Home > Àüü±â»ç

¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ Ãë¾àÁ¡ ±Ç°í¹®Àº °¥¼ö·Ï ¾û¸ÁÀÌ µÇ°í ÀÖ´Ù

ÀÔ·Â : 2023-05-22 16:37
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
ÆÐÄ¡ Æ©Áîµ¥ÀÌ´Â IT ¿ª»ç¿¡ ±æÀÌ ³²À» ¾÷ÀûÀÌ´Ù. MS´Â ÀÌ°ÍÀ» â¾ÈÇÔÀ¸·Î½á º¸¾È¿¡ °Å´ëÇÑ ±â¿©¸¦ Çß´Ù. ÇÏÁö¸¸ ÃÖ±Ù ½º½º·Î°¡ ÀÌ·± °øÀûÀ» ¾ø¾Ö°í ÀÖ´Ù. Á¶±Ý¸¸ ´õ ½Å°æ ¾²¸é ½ÇÁúÀûÀÎ µµ¿òÀÌ µÉ ¼ö Àִµ¥, ±× ±æÀ» °¡Áö ¾Ê°í ÀÖ´Â °ÍÀÌ´Ù.

[º¸¾È´º½º ¹®Á¤ÈÄ ±âÀÚ] 2023³âÀº ¡®ÆÐÄ¡ Æ©Áîµ¥ÀÌ(Patch Tuesday)¡¯ 20ÁÖ³âÀÌ ÀÖ´Â, º¸¾È ºÐ¾ß·Î¼­´Â ²Ï³ª Àǹ̰¡ Å« ÇØ´Ù. ÆÐÄ¡¸¦ ±ÔÄ¢ÀûÀ¸·Î ÇÔÀ¸·Î½á º¸¾ÈÀ» °­È­ÇÑ´Ù´Â MSÀÇ »ý°¢Àº Áö³­ 20³â µ¿¾È ¸¹Àº ½Ã½ºÅÛ°¡ ³×Æ®¿öÅ©¸¦ ÁöÄÑ¿ÔÀ¸¸ç, ¾îµµºñ, Áö¸à½º, ½´³ªÀÌ´õ ÀÏ·ºÆ®¸¯ µî ¼ö¸¹Àº ´ë±â¾÷µéµµ À̸¦ Çϳª µÑ µµÀÔÇÔÀ¸·Î½á ÆÐÄ¡ Æ©Áîµ¥ÀÌ°¡ ¼º°øÀûÀÎ °³³äÀÓÀ» Áõ¸íÇϱ⵵ Çß´Ù.

[À̹ÌÁö = gettyimagesbank]


±×·¯³ª ¼¼»ó¿¡ ¿Ïº®ÇÑ °ÍÀº ¾ø´Ù. ÃÖ±Ù µé¾î MS°¡ ÆÐÄ¡ Æ©Áîµ¥À̸¦ ÅëÇØ ¹ßÇ¥ÇÏ´Â º¸¾È ±Ç°í¹®ÀÇ Ç°ÁúÀº ´«¿¡ ¶ç°Ô Ç϶ôÇÏ°í ÀÖ´Ù. Ãë¾àÁ¡ Á¤º¸´Â ¹øÈ£¸¸À¸·Î´Â ¾Æ¹«·± Àǹ̸¦ °®Áö ¸øÇÑ´Ù. ¿©·¯ °¡Áö ¼¼ºÎ ³»¿ëµéÀÌ Æ÷ÇԵǾî ÀÖ¾î¾ß ºñ·Î¼Ò ¾µ ¼ö ÀÖ´Â Á¤º¸°¡ µÈ´Ù. ÇÏÁö¸¸ MSÀÇ ÃÖ±Ù º¸¾È ±Ç°í¹®Àº »ç½Ç ¼ýÀÚ¸¸ ÀÖ´Â °ÍÀ̳ª ´Ù¸¦ ¹Ù°¡ ¾ø´Ù. 2017³âÀÇ Ãë¾àÁ¡ Á¤º¸¿Í 2023³âÀÇ Ãë¾àÁ¡ Á¤º¸¸¦ ºñ±³ÇØ º¸ÀÚ.

1) CVE-2017-0290 : MS Æ÷ÇÁ·ÐÆ®(Microsoft Forefront)¿Í MS µðÆæ´õ(MS Defender, Windows Server 2008 SP2¿Í R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold ¹× R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, 1703, Windows Server 2016)¿¡ žÀçµÈ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¸Ö¿þ¾î º¸È£ ¿£Áø(Microsoft Malware Protection Engine)ÀÌ Æ¯¼öÇÏ°Ô Á¶ÀÛµÈ ÆÄÀÏÀ» ¿Ã¹Ù·Î ½ºÄµÇÏÁö ¾Ê¾Æ ¹ß»ýÇÏ´Â ¸Þ¸ð¸® º¯Çü Çö»ó. ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¸Ö¿þ¾î º¸È£ ¿£ÁøÀÇ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡À̶ó°íµµ ºÒ¸°´Ù.

2) CVE-2023-21554 : ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¸Þ½ÃÁö Å¥À×(Microsoft Message Queuing) ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡

ù ¹ø° Ãë¾àÁ¡ Á¤º¸¿¡´Â ´Ù¾çÇÑ ¼¼ºÎ Á¤º¸°¡ µé¾î ÀÖ´Ù. Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ´Â ¿ä¼Ò°¡ ¹«¾ùÀÎÁö(Æ÷ÇÁ·ÐÆ®¿Í µðÆæ´õ), ¾î¶² ¹öÀüµéÀÌ À§ÇèÇÑÁö(°¢Á¾ À©µµ ¹öÀü), °ø°ÝÀÌ ¾î¶² ¹æ½ÄÀ¸·Î µé¾î¿À´ÂÁö(Á¶ÀÛÇÑ ÆÄÀÏ), Ãë¾àÁ¡ÀÇ À¯ÇüÀÌ ¹«¾ùÀÎÁö(¸Þ¸ð¸® º¯Çü) µîÀÌ´Ù. ÀÌ ¸ðµç Á¤º¸µéÀº µÎ ¹ø° Ãë¾àÁ¡ Á¤º¸¿¡ ºüÁ® ÀÖÀ½À» ÇÑ ´«¿¡ ¾Ë ¼ö ÀÖ´Ù.

¹æ¾îÇÏ·Á´Â Àڵ鿡°Ô ¾î¶² ÀǹÌÀΰ¡
Ãë¾àÁ¡ Á¤º¸°¡ ºÎ½ÇÇÏ´Ù´Â °Ç ¹æ¾î ´ã´çÀڵ鿡°Ô Å« ¹®Á¦°¡ µÈ´Ù. Á¦ÀÏ ¸ÕÀú´Â ¾î¶² Ãë¾àÁ¡ºÎÅÍ ÆÐÄ¡ÇØ¾ß ÇÏ´ÂÁö °áÁ¤ÇÒ ¼ö°¡ ¾ø±â ¶§¹®ÀÌ´Ù. ¡®¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¸Þ½ÃÁö Å¥À× ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡¡¯À̶ó´Â ¹®Àå ÇÑ ÁÙ¸¸ º¸°í ÀÌ°ÍÀÌ ½Ã±ÞÈ÷ ÇØ°áÇØ¾ß ÇÏ´Â °ÇÁö, ¾ó¸¶³ª À§ÇèÇÑ °ÇÁö µµ´ëü ¾î¶»°Ô ¾Ë ¼ö ÀÖÀ»±î? ¾ÖÃÊ¿¡ ¸Þ½ÃÁö Å¥À×ÀÌ ¹«¾ùÀÎÁö, ¾î¶² ÇÁ·Î±×·¥À̳ª ¾ÖÇø®ÄÉÀ̼ǿ¡¼­ »ç¿ëµÇ´Â °ÇÁö IT Àü¹®°¡¶ó¸é ´Ù ¾Ë¾Æ¾ß ÇÏ´Â °É±î? ³×Æ®¿öÅ© Æ÷Æ®¿Í °ü·ÃÀÌ ÀÖ´Â °ÍÀÎÁö Á¤Ã¥ÀûÀ¸·Îµµ ÇØ°áÇØ¾ß ÇÏ´Â °ÍÀϱî? ÀÌ ¸ðµç ¹®Á¦µéÀ» º¸¾È ´ã´çÀÚµéÀÌ ÇϳªÇϳª Á¶»çÇؼ­ ÆÇ´ÜÀ» ³»·Á¾ß ÇÑ´Ù. ÆÐÄ¡ ÀÚü¸¸À¸·Îµµ ÇÒ ÀÏÀÌ ¸¹¾ÆÁö´Âµ¥, ±× ÆÐÄ¡¸¦ ÁغñÇÏ´Â °úÁ¤Á¶Â÷ ¼øźÇÏÁö ¾ÊÀº °ÍÀÌ´Ù.

±×·¡¼­ ¸¶ÀÌÅÍ(MITRE)´Â CVE ¼³¸í¿¡ Æ÷ÇԵǾî¾ß ÇÒ Á¤º¸°¡ ¹«¾ùÀÎÁö ´ÙÀ½°ú °°ÀÌ Á¤Çصΰí ÀÖ´Ù.
1) Àд »ç¶÷µéÀÌ Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ´Â Á¦Ç°¿¡ ´ëÇØ ÃæºÐÈ÷ ÀÌÇØÇÒ ¼ö ÀÖ°Ô ÇØ ÁÖ´Â Á¦Ç° Á¤º¸°¡ Æ÷ÇԵǾî¾ß ÇÑ´Ù.
2) Ãë¾àÁ¡ À¯Çü, Ãë¾àÁ¡ ¹ß»ýÀÇ ±Ùº» ÀÌÀ¯, Ãë¾àÁ¡ ¹ßµ¿ ½Ã ¿µÇâ Áß Çϳª°¡ ¹Ýµå½Ã µé¾î°¡¾ß ÇÑ´Ù.
MSÀÇ Ãë¾àÁ¡ Á¤º¸´Â ÀÌ·± ¸¶ÀÌÅÍÀÇ Çʼö ¿ä°ÇÀ» ¸¸Á·½ÃÅ°°í Àִ°¡? MS°¡ Àß ¾Ë °ÍÀÌ´Ù.

MSÀÇ CVE¿¡ ÇÒ´çµÈ CWE ¹øÈ£
MITRE´Â Ãë¾àÁ¡ Á¤º¸¿¡ ¹Ýµå½Ã Æ÷ÇԵǾî¾ß ÇÒ Á¤º¸¸¦ ¸í½ÃÇÏ°í ÀÖ°í, MS´Â À̸¦ ¹«½ÃÇÏ°í ÀÖ´Ù. ¸¶ÀÌÅÍ°¡ ¿Ö À̸¦ ±×³É µÎ°í º¸´Â °ÍÀÎÁö´Â ¾ÆÁ÷ È®½ÇÇÏÁö ¾Ê´Ù. ´Ù¸¸ µÑÀÇ ÀÌ·¯ÇÑ ÇàÀ§(¹«½Ã¿Í °£°ú) ¶§¹®¿¡ ¸¹Àº º¸¾È Àü¹®°¡µé°ú MS Á¦Ç° »ç¿ëÀÚµéÀÌ ÇÇÇظ¦ ÀÔ°í ÀÖ´Â °ÍÀº È®½ÇÇÏ´Ù. ±×¸®°í ÀÌ°ÍÀº NISTÀÇ Ãë¾àÁ¡ °ü¸® ÇöȲ¸¸ ºÁµµ ¾Ë ¼ö ÀÖ´Ù.

NIST´Â Ãë¾àÁ¡ µ¥ÀÌÅͺ£À̽ºÀÎ NVD¸¦ °ü¸®ÇÒ ¶§ ¸ðµç CVE ¹øÈ£¿¡ CWE¸¦ µû·Î Á¤Çؼ­ ºÎÂøÇÑ´Ù. CVEÀÇ Ãë¾àÁ¡ Á¤º¸°¡ ºÎ½ÇÇÒ ¶§, NIST´Â NVD-CWE-noinfo¶ó´Â °ü¸® Ç¥½ÄÀ» ºÎ¿©Çϴµ¥, ÀÌ°Ç ¡°ÀÌ Ãë¾àÁ¡ Á¤º¸¿¡´Â »ç½Ç º¼ ¸¸ÇÑ ³»¿ëÀÌ Çϳªµµ ¾ø´Ù¡±´Â ¶æÀÌ´Ù. 2015³â¸¸ Çصµ NIST´Â MSÀÇ CVE Á¤º¸¿¡ ÀÌ NVD-CWE-noinfo¶ó´Â Ç¥½ÄÀ» °ÅÀÇ ºÎÂøÇÏÁö ¾Ê¾Ò¾ú´Ù. ÇÏÁö¸¸ 2022³â¿¡ ¿Í¼­´Â °ÅÀÇ ¸ðµç MS Ãë¾àÁ¡¿¡ ÀÌ Ç¥½Ã°¡ ºÙ´Â´Ù.

NISTÀÇ CWE Á¤º¸´Â »ç¿ëÀÚ ±â¾÷µéÀÌ ÆÐÄ¡ ¼ø¼­¸¦ Á¤ÇÒ ¶§ ¿ä±äÇÏ°Ô »ç¿ëµÈ´Ù. ÇÏÁö¸¸ ¼ö¸¹Àº »ç¿ëÀÚ¸¦ °Å´À¸° MSÀÇ Á¦Ç°Àº »ç½Ç»ó ÀÌ CWE¿¡ ¹Ý¿µµÇÁö ¾Ê°í ÀÖÀ¸´Ï CWE¶ó´Â ¹øÈ£°¡ °¡Áø À¯È¿¼º ÀÚü¿¡ Àǹ®À» Á¦±âÇÏ´Â »ç¿ëÀÚµéÀÌ ¸¹¾ÆÁö°í ÀÖ´Â °Ô »ç½ÇÀÌ´Ù. MS¸¸ÀÇ ¹®Á¦°¡ ¾Æ´Ï¶ó, Ãë¾àÁ¡ °ü¸® ½Ã½ºÅÛ Àüü°¡ ÇÇÇظ¦ º¸°í ÀÖ´Ù°í ÇÒ ¼ö ÀÖ´Ù.

MS°¡ Âü°íÇØ¾ß ÇÒ ¿¹½Ã
MS´Â ¿Ö Áß¿äÇÑ ÆÐÄ¡ Á¦µµ¸¦ ½º½º·Î ¸¶·ÃÇØ ³õ°í, ´õ Å« ¹üÀ§¿¡¼­ÀÇ ÆÐÄ¡ ½Ã½ºÅÛÀ» ¸ÁÃijõ°í ÀÖ´Â °ÍÀϱî? ±×³ª¸¶ ´ÙÇàÀÎ °ÍÀº ¿ÜºÎ ¾÷ü¿Í Á¶Á÷µéÀÌ MS°¡ ¸¸µé¾î µÐ °Å´ëÇÑ °ø¹éÀ» ¸Þ¿ì·Á ÇÑ´Ù´Â °ÍÀÌ´Ù. ¿¹¸¦ µé¾î Á¦·Îµ¥ÀÌÀ̴ϼÅƼºê(Zero Day Initiative)ÀÇ °æ¿ì, ÆÐÄ¡ Æ©Áîµ¥ÀÌ°¡ ÁøÇàµÉ ¶§¸¶´Ù ÈÄ¼Ó ¼³¸íÀ» ´ãÀº º¸°í¼­¸¦ ¹ßÇ¥ÇÑ´Ù. À§¿¡¼­ ¿¹¸¦ µç CVE-2023-21554ÀÇ °æ¿ì, Á¦·Îµ¥ÀÌÀ̴ϼÅƼºê´Â ´ÙÀ½°ú °°Àº ¼³¸íÀ» Á¦°øÇß´Ù.

CVSS ±âÁØ 9.8Á¡Â¥¸® ¹ö±×·Î, MSµµ ÀͽºÇ÷ÎÀÕ °¡´É¼ºÀÌ ¸Å¿ì ³ôÀº °ÍÀ¸·Î ºÐ·ùÇÏ°í ÀÖ´Ù. ¿ø°Ý¿¡ ÀÖ´Â, ½ÂÀÎ °úÁ¤À» Åë°úÇÏÁö ¾ÊÀº °ø°ÝÀÚ°¡ ³ôÀº ±ÇÇÑÀ» °¡Áö°í ÇÇÇØÀÚÀÇ ¼­¹ö¿¡¼­ °ø°ÝÀÚ°¡ ¿øÇÏ´Â Äڵ带 ½ÇÇà½Ãų ¼ö ÀÖ°Ô ÇØ ÁØ´Ù. ÀÌ ¶§ ¼­¹ö¿¡´Â ¸Þ½ÃÁö Å¥À×(Message Queuing) ¼­ºñ½º°¡ È°¼ºÈ­ µÇ¾î ÀÖ¾î¾ß °ø°ÝÀÌ °¡´ÉÇØÁø´Ù. ¸Þ½ÃÁö Å¥À× ¼­ºñ½º´Â µðÆúÆ®»ó ºñÈ°¼ºÈ­ µÇ¾î ÀÖÀ¸³ª, ¸¹Àº »ç¿ëÀÚµéÀÌ ÇÊ¿ä¿¡ µû¶ó È°¼ºÈ­ Çϱ⵵ ÇÑ´Ù. ±×·¨À» ¶§ TCP Æ÷Æ® 1801°ú ¿¬°áÀÌ µÈ´Ù. µû¶ó¼­ ÀÌ Æ÷Æ®¸¦ Â÷´ÜÇÏ¸é ¿ÜºÎ·ÎºÎÅÍ µé¾î¿À´Â °ø°ÝÀ» ¸·À» ¼ö ÀÖ´Ù. ÇÏÁö¸¸ »ç¾÷ ¿î¿µ µî¿¡ ¿µÇâÀ» ¹ÌÄ¥ ¼ö ÀÖ´Ù. µû¶ó¼­ ¾÷µ¥ÀÌÆ®¸¦ ½ÇÇèÇØ º¸°í, ¾Æ¹« ÀÏ ¾ø´Ù¸é Àû¿ëÇÏ´Â °Ô ÃÖ¼±ÀÇ ¹æ¹ýÀÌ´Ù.

ÀÌ ¼³¸í¿¡´Â ¿Â°® Á¤º¸°¡ dz¼ºÇÏ°Ô µé¾î ÀÖ´Ù.
1) ¸Þ½ÃÁö Å¥À×Àº ÀÏÁ¾ÀÇ ¼­ºñ½º´Ù.
2) ¸Þ½ÃÁö Å¥À×Àº ¿ø·¡ ºñÈ°¼ºÈ­ µÇ¾î ÀÖ´Ù.
3) ¸Þ½ÃÁö Å¥À×Àº TCP Æ÷Æ® 1801°ú ¿¬°áµÇ¾î ÀÖ´Ù.
4) Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÏ¸é ±ÇÇÑÀÌ »ó½ÂµÈ´Ù.

º¸¾È ´ã´çÀÚ¿¡°Ô ÀÌ ¸ðµç Á¤º¸´Â ±²ÀåÈ÷ À¯¿ëÇÏ´Ù. ±×¸®°í CVE Ãë¾àÁ¡ Á¤º¸¿¡ Æ÷ÇԵǾî ÀÖ¾î¾ß ÇÏ´Â °ÍµéÀÌ´Ù. º¸¾È ´ã´çÀÚµéÀº ±×·¸Áö ¾Ê¾Æµµ ½Ã°£¿¡ Âѱâ´Â »ç¶÷µéÀÌ´Ù. ±×·± »ç¶÷µéÀ» µµ¿ì·Á¸é ¸Å ´Þ µÎ ¹ø° È­¿äÀÏ¿¡ ¼ö¼ö²²³¢¸¦ ´õ ÁÖ´Â °Ô ¾Æ´Ï¶ó Ä£ÀýÇÑ ´äÁö¸¦ Áà¾ß ÇÑ´Ù.

±Û : Á¦ÀÌÄß º£ÀÎÁî(Jacob Baines), Ãë¾àÁ¡ ¼ö¼® ¿¬±¸¿ø, VulnCheck
[±¹Á¦ºÎ ¹®Á¤ÈÄ ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)