위협이 되지 못한다는 것이 오라클의 입장이다.

“익스플로잇 가능성은 굉장히 낮아 보입니다. 디도스 공격 외의 피해 가능성은 현재 단계에서는 추측에 불과할 뿐입니다. 원격 공격은 공격자가 자바 서버로 특수한 폰트를 보낼 수 있을 때에만 성립됩니다.” 아크로스 시큐리티의 CEO인 미트야 콜섹(Mitja Kolsek)의 설명이다.

그렇다면 굳이 서드파티 패치를 발표한 이유는 무엇일까? “자바는 기업들에서 널리 사용되는 요소이기도 하지만, 잦은 불평거리이기도 합니다. 자바를 통한 공격도 자주 일어나는 편이고요. 저희는 이번 기회에 오라클이 아니더라도 자바에 대한 패치가 가능하다는 걸 보여주고 싶었습니다.”

또한 “이미 공개된 취약점을 두고 ‘공격 실현 가능성이 높지 않다’고 평하며 패치를 미룬다는 건 굉장히 안일한 것이라고 믿고 있다”고 콜섹은 설명을 이어갔다. “해커들은 굉장히 빠른 시간 안에 각종 공격법을 개발해냅니다. 보고된 공격 시나리오가 실질적이지 않다는 게 오라클의 발표 내용이었는데, 그 시나리오 이상의 것을 생각하는 게 해커들이죠.”

3줄 요약
1. 지난 2월, 구글의 프로젝트 제로 팀이 자바 RE에서 취약점 네 개 발견.
2. 오라클에 알렸으나 “공격 시나리오가 비현실적이니 패치 미룰 것”이라고 발표.
3. 이에 서드파티 패치 서비스인 제로패치가 두 개의 패치 발표. 나머지 두 개도 곧 나올 예정.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>