리눅스 커널에서 7년 동안 아무도 몰랐던 취약점 2개 발견돼

2021-07-22 16:11
  • 카카오톡
  • 네이버 블로그
  • url
2014년 출시된 리눅스 커널 3.16에서 취약점 2개가 발견됐다. 일부 시스템 기능을 마비시킴으로써 권한을 상승시켜 주는 취약점들로, 악성 내부자에 의한 익스플로잇이 가능하다고 한다. 오픈소스에 대한 무관심이 얼마나 만연한지를 드러내는 일이다.

[보안뉴스 문가용 기자] 리눅스 커널에서 2개의 취약점이 발견됐다. 익스플로잇 할 경우 권한이 낮은 계정을 통해 접근하는 데 성공한 공격자가 슈퍼유저 계정의 권한을 가질 수 있게 된다. 보안 업체 퀄리스(Qualys)가 권고문을 통해 해당 취약점들의 상세 내용을 기술했다.


[이미지 = utoimage]

레드햇(Red Hat) 등 리눅스 배포판 업체들이 확인한 바에 따르면 리눅스 커널 3.16 이상 버전들 전부가 이 취약점에 영향을 받는다고 한다. 리눅스 커널 3.16은 2014년 8월에 출시된 것이다. 즉 7년만에 발견된 취약점이라는 뜻이다. 퀄리스도 직접 개발한 개념증명용 익스플로잇 코드를 통해 우분투, 데비안, 페도라 워크스테이션과 같은 배포판에서 공격이 가능하다는 걸 밝혀냈다고 발표했다.

그나마 다행인 점은 이 두 가지 취약점의 위험도가 아주 높지는 않다는 것이다. 익스플로잇을 위해서는 공격자가 시스템 인증 장치를 통과해야 하기 때문이다. 그럼에도 퀄리스의 바랏 조기(Bharat Jogi)는 “패치를 서둘러야 한다”고 경고한다. “치명적 위험도를 가진 취약점은 아닙니다. 하지만 고위험군 정도는 됩니다. 또한 리눅스 커널의 파일시스템 레이어에 영향을 미치기 때문에 패치가 중요합니다.”

리눅스 커널은 리눅스 시스템의 중앙 관리 장치와 비슷한 역할을 수행하는 요소다. 리눅스 생태계에서는 가장 중요하다고 해도 과언이 아닐 정도인데, 최근 들어 여기서 많은 취약점들이 발견되고 있다. 보안 관련 사고도 없지 않다. 지난 4월 미네소타대학교의 연구원들은 커널 공급망 보안을 연구하기 위해 일부러 악성 코드를 심어둔 프로젝트를 커널 개발 및 유지 담당자들에게 제출했다가 리눅스 커뮤니티로부터 축출되기도 했었다. 관련 내용은 이 기사(https://www.boannews.com/media/view.asp?idx=96834)에 보다 상세히 설명되어 있다.

이번에 발견된 취약점들은 CVE-2021-33909와 CVE-2021-33910이다. 이중 후자는 “파일 위치 경로가 지나치게 길 경우 시스템이 매우 큰 영역을 할당하면서 오작동이 일어나게 된다”고 레드햇은 보안 권고문을 통해 설명했다. 즉 시스템의 가용성을 심각하게 훼손할 수 있는 취약점이라는 것이다. 그리고 이 취약점을 특수한 조건으로 익스플로잇 할 경우 CVE-2021-33909가 발동된다고 한다. 그러면서 공격자의 권한이 상승된다.

“가장 실현 가능성 높은 공격 시나리오는, 악성 내부자가 중요한 리눅스 시스템에 접근해 두 가지 취약점을 연쇄적으로 익스플로잇 함으로써 기존 권한보다 훨씬 더 높은 권한을 갖게 되는 것”이라고 퀄리스는 설명한다. “가장 권한이 낮은 사람이더라도 루트 권한을 가져갈 수 있게 되거든요. 신입 사원이더라도 관리자가 될 수 있다는 것이죠. 특정 조직을 표적으로 삼아 내부자 자격으로 접근한다면 꽤나 위험한 상황이 발생할 수 있습니다.”

7년 동안 이 취약점들을 아무도 발견하지 못했다는 것에 대해 퀄리스는 “종종 있는 일”이라고 말한다. 올해 초에도 퀄리스는 엑심(Exim)이라는 메일 서버에서 공격자들이 이미 과거부터 실컷 악용해 왔던 취약점 21개를 새롭게 발견해 공개한 바 있다. 퀄리스는 “리눅스 커널이나 엑심 등 오픈소스를 사용하는 사람이 많은 것에 비해 보안을 점검하는 사람이 얼마나 드문지를 증명한다”고 말한다.

“올해 초 저희가 엑심에서 찾아낸 취약점들은 2004년부터 존재해 왔었습니다. 엑심의 높은 인기를 생각하면 오픈소스에 대한 우리의 무관심이 얼마나 심각한지 알 수 있습니다. 취약점을 찾아내는 부분에 있어서 좀 더 많은 사람들의 참여가 필요합니다. 오픈소스가 현대 소프트웨어 개발에 얼마나 많이 활용되는지를 생각한다면 조직적인 해결책이 있어야 할 것도 같습니다.”

퀄리스와 레드햇, 기타 배포판 관리자들은 리눅스 커널 버전을 최신화 할 것을 권장하고 있다. 최신 버전은 5.13.4를 말한다. 이 버전은 7월 20일부터 배포되기 시작했다. BSD 유닉스를 기반으로 한 맥OS의 경우 이 두 가지 취약점에 노출되어 있지 않다.

3줄 요약
1. 리눅스 커널에서 7년 된 취약점 두 개가 뒤늦게 발견됨.
2. 이 취약점은 권한을 상승시키는 것으로, 악성 내부자가 악용 가능함.
3. 7년 째 아무도 몰랐다는 건 오픈소스에 대한 관심 부족을 드러냄.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기