XZ유틸즈에서 발견된 백도어, 오픈소스 커뮤니티를 침체시켜

2024-04-02 21:22
  • 카카오톡
  • 네이버 블로그
  • url
조금만 더 늦게 발견되었다면 커다란 재앙이 될 수도 있었을 법한 사태가 주말 동안 벌어졌다. 보안 전문가들은 놀란 가슴을 쓸어내리지만, 다른 한 편으로는 사랑하는 오픈소스 생태계의 본질적 한계가 드러나 가슴을 치고 있기도 하다.

[보안뉴스 = 자이 비자얀 IT 칼럼니스트] 리눅스 생태계에서 가장 널리 사용되는 것으로 알려진 데이터 압축 유틸리티인 XZ유틸즈(XZ Utils)에서 백도어가 발견됐다. 대규모 공급망 공격이 시도된 것으로 분석되고 있으며, 과거 보안 전문가들을 크게 염려케 했던 솔라윈즈(SolarWidns) 사태나 로그포셸(Log4Shell) 취약점 발견 당시와 비견될 만한 충격을 주고 있다. 정보 보안 역사 백과사전이 있다면 여러 페이지를 차지할 만한 사건이라는 뜻이다.


[이미지 = gettyimagesbank]

문제의 백도어가 임베드 되어 있던 곳은 liblzma라는 이름의 XZ 라이브러리였다. 공격자는 이 백도어를 통해 원격에서 안전 셸(sshd) 인증 과정을 회피할 수 있고, 그 후 피해자 시스템에 대한 완전 접근 권한을 갖게 된다. 처음 일각에서는 이 백도어가 취약점인 것으로 알려지기도 했으나 지금은 XZ유틸즈의 메인테이너 자격을 가진 누군가가 이 백도어 코드를 심은 것으로 의견이 굳어가고 있다.

오픈소스 커뮤니티가 받은 충격
이 백도어의 영향 아래 있는 건 XZ유틸즈 중에서도 5.6.0 버전과 5.6.1 버전이다. 현재는 페도라, 데비안, 칼리, 수세, 아치라는 리눅스 배포판들의 언스테이블 및 베타 버전에서만 사용되는 버전들이다. 그렇기 때문에 이 백도어의 파급력은 생각만큼 대단하지는 않을 것으로 전망된다. 스테이블 버전의 리눅스 배포판들의 XZ유틸즈에 있었다면 훨씬 시급한 사태가 벌어졌을 것이라고 전문가들은 보고 있다. 즉 최악의 최악은 면했다는 게 전문가들 사이의 중론이라는 뜻이다.

그렇다고 별 일이 아닌 건 절대로 아니다. XZ유틸즈와 같은 신뢰가 두툼하게 쌓여 있으며 널리 사용되는 오픈소스에 의도적으로 접근해 악성코드를 심을 수 있었다는 사실 자체가 오픈소스 커뮤니티에 커다란 충격을 주고 있다. 오픈소스를 활용한다는 것이 얼마나 큰 위험을 감수하는 행위인지가 새삼스럽게 체감되기 시작한 것이다. 오픈소스가 개발의 필요불가결 요수가 된 지금, 오픈소스의 특성상 규제하기가 힘든 상황이기도 해서 이는 더더욱 아프게 다가온다.

보안 업체 제이프로그(JFrog)의 연구원들은 블로그를 통해 “XZ유틸즈는 오픈소스 중에서도 가장 신뢰받는 프로젝트 중 하나였다”며 “그런 구조에서 이런 일이 발생했기 때문에 오픈소스를 아끼고 사랑하던 모든 개발자들이 엄청난 충격에 휩싸여 있다”고 지금 심경을 밝혔다. “오픈소스 커뮤니티에 참여해서 다른 개발자들처럼 애정과 열정을 수년 간 보이며 신뢰를 쌓아온 누군가가 속으로는 이 날만 기다렸을 걸 상상하니 소름이 끼칩니다. 게다가 난독화 기법도 활용해 코드 점검도 잘 빠져나왔으니, 이게 우연이 아닌 걸 증명합니다.”

XZ유틸즈에서 이상한 점을 처음 발견한 건 마이크로소프트의 개발자 안드레스 프런드(Andres Freund)다. 최근 데비안의 liblzma 라이브러리에서 평소와 다른 점이 있다는 걸 느꼈고, 이를 조사하다가 백도어를 찾아냈다고 한다. 처음에는 데비안만의 문제라고 생각했는데, 계속 문제점을 거슬러 올라가다보니 XZ 리포지터리에 도달하게 되었으며, 문제의 근원에 도달한 그는 3월 29일 자신이 알아낸 사실을 공개했다. 그리고 주말 동안 페도라, 데비안, 오픈수세, 칼리, 아치 리눅스의 개발 팀들이 시급한 보안 경고문을 발표했다.

최고 등급 취약점
페도라 리눅스의 가장 중요한 후원자이자 컨트리뷰터인 레드햇(Red Hat)은 문제가 된 백도어에 취약점 식별 번호를 부여했다. CVE-2024-3094였다. 그리고 CVSS 기준 10점 만점에 10점을 매겼다. 이 때문에 백도어가 취약점으로 오인받고 있기도 한데 레드햇은 “시급한 문제라 최대한 많은 이목을 끌기 위해 그랬다”고 한다. 여기에 CISA까지 합류해 레드햇과 같이 빠른 조치를 촉구했다. XZ유틸즈를 다운그레이드 하라는 것이었다. 본지도 주말과 월요일 세 건의 기사로 이 시급한 문제를 빠르게 알린 바 있다.

보안 업체 바이널리(Binarly)는 누구나 백도어가 심긴 XZ유틸즈가 존재하는지 확인할 수 있도록 무료 도구를 만들어 배포하기도 했다. 이 도구는 여기(https://www.binarly.io/blog/xz-utils-supply-chain-puzzle-binarly-ships-free-scanner-for-cve-2024-3094-backdoor)서 다운로드가 가능하다.

보안 업체 테너블(Tenable)의 수석 엔지니어인 스콧 카베자(Scott Caveza)는 “그나마 언스테이블 버전에서 일어난 사건이라 다행”이라며 “일반 스테이블 버전에서 사건이 발생했다면 지금 우리는 대규모 익스플로잇 사건을 목격하고 있을 가능성이 높다”고 말한다. “발견이 조금 더 늦었더라면 공격자가 스테이블 버전들도 침해했을 수 있습니다. 지금, 이런 형태로라도 이 발견이 이뤄진 것이 다행입니다.”

XZ유틸즈 메인테이너와 백도어
현재까지 나온 정보들을 보았을 때 공격자는 XZ유틸즈의 메인테이너 계정을 보유하고 있는 것으로 보인다. 메인테이너 자격을 얻으려면 다년간 커뮤니티의 신뢰를 얻어야 한다. 즉 공격자가 이미 수년 전부터 이 공격을 기획했다는 것이고, 그 수년 동안 가면을 쓴채 커뮤니티 전체를 농락했다는 뜻이 된다. 보안 전문가 에반 보에즈(Evan Boehs)는 이 사건을 추적해 지아 탠(Jia Tan)이라는 이름을 사용하는 한 개인이 2021년 깃허브 계정 하나를 생성하고 거의 동시에 일부 오픈소스 프로젝트들을 수정하거나 변경하기 시작했다는 걸 알아냈다. 하나같이 의도와 목적이 의심스러웠다.

그런 후 이 지아 탠이라는 인물과 두어 명의 다른 인물들은 XZ 커뮤니티로 접근했고, 시간을 두고 천천히 신뢰를 쌓아가기 시작했다. 이런 과정을 에반 보에즈는 타임라인 형태로 작성했고, 현재 이 블로그는 엄청나게 조회되는 중이다. 해당 블로그 게시글은 여기(https://boehs.org/node/everything-i-know-about-the-xz-backdoor)서 열람할 수 있다. 신뢰 쌓기에 성공한 이들은 소프트웨어에 변경을 조금씩 가하기 시작했고, 결국 백도어까지 심었다.

보에즈는 “이 자의 최종 목적은 처음부터 끝까지 오로지 하나, 백도어 심기였다”고 주장한다. “이 자는 한 번도 XZ유틸즈가 생산적으로 향상되도록 공헌하지 않았습니다. 별 의미 없는 활동들을 간간이, 길게 이어오며 신뢰만 쌓았을 뿐이죠. 그는 ‘메인테이너가 더 많이 필요하다’는 메시지를 퍼트렸으며, 이를 통해 어느 정도 공감을 얻어내는 데 성공한 것으로 보입니다. 우리 사회는 신뢰를 근간으로 하고 있는데, 그것이 일부 영악한 사람들에 의해 악용되곤 합니다. 그 현상 하나가 적나라하게 드러난 거라고 볼 수 있습니다.”

지아 탠이 정확히 어느 시점부터 XZ 커뮤니티의 신뢰 받는 멤버가 됐는지는 정확히 알 수 없다. 하지만 그가 처음 커밋에 접근하게 된 건 2022년이었다. 그 후 그는 주기적으로 활동을 이어갔고, 현재는 XZ유틸즈 프로젝트에서 두 번째로 활발한 멤버로 기록되어 있다. 이 사건이 있은 후 깃허브 측에서는 지아 탠의 계정을 차단했다.

보안 업체 퀄리스(Qualys)의 부회장 소미트라 다스(Saumitra Das)는 “XZ유틸즈에서 일어난 일은 다른 어떤 오픈소스 프로젝트에서도 일어날 수 있다”고 말한다. “오픈소스는 결국 자발적으로 프로젝트에 공헌하고자 하는 사람들이 참여하는 환경입니다. 이들은 대가도 받지 않고, 따라서 마감 기한과 같은 압박도 받지 않죠. 그러므로 규정이라는 것도 엄격하게 존재하는 게 아니라, 그들 사이의 암묵적인 룰 같은 것이 작동하는 게 거의 전부라고 할 수 있습니다. 누군가의 배경을 꼼꼼하게 조사하거나 신원을 조회하는 등의 활동이 잘 이뤄질 수 없습니다. 지아 탠은 그 지점을 노리고 들어가 이번 일을 저지른 것입니다. 모든 오픈소스 프로젝트가 공통적으로 취약한 부분을 잘 파고든 것입니다.”

글 : 자이 비자얀, IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 인텔리빅스

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 한국씨텍

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 디비시스

    • 다후아테크놀로지코리아

    • (주)우경정보기술

    • 투윈스컴

    • 세연테크

    • 위트콘

    • 구네보코리아주식회사

    • 유에치디프로

    • 넥스트림

    • 주식회사 에스카

    • 포엠아이텍

    • 에이티앤넷

    • 세렉스

    • 한국드론혁신협회

    • 네이즈

    • 이노뎁

    • 다누시스

    • 시만텍

    • 테이텀시큐리티

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 사라다

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에이앤티코리아

    • 유투에스알

    • 태정이엔지

    • 네티마시스템

    • 에이치지에스코리아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 미래시그널

    • 두레옵트로닉스

    • 엘림광통신

    • 에스에스티랩

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 모스타

    • 지와이네트웍스

    • 보문테크닉스

    • 엔에스티정보통신

    • 메트로게이트
      시큐리티 게이트

    • 포커스에이치앤에스

    • 엔시드

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기