[º¸¾È´º½º ¹®Á¤ÈÄ ±âÀÚ] 2023³âÀº ¡®ÆÐÄ¡ Æ©Áîµ¥ÀÌ(Patch Tuesday)¡¯ 20ÁÖ³âÀÌ ÀÖ´Â, º¸¾È ºÐ¾ß·Î¼´Â ²Ï³ª Àǹ̰¡ Å« ÇØ´Ù. ÆÐÄ¡¸¦ ±ÔÄ¢ÀûÀ¸·Î ÇÔÀ¸·Î½á º¸¾ÈÀ» °ÈÇÑ´Ù´Â MSÀÇ »ý°¢Àº Áö³ 20³â µ¿¾È ¸¹Àº ½Ã½ºÅÛ°¡ ³×Æ®¿öÅ©¸¦ ÁöÄÑ¿ÔÀ¸¸ç, ¾îµµºñ, Áö¸à½º, ½´³ªÀÌ´õ ÀÏ·ºÆ®¸¯ µî ¼ö¸¹Àº ´ë±â¾÷µéµµ À̸¦ Çϳª µÑ µµÀÔÇÔÀ¸·Î½á ÆÐÄ¡ Æ©Áîµ¥ÀÌ°¡ ¼º°øÀûÀÎ °³³äÀÓÀ» Áõ¸íÇϱ⵵ Çß´Ù.
[À̹ÌÁö = gettyimagesbank]
±×·¯³ª ¼¼»ó¿¡ ¿Ïº®ÇÑ °ÍÀº ¾ø´Ù. ÃÖ±Ù µé¾î MS°¡ ÆÐÄ¡ Æ©Áîµ¥À̸¦ ÅëÇØ ¹ßÇ¥ÇÏ´Â º¸¾È ±Ç°í¹®ÀÇ Ç°ÁúÀº ´«¿¡ ¶ç°Ô Ç϶ôÇÏ°í ÀÖ´Ù. Ãë¾àÁ¡ Á¤º¸´Â ¹øÈ£¸¸À¸·Î´Â ¾Æ¹«·± Àǹ̸¦ °®Áö ¸øÇÑ´Ù. ¿©·¯ °¡Áö ¼¼ºÎ ³»¿ëµéÀÌ Æ÷ÇԵǾî ÀÖ¾î¾ß ºñ·Î¼Ò ¾µ ¼ö ÀÖ´Â Á¤º¸°¡ µÈ´Ù. ÇÏÁö¸¸ MSÀÇ ÃÖ±Ù º¸¾È ±Ç°í¹®Àº »ç½Ç ¼ýÀÚ¸¸ ÀÖ´Â °ÍÀ̳ª ´Ù¸¦ ¹Ù°¡ ¾ø´Ù. 2017³âÀÇ Ãë¾àÁ¡ Á¤º¸¿Í 2023³âÀÇ Ãë¾àÁ¡ Á¤º¸¸¦ ºñ±³ÇØ º¸ÀÚ.
1) CVE-2017-0290 : MS Æ÷ÇÁ·ÐÆ®(Microsoft Forefront)¿Í MS µðÆæ´õ(MS Defender, Windows Server 2008 SP2¿Í R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold ¹× R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, 1703, Windows Server 2016)¿¡ žÀçµÈ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¸Ö¿þ¾î º¸È£ ¿£Áø(Microsoft Malware Protection Engine)ÀÌ Æ¯¼öÇÏ°Ô Á¶ÀÛµÈ ÆÄÀÏÀ» ¿Ã¹Ù·Î ½ºÄµÇÏÁö ¾Ê¾Æ ¹ß»ýÇÏ´Â ¸Þ¸ð¸® º¯Çü Çö»ó. ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¸Ö¿þ¾î º¸È£ ¿£ÁøÀÇ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡À̶ó°íµµ ºÒ¸°´Ù.
2) CVE-2023-21554 : ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¸Þ½ÃÁö Å¥À×(Microsoft Message Queuing) ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡
ù ¹ø° Ãë¾àÁ¡ Á¤º¸¿¡´Â ´Ù¾çÇÑ ¼¼ºÎ Á¤º¸°¡ µé¾î ÀÖ´Ù. Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ´Â ¿ä¼Ò°¡ ¹«¾ùÀÎÁö(Æ÷ÇÁ·ÐÆ®¿Í µðÆæ´õ), ¾î¶² ¹öÀüµéÀÌ À§ÇèÇÑÁö(°¢Á¾ À©µµ ¹öÀü), °ø°ÝÀÌ ¾î¶² ¹æ½ÄÀ¸·Î µé¾î¿À´ÂÁö(Á¶ÀÛÇÑ ÆÄÀÏ), Ãë¾àÁ¡ÀÇ À¯ÇüÀÌ ¹«¾ùÀÎÁö(¸Þ¸ð¸® º¯Çü) µîÀÌ´Ù. ÀÌ ¸ðµç Á¤º¸µéÀº µÎ ¹ø° Ãë¾àÁ¡ Á¤º¸¿¡ ºüÁ® ÀÖÀ½À» ÇÑ ´«¿¡ ¾Ë ¼ö ÀÖ´Ù.
¹æ¾îÇÏ·Á´Â Àڵ鿡°Ô ¾î¶² ÀǹÌÀΰ¡
Ãë¾àÁ¡ Á¤º¸°¡ ºÎ½ÇÇÏ´Ù´Â °Ç ¹æ¾î ´ã´çÀڵ鿡°Ô Å« ¹®Á¦°¡ µÈ´Ù. Á¦ÀÏ ¸ÕÀú´Â ¾î¶² Ãë¾àÁ¡ºÎÅÍ ÆÐÄ¡ÇØ¾ß ÇÏ´ÂÁö °áÁ¤ÇÒ ¼ö°¡ ¾ø±â ¶§¹®ÀÌ´Ù. ¡®¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¸Þ½ÃÁö Å¥À× ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡¡¯À̶ó´Â ¹®Àå ÇÑ ÁÙ¸¸ º¸°í ÀÌ°ÍÀÌ ½Ã±ÞÈ÷ ÇØ°áÇØ¾ß ÇÏ´Â °ÇÁö, ¾ó¸¶³ª À§ÇèÇÑ °ÇÁö µµ´ëü ¾î¶»°Ô ¾Ë ¼ö ÀÖÀ»±î? ¾ÖÃÊ¿¡ ¸Þ½ÃÁö Å¥À×ÀÌ ¹«¾ùÀÎÁö, ¾î¶² ÇÁ·Î±×·¥À̳ª ¾ÖÇø®ÄÉÀ̼ǿ¡¼ »ç¿ëµÇ´Â °ÇÁö IT Àü¹®°¡¶ó¸é ´Ù ¾Ë¾Æ¾ß ÇÏ´Â °É±î? ³×Æ®¿öÅ© Æ÷Æ®¿Í °ü·ÃÀÌ ÀÖ´Â °ÍÀÎÁö Á¤Ã¥ÀûÀ¸·Îµµ ÇØ°áÇØ¾ß ÇÏ´Â °ÍÀϱî? ÀÌ ¸ðµç ¹®Á¦µéÀ» º¸¾È ´ã´çÀÚµéÀÌ ÇϳªÇϳª Á¶»çÇؼ ÆÇ´ÜÀ» ³»·Á¾ß ÇÑ´Ù. ÆÐÄ¡ ÀÚü¸¸À¸·Îµµ ÇÒ ÀÏÀÌ ¸¹¾ÆÁö´Âµ¥, ±× ÆÐÄ¡¸¦ ÁغñÇÏ´Â °úÁ¤Á¶Â÷ ¼øźÇÏÁö ¾ÊÀº °ÍÀÌ´Ù.
±×·¡¼ ¸¶ÀÌÅÍ(MITRE)´Â CVE ¼³¸í¿¡ Æ÷ÇԵǾî¾ß ÇÒ Á¤º¸°¡ ¹«¾ùÀÎÁö ´ÙÀ½°ú °°ÀÌ Á¤Çصΰí ÀÖ´Ù.
1) Àд »ç¶÷µéÀÌ Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ´Â Á¦Ç°¿¡ ´ëÇØ ÃæºÐÈ÷ ÀÌÇØÇÒ ¼ö ÀÖ°Ô ÇØ ÁÖ´Â Á¦Ç° Á¤º¸°¡ Æ÷ÇԵǾî¾ß ÇÑ´Ù.
2) Ãë¾àÁ¡ À¯Çü, Ãë¾àÁ¡ ¹ß»ýÀÇ ±Ùº» ÀÌÀ¯, Ãë¾àÁ¡ ¹ßµ¿ ½Ã ¿µÇâ Áß Çϳª°¡ ¹Ýµå½Ã µé¾î°¡¾ß ÇÑ´Ù.
MSÀÇ Ãë¾àÁ¡ Á¤º¸´Â ÀÌ·± ¸¶ÀÌÅÍÀÇ Çʼö ¿ä°ÇÀ» ¸¸Á·½ÃÅ°°í Àִ°¡? MS°¡ Àß ¾Ë °ÍÀÌ´Ù.
MSÀÇ CVE¿¡ ÇÒ´çµÈ CWE ¹øÈ£
MITRE´Â Ãë¾àÁ¡ Á¤º¸¿¡ ¹Ýµå½Ã Æ÷ÇԵǾî¾ß ÇÒ Á¤º¸¸¦ ¸í½ÃÇÏ°í ÀÖ°í, MS´Â À̸¦ ¹«½ÃÇÏ°í ÀÖ´Ù. ¸¶ÀÌÅÍ°¡ ¿Ö À̸¦ ±×³É µÎ°í º¸´Â °ÍÀÎÁö´Â ¾ÆÁ÷ È®½ÇÇÏÁö ¾Ê´Ù. ´Ù¸¸ µÑÀÇ ÀÌ·¯ÇÑ ÇàÀ§(¹«½Ã¿Í °£°ú) ¶§¹®¿¡ ¸¹Àº º¸¾È Àü¹®°¡µé°ú MS Á¦Ç° »ç¿ëÀÚµéÀÌ ÇÇÇظ¦ ÀÔ°í ÀÖ´Â °ÍÀº È®½ÇÇÏ´Ù. ±×¸®°í ÀÌ°ÍÀº NISTÀÇ Ãë¾àÁ¡ °ü¸® ÇöȲ¸¸ ºÁµµ ¾Ë ¼ö ÀÖ´Ù.
NIST´Â Ãë¾àÁ¡ µ¥ÀÌÅͺ£À̽ºÀÎ NVD¸¦ °ü¸®ÇÒ ¶§ ¸ðµç CVE ¹øÈ£¿¡ CWE¸¦ µû·Î Á¤Çؼ ºÎÂøÇÑ´Ù. CVEÀÇ Ãë¾àÁ¡ Á¤º¸°¡ ºÎ½ÇÇÒ ¶§, NIST´Â NVD-CWE-noinfo¶ó´Â °ü¸® Ç¥½ÄÀ» ºÎ¿©Çϴµ¥, ÀÌ°Ç ¡°ÀÌ Ãë¾àÁ¡ Á¤º¸¿¡´Â »ç½Ç º¼ ¸¸ÇÑ ³»¿ëÀÌ Çϳªµµ ¾ø´Ù¡±´Â ¶æÀÌ´Ù. 2015³â¸¸ Çصµ NIST´Â MSÀÇ CVE Á¤º¸¿¡ ÀÌ NVD-CWE-noinfo¶ó´Â Ç¥½ÄÀ» °ÅÀÇ ºÎÂøÇÏÁö ¾Ê¾Ò¾ú´Ù. ÇÏÁö¸¸ 2022³â¿¡ ¿Í¼´Â °ÅÀÇ ¸ðµç MS Ãë¾àÁ¡¿¡ ÀÌ Ç¥½Ã°¡ ºÙ´Â´Ù.
NISTÀÇ CWE Á¤º¸´Â »ç¿ëÀÚ ±â¾÷µéÀÌ ÆÐÄ¡ ¼ø¼¸¦ Á¤ÇÒ ¶§ ¿ä±äÇÏ°Ô »ç¿ëµÈ´Ù. ÇÏÁö¸¸ ¼ö¸¹Àº »ç¿ëÀÚ¸¦ °Å´À¸° MSÀÇ Á¦Ç°Àº »ç½Ç»ó ÀÌ CWE¿¡ ¹Ý¿µµÇÁö ¾Ê°í ÀÖÀ¸´Ï CWE¶ó´Â ¹øÈ£°¡ °¡Áø À¯È¿¼º ÀÚü¿¡ Àǹ®À» Á¦±âÇÏ´Â »ç¿ëÀÚµéÀÌ ¸¹¾ÆÁö°í ÀÖ´Â °Ô »ç½ÇÀÌ´Ù. MS¸¸ÀÇ ¹®Á¦°¡ ¾Æ´Ï¶ó, Ãë¾àÁ¡ °ü¸® ½Ã½ºÅÛ Àüü°¡ ÇÇÇظ¦ º¸°í ÀÖ´Ù°í ÇÒ ¼ö ÀÖ´Ù.
MS°¡ Âü°íÇØ¾ß ÇÒ ¿¹½Ã
MS´Â ¿Ö Áß¿äÇÑ ÆÐÄ¡ Á¦µµ¸¦ ½º½º·Î ¸¶·ÃÇØ ³õ°í, ´õ Å« ¹üÀ§¿¡¼ÀÇ ÆÐÄ¡ ½Ã½ºÅÛÀ» ¸ÁÃijõ°í ÀÖ´Â °ÍÀϱî? ±×³ª¸¶ ´ÙÇàÀÎ °ÍÀº ¿ÜºÎ ¾÷ü¿Í Á¶Á÷µéÀÌ MS°¡ ¸¸µé¾î µÐ °Å´ëÇÑ °ø¹éÀ» ¸Þ¿ì·Á ÇÑ´Ù´Â °ÍÀÌ´Ù. ¿¹¸¦ µé¾î Á¦·Îµ¥ÀÌÀ̴ϼÅƼºê(Zero Day Initiative)ÀÇ °æ¿ì, ÆÐÄ¡ Æ©Áîµ¥ÀÌ°¡ ÁøÇàµÉ ¶§¸¶´Ù ÈÄ¼Ó ¼³¸íÀ» ´ãÀº º¸°í¼¸¦ ¹ßÇ¥ÇÑ´Ù. À§¿¡¼ ¿¹¸¦ µç CVE-2023-21554ÀÇ °æ¿ì, Á¦·Îµ¥ÀÌÀ̴ϼÅƼºê´Â ´ÙÀ½°ú °°Àº ¼³¸íÀ» Á¦°øÇß´Ù.
CVSS ±âÁØ 9.8Á¡Â¥¸® ¹ö±×·Î, MSµµ ÀͽºÇ÷ÎÀÕ °¡´É¼ºÀÌ ¸Å¿ì ³ôÀº °ÍÀ¸·Î ºÐ·ùÇÏ°í ÀÖ´Ù. ¿ø°Ý¿¡ ÀÖ´Â, ½ÂÀÎ °úÁ¤À» Åë°úÇÏÁö ¾ÊÀº °ø°ÝÀÚ°¡ ³ôÀº ±ÇÇÑÀ» °¡Áö°í ÇÇÇØÀÚÀÇ ¼¹ö¿¡¼ °ø°ÝÀÚ°¡ ¿øÇÏ´Â Äڵ带 ½ÇÇà½Ãų ¼ö ÀÖ°Ô ÇØ ÁØ´Ù. ÀÌ ¶§ ¼¹ö¿¡´Â ¸Þ½ÃÁö Å¥À×(Message Queuing) ¼ºñ½º°¡ È°¼ºÈ µÇ¾î ÀÖ¾î¾ß °ø°ÝÀÌ °¡´ÉÇØÁø´Ù. ¸Þ½ÃÁö Å¥À× ¼ºñ½º´Â µðÆúÆ®»ó ºñÈ°¼ºÈ µÇ¾î ÀÖÀ¸³ª, ¸¹Àº »ç¿ëÀÚµéÀÌ ÇÊ¿ä¿¡ µû¶ó È°¼ºÈ Çϱ⵵ ÇÑ´Ù. ±×·¨À» ¶§ TCP Æ÷Æ® 1801°ú ¿¬°áÀÌ µÈ´Ù. µû¶ó¼ ÀÌ Æ÷Æ®¸¦ Â÷´ÜÇÏ¸é ¿ÜºÎ·ÎºÎÅÍ µé¾î¿À´Â °ø°ÝÀ» ¸·À» ¼ö ÀÖ´Ù. ÇÏÁö¸¸ »ç¾÷ ¿î¿µ µî¿¡ ¿µÇâÀ» ¹ÌÄ¥ ¼ö ÀÖ´Ù. µû¶ó¼ ¾÷µ¥ÀÌÆ®¸¦ ½ÇÇèÇØ º¸°í, ¾Æ¹« ÀÏ ¾ø´Ù¸é Àû¿ëÇÏ´Â °Ô ÃÖ¼±ÀÇ ¹æ¹ýÀÌ´Ù.
ÀÌ ¼³¸í¿¡´Â ¿Â°® Á¤º¸°¡ dz¼ºÇÏ°Ô µé¾î ÀÖ´Ù.
1) ¸Þ½ÃÁö Å¥À×Àº ÀÏÁ¾ÀÇ ¼ºñ½º´Ù.
2) ¸Þ½ÃÁö Å¥À×Àº ¿ø·¡ ºñÈ°¼ºÈ µÇ¾î ÀÖ´Ù.
3) ¸Þ½ÃÁö Å¥À×Àº TCP Æ÷Æ® 1801°ú ¿¬°áµÇ¾î ÀÖ´Ù.
4) Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÏ¸é ±ÇÇÑÀÌ »ó½ÂµÈ´Ù.
º¸¾È ´ã´çÀÚ¿¡°Ô ÀÌ ¸ðµç Á¤º¸´Â ±²ÀåÈ÷ À¯¿ëÇÏ´Ù. ±×¸®°í CVE Ãë¾àÁ¡ Á¤º¸¿¡ Æ÷ÇԵǾî ÀÖ¾î¾ß ÇÏ´Â °ÍµéÀÌ´Ù. º¸¾È ´ã´çÀÚµéÀº ±×·¸Áö ¾Ê¾Æµµ ½Ã°£¿¡ Âѱâ´Â »ç¶÷µéÀÌ´Ù. ±×·± »ç¶÷µéÀ» µµ¿ì·Á¸é ¸Å ´Þ µÎ ¹ø° È¿äÀÏ¿¡ ¼ö¼ö²²³¢¸¦ ´õ ÁÖ´Â °Ô ¾Æ´Ï¶ó Ä£ÀýÇÑ ´äÁö¸¦ Áà¾ß ÇÑ´Ù.
±Û : Á¦ÀÌÄß º£ÀÎÁî(Jacob Baines), Ãë¾àÁ¡ ¼ö¼® ¿¬±¸¿ø, VulnCheck
[±¹Á¦ºÎ ¹®Á¤ÈÄ ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>