¡°Ãë¾àÁ¡ ¿¬±¸¡¤±¸¸Å¿¡ ¸Å³â ¼ö¹é¸¸ ´Þ·¯ ÅõÀÚ...¼ö½Ê¾ï ´Þ·¯ÀÇ »çȸÀû ºñ¿ë Àý°¨¡±
[º¸¾È´º½º ¹ÚÀºÁÖ ±âÀÚ] ±Û·Î¹ú »çÀ̹ö º¸¾È ºÐ¾ßÀÇ ¸®´õ Æ®·»µå¸¶ÀÌÅ©·Î(Áö»çÀå ±èÁø±¤)°¡ ±Û·Î¹ú Á¤º¸º¸È£ Çà»ç ¡®ºí·¢ÇÞ(Black Hat) USA 2023¡¯¿¡¼ ÀÚ»çÀÇ ¡®Á¦·Îµ¥ÀÌ À̴ϼÅƼºê(Zero Day Initiative, ÀÌÇÏ ZDI)¡¯ ÇÁ·Î±×·¥À» ÅëÇØ ¿ÃÇØ »ó¹Ý±â 1,000°³ ÀÌ»óÀÇ °íÀ¯ÇÑ º¸¾È»ó Ãë¾àÁ¡¿¡ ´ëÇÑ ±Ç°í»çÇ×À» °ø°³Çß´Ù°í ¹ßÇ¥Çß´Ù. ÀÌ °°Àº Ãë¾àÁ¡ÀÌ »çÀ̹ö °ø°Ý¿¡ ¾Ç¿ëµÉ °æ¿ì, »çÀü ¿¹¹æ Á¶Ä¡ ºñ¿ëÀÇ 10¹è ÀÌ»ó¿¡ ´ÞÇÏ´Â ±ÝÀüÀû¡¤½Ã°£Àû ÇÇÇØ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù°í ¹àÇû´Ù.
[·Î°í=Æ®·»µå¸¶ÀÌÅ©·Î]
Æ®·»µå¸¶ÀÌÅ©·Î´Â Ãë¾àÁ¡°ú ÆÐÄ¡¿¡ ´ëÇÑ °ø°³¿Í ¹®¼È¸¦ ´ÊÃ߰ųª Èñ¼®ÇÏ´Â ¡®»çÀÏ·±Æ® ÆÐÄ¡(Silent Patch)¡¯ÀÇ Áß´ÜÀ» Ã˱¸ÇÏ°í ÀÖ´Ù. »çÀÏ·±Æ® ÆÐÄ¡´Â »çÀ̹ö ¹üÁË ´ëó¿¡ ÀÖ¾î Àå¾Ö ¿ä¼Ò·Î ÀÛ¿ëÇÏ°í ÀÖÁö¸¸ ÁÖ¿ä º¥´õ¿Í Ŭ¶ó¿ìµå Á¦°ø ¾÷ü »çÀÌ¿¡¼ ¸Å¿ì º¸ÆíÀûÀ¸·Î »ç¿ëµÇ°í ÀÖ´Ù.
ºí·¢ÇÞ USA 2023¿¡¼ Æ®·»µå ¸®¼Ä¡(Trend Research)´Â Ŭ¶ó¿ìµå Á¦°ø¾÷ü »çÀÌ¿¡¼ »çÀÏ·±Æ® ÆÐÄ¡°¡ º¸ÆíÈ µÆÀ½À» ¹àÇû´Ù. ±â¾÷Àº Á¡Â÷ °ø°³ ¹®¼¿¡ ¡®CVE(Common Vulnerability and Exposure, º¸¾È Ãë¾àÁ¡ °øÅë½Äº°ÀÚ ¸ñ·Ï)¡¯ ID¸¦ ÇÒ´çÇÏÁö ¾Ê°í, ºñ°ø°³·Î ÆÐÄ¡¸¦ ¹ßÇàÇÏ´Â °æ¿ì°¡ ¸¹¾ÆÁö°í ÀÖ´Ù. Ŭ¶ó¿ìµå ¼ºñ½º¿¡ ´ëÇÑ Åõ¸í¼º°ú ¹öÀü ¹øÈ£ÀÇ ºÎÀç´Â À§Çè Æò°¡¸¦ ¹æÇØÇϸç Àü¹ÝÀû º¸¾È ¼öÁØÀ» °ÈÇÏ´Â µ¥ ÇÊ¿äÇÑ Á¤º¸ÀÇ ½ÀµæÀ» ¹æÇØÇÑ´Ù.
Æ®·»µå¸¶ÀÌÅ©·Î´Â ÀÌ¹Ì 2022³â ºí·¢ÇÞ Çà»ç¿¡¼ ºÒ¿ÏÀüÇϰųª °áÇÔÀÌ ÀÖ´Â ÆÐÄ¡°¡ Áõ°¡ÇÏ°í ÀÖÀ¸¸ç º¥´õµéÀÌ ÆÐÄ¡¿¡ ´ëÇÑ Á¤º¸¸¦ ¸íÈ®ÇÏ°Ô Á¦°øÇÏ´Â °ÍÀ» ²¨¸®´Â °æÇâÀÌ ´Ã¾î³ª°í ÀÖ´Ù°í °æ°íÇÑ ¹Ù ÀÖ´Ù. ÀÌÈÄ ÀϺΠ±â¾÷ÀÌ ÆÐÄ¡ Àû¿ëÀÇ ¿ì¼±¼øÀ§¸¦ ³·Ãç ¼ÒºñÀÚ¿¡°Ô ºÒÇÊ¿äÇÑ À§Çè¿¡ ³ëÃâµÇµµ·Ï ¹æÄ¡ÇÏ´Â µî ¹®Á¦´Â ´õ¿í ½ÉȵƴÙ.
Ŭ¶ó¿ìµå ±â¹Ý ¼ºñ½º¸¦ °ÈÇÏ°í ÀáÀçÀû À§ÇèÀ¸·ÎºÎÅÍ »ç¿ëÀÚ¸¦ º¸È£Çϱâ À§ÇØ ÆÐÄ¡ Àû¿ëÀÌ ¿ä±¸µÈ´Ù. Ãë¾àÁ¡À» ÇØ°áÇÏ°í, ¿¬±¸¿ø¡¤»çÀ̹ö º¸¾È º¥´õ¡¤Å¬¶ó¿ìµå ¼ºñ½º Á¦°ø¾÷ü °£ÀÇ Çù·Âü°è¸¦ °ÈÇϱâ À§ÇÑ Á¶Ä¡°¡ ±ä¿äÇÑ »óȲÀÌ´Ù.
Æ®·»µå¸¶ÀÌÅ©·Î´Â ZDI ÇÁ·Î±×·¥À» ÅëÇÑ Ãë¾àÁ¡ ÆÐÄ¡ÀÇ Åõ¸í¼º Á¦°í¿Í ¾÷°è Àü¹ÝÀÇ º¸¾È ¼öÁØ Çâ»óÀ» À§ÇØ ³ë·ÂÇÏ°í ÀÖÀ¸¸ç, ±× ÀÏȯÀ¸·Î »õ·Î¿î Á¦·Îµ¥ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ ±Ç°í»çÇ×À» ¹ßÇ¥Çß´Ù.
¡®ZDI-CAN-20784 ±êÇãºê(Github) (CVSS 9.9)¡¯
- ¿ø°Ý °ø°ÝÀÚ´Â ÀÌ Ãë¾àÁ¡À» ¾Ç¿ëÇØ ¿µÇâ±Ç ³»ÀÇ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ±êÇãºê(Microsoft GitHub) ¼³Ä¡¿¡ ´ëÇÑ ±ÇÇÑÀ» ³ôÀÏ ¼ö ÀÖ´Ù. ÀÌ Ãë¾àÁ¡ È°¿ëÀ» À§Çؼ´Â ÀÎÁõÀÌ ÇÊ¿äÇÏ´Ù.
- º» °áÇÔÀº µ¥ºêÄÁÅ×À̳Ê(Dev-Containers)ÀÇ ±¸¼º ³»¿¡ Á¸ÀçÇÑ´Ù. ¾ÖÇø®ÄÉÀ̼ÇÀº µ¥ºêÄÁÅ×À̳ÊÀÇ ±¸¼º ³»¿¡¼ ±ÇÇÑ Ç÷¡±×¸¦ °Á¦ Àû¿ëÇÏÁö ¾Ê´Â´Ù. °ø°ÝÀÚ´Â ÀÌ Ãë¾àÁ¡À» ¾Ç¿ëÇØ ±ÇÇÑÀ» »ó½Â½ÃÅ°°í ÇÏÀÌÆÛ¹ÙÀÌÀú(Hypervisor)ÀÇ ÄÁÅؽºÆ®¿¡¼ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ´Ù.
¡®ZDI-CAN-20771 ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¾ÖÀú(Microsoft Azure) (CVSS 4.4)¡¯
- ¿ø°Ý °ø°ÝÀÚ´Â ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇØ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¾ÖÀú¿¡¼ ¹Î°¨ Á¤º¸¸¦ ³ëÃâ½Ãų ¼ö ÀÖ´Ù. ÀÌ Ãë¾àÁ¡À» ¾Ç¿ëÇϱâ À§Çؼ´Â ¿ì¼± ´ë»ó ȯ°æ¿¡¼ ³ôÀº ±ÇÇÑ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ´Â ±â´ÉÀ» È®º¸ÇØ¾ß ÇÑ´Ù.
- º» °áÇÔÀº ÀÎÁõ¼ ó¸® ³»¿¡ Á¸ÀçÇÑ´Ù. ÀÌ Ãë¾àÁ¡Àº ¸®¼Ò½º°¡ À߸øµÈ Á¦¾î ¿µ¿ª¿¡ ³ëÃâµÅ ¹ß»ýÇϴµ¥, °ø°ÝÀÚ´Â À̸¦ ¾Ç¿ëÇØ ÀúÀåµÈ ÀÚ°ÝÁõ¸í(credential)À» ³ëÃâ½Ãų ¼ö ÀÖÀ¸¸ç ÀÌ·Î ÀÎÇØ Ãß°¡ÀûÀÎ ÇÇÇØ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù.
Æ®·»µå¸¶ÀÌÅ©·ÎÀÇ ZDI´Â Ãë¾àÁ¡ ¿¬±¸¸¦ ÇÕ¹ýÀûÀ¸·Î ±¸¸ÅÇØ Á¤º¸°¡ °ø°³µÇ±â Àü, ¿µÇâ±Ç ³»ÀÇ º¥´õ¿¡ Á¦°øÇØ ÇØ°áÇÒ ¼ö ÀÖ´Ù. »çÀ̹ö °ø°ÝÀ» ¹æÇØ¿¡ ÃÊÁ¡À» µÎ°í Ãë¾àÁ¡ ½ÃÀåÀ» °³Ã´ÇØ¿Ô°í, º¥´õÀÇ °ø½Ä ÆÐÄ¡ Àü¿¡ ¼±Á¦ÀûÀ¸·Î ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ °ø°ÝÀ» ŽÁö Â÷´ÜÇÒ ¼ö ÀÖµµ·Ï Æ®·»µå¸¶ÀÌÅ©·Î Á¦Ç°À» ÅëÇØ °¡»ó ÆÐÄ¡ ±â´ÉÀ» Á¦°øÇÏ°í ÀÖ´Ù. ºí·¢ÇÞ USA 2023¿¡¼ ÁøÇàµÈ Æ®·»µå¸¶ÀÌÅ©·ÎÀÇ È°µ¿°ú Æ®·»µå¸¶ÀÌÅ©·Î ZDI¿¡¼ Á¦½ÃÇÑ Àüü ±Ç°í»çÇ× ¸ñ·Ï¿¡ ´ëÇÑ ±¸Ã¼ÀûÀÎ Á¤º¸´Â Æ®·»µå¸¶ÀÌÅ©·Î À¥»çÀÌÆ®¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
[¹ÚÀºÁÖ ±âÀÚ(boan5@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>