[보안뉴스 문가용 기자] 리눅스 커널에서 2개의 취약점이 발견됐다. 익스플로잇 할 경우 권한이 낮은 계정을 통해 접근하는 데 성공한 공격자가 슈퍼유저 계정의 권한을 가질 수 있게 된다. 보안 업체 퀄리스(Qualys)가 권고문을 통해 해당 취약점들의 상세 내용을 기술했다.
[이미지 = utoimage]
레드햇(Red Hat) 등 리눅스 배포판 업체들이 확인한 바에 따르면 리눅스 커널 3.16 이상 버전들 전부가 이 취약점에 영향을 받는다고 한다. 리눅스 커널 3.16은 2014년 8월에 출시된 것이다. 즉 7년만에 발견된 취약점이라는 뜻이다. 퀄리스도 직접 개발한 개념증명용 익스플로잇 코드를 통해 우분투, 데비안, 페도라 워크스테이션과 같은 배포판에서 공격이 가능하다는 걸 밝혀냈다고 발표했다.
그나마 다행인 점은 이 두 가지 취약점의 위험도가 아주 높지는 않다는 것이다. 익스플로잇을 위해서는 공격자가 시스템 인증 장치를 통과해야 하기 때문이다. 그럼에도 퀄리스의 바랏 조기(Bharat Jogi)는 “패치를 서둘러야 한다”고 경고한다. “치명적 위험도를 가진 취약점은 아닙니다. 하지만 고위험군 정도는 됩니다. 또한 리눅스 커널의 파일시스템 레이어에 영향을 미치기 때문에 패치가 중요합니다.”
리눅스 커널은 리눅스 시스템의 중앙 관리 장치와 비슷한 역할을 수행하는 요소다. 리눅스 생태계에서는 가장 중요하다고 해도 과언이 아닐 정도인데, 최근 들어 여기서 많은 취약점들이 발견되고 있다. 보안 관련 사고도 없지 않다. 지난 4월 미네소타대학교의 연구원들은 커널 공급망 보안을 연구하기 위해 일부러 악성 코드를 심어둔 프로젝트를 커널 개발 및 유지 담당자들에게 제출했다가 리눅스 커뮤니티로부터 축출되기도 했었다. 관련 내용은 이 기사(https://www.boannews.com/media/view.asp?idx=96834)에 보다 상세히 설명되어 있다.
이번에 발견된 취약점들은 CVE-2021-33909와 CVE-2021-33910이다. 이중 후자는 “파일 위치 경로가 지나치게 길 경우 시스템이 매우 큰 영역을 할당하면서 오작동이 일어나게 된다”고 레드햇은 보안 권고문을 통해 설명했다. 즉 시스템의 가용성을 심각하게 훼손할 수 있는 취약점이라는 것이다. 그리고 이 취약점을 특수한 조건으로 익스플로잇 할 경우 CVE-2021-33909가 발동된다고 한다. 그러면서 공격자의 권한이 상승된다.
“가장 실현 가능성 높은 공격 시나리오는, 악성 내부자가 중요한 리눅스 시스템에 접근해 두 가지 취약점을 연쇄적으로 익스플로잇 함으로써 기존 권한보다 훨씬 더 높은 권한을 갖게 되는 것”이라고 퀄리스는 설명한다. “가장 권한이 낮은 사람이더라도 루트 권한을 가져갈 수 있게 되거든요. 신입 사원이더라도 관리자가 될 수 있다는 것이죠. 특정 조직을 표적으로 삼아 내부자 자격으로 접근한다면 꽤나 위험한 상황이 발생할 수 있습니다.”
7년 동안 이 취약점들을 아무도 발견하지 못했다는 것에 대해 퀄리스는 “종종 있는 일”이라고 말한다. 올해 초에도 퀄리스는 엑심(Exim)이라는 메일 서버에서 공격자들이 이미 과거부터 실컷 악용해 왔던 취약점 21개를 새롭게 발견해 공개한 바 있다. 퀄리스는 “리눅스 커널이나 엑심 등 오픈소스를 사용하는 사람이 많은 것에 비해 보안을 점검하는 사람이 얼마나 드문지를 증명한다”고 말한다.
“올해 초 저희가 엑심에서 찾아낸 취약점들은 2004년부터 존재해 왔었습니다. 엑심의 높은 인기를 생각하면 오픈소스에 대한 우리의 무관심이 얼마나 심각한지 알 수 있습니다. 취약점을 찾아내는 부분에 있어서 좀 더 많은 사람들의 참여가 필요합니다. 오픈소스가 현대 소프트웨어 개발에 얼마나 많이 활용되는지를 생각한다면 조직적인 해결책이 있어야 할 것도 같습니다.”
퀄리스와 레드햇, 기타 배포판 관리자들은 리눅스 커널 버전을 최신화 할 것을 권장하고 있다. 최신 버전은 5.13.4를 말한다. 이 버전은 7월 20일부터 배포되기 시작했다. BSD 유닉스를 기반으로 한 맥OS의 경우 이 두 가지 취약점에 노출되어 있지 않다.
3줄 요약
1. 리눅스 커널에서 7년 된 취약점 두 개가 뒤늦게 발견됨.
2. 이 취약점은 권한을 상승시키는 것으로, 악성 내부자가 악용 가능함.
3. 7년 째 아무도 몰랐다는 건 오픈소스에 대한 관심 부족을 드러냄.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>