Home > 전체기사

구글이 드러낸 glibc 취약점, 보안 위기다? 아니다?

  |  입력 : 2016-02-18 11:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
“C 라이브러리들 중 가장 인기 높아, 파급력 엄청날 것”
“익스플로잇이 현실화 되기에는 제약 사항이 너무 많다”


[보안뉴스 문가용] 구글의 보안 연구원들이 어제 glibc에 있는 취약점을 공개했다. “치명적인 버퍼 오버플로우 취약점”이라며 익스플로잇 되었을 경우 공격자가 원격에서 시스템을 통제할 수 있게 해준다고 설명했다. 그에 따라 주요 리눅스 및 glibc 프로젝트 관련 업체 및 조직들은 취약점과 관련된 패치를 발표했다.


glibc는 GNU C 라이브러리를 줄인 말로 유닉스 시스템에서 사용되는 주요 C 라이브러리(libc)의 한 가지 버전이다. 유닉스 시스템이 실행되는 데에 필요한 모든 표준 기능들을 담고 있다. C 라이브러리의 종류는 다양한데, glibc는 부동의 1위를 오랫동안 차지해오고 있다는 게 리눅스 전문가 및 보안 관계자들의 설명이다.

큰일이다!
“사실 현대 프로그램들 거의 전부가 glibc에서 정의된 기능들을 사용하고 있다고 보면 됩니다.” SANS 테크놀로지 인스티튜트(SANS Technology Institute)의 대표인 요하네스 울리히(Johannes Ullrich)는 glibc가 가지는 영향력에 대해 간단하게 표현한다. “물론 BSD에 기반을 둔 OS, 예를 들면 OS X, iOS, OpenBSD, Free BSD 등은 조금 다른 libc 버전을 사용하고 있습니다. 하지만 그런 환경에서도 일정 부분 glibc 요소가 사용되는 예가 무척 많죠. 특히 리눅스에서 옮겨온 소프트웨어들은 거의 100% glibc 요소를 가지고 있습니다.”

이를 좀 더 축약해서 말하면, glibc에서 취약점이 발견되면 자동으로 수천, 수만개의 애플리케이션도 취약해진다는 것이다. 이번에 발견된 오류는 glibc DNS 클라이언트 사이드에 있는 resolver에 있으며, 라이브러리 기능 중 하나인 getaddrinfo()가 사용될 때 발동된다고 한다.

“도메인 이름에 대한 응답이 처리되는 방식에 문제가 있었습니다.” 보안 전문업체인 라피드7(Rapid7)의 연구원 토드 비어즐리(Tod Beardsley)의 설명이다. “DNS 서버를 조정하는 공격자라면 프로그램을 다운시키는 게 가능하고, 특정 환경에서는 심지어 프로그램의 실행 경로를 하이재킹 하는 것도 가능합니다.” 기존의 플랫폼에서나 임베디드 기기에서 사용되는 소프트웨어 패키지들 모두 이에 해당한다고 그는 덧붙였다. 이는 구글 측에서도 동의하는 바다.

“DNS가 인터넷의 핵심 인프라 요소이기 때문에 이번에 발견된 문제는 꽤나 심각하다고 볼 수 있습니다.” 듀오 시큐리티(Duo Security)의 수석 분석가인 마크 러브레스(Mark Loveless)의 설명이다. “glibc 자체가 워낙 중요해야 말이죠. 거의 전부라고 해도 무방할 정도로 어지간한 시스템에는 glibc와 관련된 것들이 상당 수 존재하고 있고, 이 말은 즉 상당수 시스템들이 지금 위험에 처해있다는 뜻이 됩니다.”

게다가 울리히는 익스플로잇도 간편하다고 한다. “익스플로잇을 하려면 공격자가 사용자를 속여 특정 DNS 쿼리를 전송하도록 만들어야 하는데, 그다지 어려운 일이 아닙니다. 웹 사이트를 방문한다든지 이메일을 읽는다든지, 인터넷에서 이루어지는 활동들 대부분은 DNS 쿼리를 끊임없이 전송하도록 합니다. 공격자들에게 필요한 건 기술력보다는 오히려 참을성입니다. 정말이지 끈기만 있으면 전혀 익스플로잇이 어렵지 않은 취약점입니다.”

과장이 심하시네
하지만 다른 견해를 가진 이들도 있다. 러브레스의 경우 울리히를 정면으로 반박한다. 익스플로잇이 쉽고 간단하다고만 볼 수 없다는 입장인 것. “익스플로잇이 성공하려면 타이밍이 반드시 맞아야만 해요. 악성 응답을 모내기 전에 그에 맞는 DNS 요청이 먼저 발생해야 하거든요. 근데 이게 언제 발생할 지 어떻게 알 수 있겠습니까. 그것도 실시간으로요.”

그 말 그대로 익스플로잇이 성공하려면 공격자가 도메인의 통제권을 쥐고 있거나 사용자가 연결되어 있을 DNS 서버를 바르게 예측해서 장악해야 한다는 전제가 필요하다. 혹은 물리적으로 가까이에 있어 중간자 공격이라도 실행할 수 있어야 한다. 이게 ‘쉬운’ 조건은 아니라고 러브레스는 주장한다.

“게다가 해당 취약점을 발동시키는 수단뿐 아니라 ASLR 등과 같은 보안 장치를 우회하는 방법도 갖추고 있어야 합니다. 버퍼 오버플로우 공격이 일어날 때를 대비한 보안 솔루션들이 시장에 버젓이 존재하는 한, 공격하고자 하는 시스템에 어떤 방비책이 존재하는지 알 수가 없거든요.” 즉 취약점 익스플로잇만을 갖춰서는 실제 현장에서 공격에 성공할 수 없다는 것.

여기서 공격이 일어날 수 있는 ‘실제 현장’이라 함은 대부분의 경우 사물인터넷 기기다. 공격자 입장에서는 공격하고자 하는 사물인터넷 기기가 연결되어 있는 네트워크 전체를 중간자 공격을 통해 하이재킹 하든가 사용자가 제공하는 도메인으로의 연결을 가능하게 해주는 프로세스를 찾아내야 한다. “임의의 링크를 따라가도록 되어 있는 웹 크롤러 등이 좋은 예겠죠.”

“이번에 공개된 glibc의 취약점 자체가 흥미로운 건 맞습니다. 실제 익스플로잇 되었을 때의 파급력이 무시무시하다는 것도 동의합니다. 하지만 그런 익스플로잇과 공격이 실제로 현실화되기에는 제약 사항이 너무나 많습니다. 비현실적이라고 봐도 될 정도에요. 그래서 전 딱히 위험하다고 느껴지지 않습니다. 게다가 패치도 이미 여럿 나왔죠. 벌써부터 쉘쇼크나 하트블리드를 떠올릴 필요는 없어 보입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)