¸ðµç º¸¾È Àü¹®°¡µéÀÌ CVE·Î Ãë¾àÁ¡À» º¸°í ¹× °ü¸®ÇÏÁö ¾Ê±â ¶§¹®
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Ãë¾àÁ¡ °ü¸®¸¦ À§ÇØ CVE µ¥ÀÌÅͺ£À̽º¿¡¸¸ ÀÇÁ¸ÇÑ´Ù¸é Å« È¿°ú¸¦ °ÅµÑ ¼ö ¾ø´Ù´Â ³»¿ëÀÇ º¸°í¼°¡ ¹ßÇ¥µÆ´Ù. CVE µ¥ÀÌÅͺ£À̽º¿¡ ÀÖ´Â Á¤º¸¸¸À¸·Î´Â ³×Æ®¿öÅ© ³»¿¡ µµ»ç¸®°í ÀÖÀ»Áö ¸ð¸£´Â °¢Á¾ À§Çè ¿ä¼ÒµéÀ» ¿ÂÀüÈ÷ ÆľÇÇÒ ¼ö ¾ø´Ù´Â °ÍÀÌ´Ù.
[À̹ÌÁö = iclickart]
ÀÌ·± »óȲ¿¡ ´ëÇÏ¿© Á¶»çÇÏ°í ¹ßÇ¥ÇÑ °Ç º¸¾È ¾÷ü ¸®½ºÅ© º£À̽ºµå ½ÃÅ¥¸®Æ¼(Risk Based Security)·Î, 2019³â ÇöÀç±îÁö ÀÚüÀûÀÎ Ãë¾àÁ¡ ¹ß±¼ ÀÛ¾÷À» ÅëÇØ CVE µ¥ÀÌÅͺ£À̽ºÀÎ NVDº¸´Ù 5970°³³ª ´õ ¸¹Àº Ãë¾àÁ¡À» ã¾Æ³Â´Ù°í ÇÑ´Ù. ÀÌ Áß 18.4%´Â CVSS Á¡¼ö¸¦ ±âÁØÀ¸·Î 9~10Á¡ »çÀÌ¿¡ ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù. °¡Àå À§ÇèÇÑ Ãë¾àÁ¡µéÀÌ´Ù. ¡®°íÀ§Ç豺¡¯¿¡ ¼ÓÇÏ´Â 7~8Á¡´ë±îÁö ÇÕÇϸé 43.5%¶ó´Â ¼öÄ¡°¡ ³ª¿Â´Ù. ¿À¶óŬ, ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®, ±¸±Û µî À¯¸í ¾÷ü¿¡¼ Ãâ½ÃÇÑ ¼ºñ½º¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡µéµµ ´Ù¼ö Æ÷ÁøµÇ¾î ÀÖ´Ù.
¡°¸¹Àº Á¶Á÷µéÀÌ Ãë¾àÁ¡°ú °ü·ÃµÈ øº¸¸¦ ÀÔ¼öÇØ Á¶Á÷ ³» Ãë¾àÁ¡À» °ü¸®Çϴµ¥, ÀÌ·² °æ¿ì CVE Á¤º¸¸¸ È°¿ëÇÏ¸é ²Ï³ª Áß¿äÇÑ ºÎºÐµéÀ» ³õÄ¥ ¼ö ÀÖ°Ô µË´Ï´Ù. ¾Æ¹«¸® ÀßÇصµ ÀϺΠÀÎÇÁ¶ó¿¡¼´Â °ø°ÝÀ» Çã¿ëÇÒ ¸¸ÇÑ ºÎºÐÀÌ ³²¾ÆÀÖ°Ô µÈ´Ù´Â °ÍÀÌÁÒ.¡± ¸®½ºÅ© º£À̽ºµå ½ÃÅ¥¸®Æ¼ÀÇ ºÎȸÀåÀÎ ºê¶óÀ̾𠸶ƾ(Brian Martin)ÀÇ ¼³¸íÀÌ´Ù.
±×µµ ±×·² ¼ö¹Û¿¡ ¾ø´Â °ÍÀÌ CVE ¹øÈ£°¡ ÁÖ¾îÁö´Â °Ç, Ãë¾àÁ¡À» ¹ß°ßÇÑ º¸¾È Àü¹®°¡³ª ¾÷ü°¡ Á÷Á¢ CVE ±â°ü¿¡ º¸°í¸¦ ÇÒ ¶§»ÓÀÌ´Ù. ±×·¡¼ CVE ¿Ü¿¡ ´Ù¸¥ Ãë¾àÁ¡ µ¥ÀÌÅͺ£À̽º¸¦ ÀÌ¿ëÇÏ´Â Àü¹®°¡µéÀÌ ¹ß°ßÇÑ Ãë¾àÁ¡Àº ¹«½ÃµÈ´Ù. ¡°ÀúÈñ ȸ»çÀÇ °æ¿ì¶ó¸é, CVE¸¸À¸·Î Ãë¾àÁ¡ °ü¸®¸¦ ÇÑ´Ù¸é Á¶Á÷ÀÇ 33% Á¤µµ°¡ ±¸¸ÛÀ̾úÀ» °Ì´Ï´Ù.¡±
¼¼»ó¿¡ º¸¾È Àü¹®°¡µéÀÌ Ãë¾àÁ¡À» °ø°³ÇÏ°í °øÀ¯ÇÏ´Â ¹æ¹ý¿¡´Â ¿©·¯ °¡Áö°¡ ÀÖ´Ù. ¡°¾î¶² Àü¹®°¡µéÀº Àڱ⠰³ÀÎ ºí·Î±×¿¡¸¸ ¿Ã·Á³õ½À´Ï´Ù. ±êÇãºê(GitHub)¶ó´Â ¸®Æ÷ÁöÅ͸®¿¡ µî·ÏÇÏ´Â °æ¿ìµµ ¸¹Áö¿ä. Æ®À§ÅÍ¿¡ Àá±ñ ¾ð±ÞÇÏ°í ³¡³»´Â ´Üüµéµµ ÀÇ¿Ü·Î ²Ï µË´Ï´Ù. ±× ¿Ü¿¡µµ ºø¹öŶ(BitBucket), ¼Ò½ºÆ÷Áö(SourceForge), ±ê·¦(GitLab) µî°ú °°Àº »çÀÌÆ®¿¡¼ Ãë¾àÁ¡ÀÌ °øÀ¯µÇ´Â °æ¿ìµµ ´Ù¼ö Á¸ÀçÇÕ´Ï´Ù.¡± ½ÉÁö¾î Ãë¾àÁ¡ÀÌ °ø°³µÇ´Â ·çÆ®´Â ³¯¸¶´Ù ´Ã¾î³ª°í Àֱ⵵ ÇÏ´Ù.
¸®½ºÅ© º£À̽ºµå ½ÃÅ¥¸®Æ¼ÀÇ Ãë¾àÁ¡ DB ÆÀ¸¸ Çصµ 2019³â 1~3»çºÐ±â µ¿¾È 16,738°³ÀÇ º¸¾È Ãë¾àÁ¡À» ¼öÁýÇÏ´Â µ¥ ¼º°øÇß´Ù. ÀÌ Áß Àý¹Ý °¡±îÀÌÀÎ 48%´Â 6~10Á¡ ´ë¿¡ ºÐÆ÷ÇÏ´Â °ÍÀ¸·Î, ²Ï³ª Áß¿äÇÑ °ÍÀ̶ó°í º¼ ¼ö ÀÖ´Ù. ¶ÇÇÑ 16,738°³ Ãë¾àÁ¡µé Áß 39%´Â ÀͽºÇ÷ÎÀÕ Äڵ峪 °³³äÁõ¸í¿ë ÄÚµå±îÁö ³ª¿Â ¹Ù ÀÖ´Ù.
¸®½ºÅ© º£À̽ºµå ½ÃÅ¥¸®Æ¼°¡ ÀÚüÀûÀ¸·Î ã¾Æ³½ Ãë¾àÁ¡µé Áß ´ë´Ù¼ö´Â ¿À¶óŬ(Oracle)¿¡¼ ³ª¿Ô´Ù. ¡°1¿ù 1ÀϺÎÅÍ 9¿ù 30ÀÏ »çÀÌ¿¡ ¹ß°ßµÈ Ãë¾àÁ¡µé Áß 969°³°¡ ¿À¶óŬÀÇ Á¦Ç°µé¿¡¼ ºñ·ÔµÈ °ÍÀ̾ú½À´Ï´Ù. ¹Ù·Î µÚ·Î´Â ±¸±ÛÀÌ 2À§¸¦ ±â·Ï(945°³)Çß°í, ¼ö¼¼ ¸®´ª½º°¡ 3À§(812°³)¸¦ Â÷ÁöÇß½À´Ï´Ù.¡± À۳⠸®½ºÅ© º£À̽ºµå ½ÃÅ¥¸®Æ¼ÀÇ Á¶»ç¿¡¼´Â ¿À¶óŬÀÌ 3À§, ±¸±ÛÀÌ 4À§¸¦ Â÷ÁöÇß¾ú´Ù. 1À§´Â ¼ö¼¼ ¸®´ª½º¿´´Ù.
½ÇÁ¦ »çÀ̹ö °ø°Ý¿¡ °¡Àå ¸¹ÀÌ È°¿ëµÇ´Â Á¦Ç°±ºÀ» º¸À¯ÇÑ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®ÀÇ °æ¿ì ¸®½ºÅ© º£À̽ºµå ½ÃÅ¥¸®Æ¼ ±âÁØÀ¸·Î 9À§¸¦ Â÷ÁöÇß´Ù(485°³).
¸®½ºÅ© º£À̽ºµå ½ÃÅ¥¸®Æ¼´Â ¡°º¸¾È Àü¹®°¡µéÀº ÀÚ½ÅÀÌ ¹ß°ßÇÑ Ãë¾àÁ¡À» Á» ´õ ³ÐÀº Àå¼Ò¿¡¼ °ø°³ÇÒ ÇÊ¿ä°¡ ÀÖ´Ù¡±°í °Á¶ÇÏ¸ç ¡°¾Õ¼ ¾ð±ÞÇÑ ±êÇãºê µî ¿Ü¿¡µµ ¹ö±×Æ®·¢(Bugtraq), Ç®µð½ºÅ¬·ÎÁ®(Full-Disclosure), ÆÐŶ½ºÅè(PacketStorm)°ú °°Àº Ãë¾àÁ¡ º¸°í Àü¹® ¼ºñ½ºµéÀ» È°¿ëÇØ´Þ¶ó¡±°í Ã˱¸Çß´Ù.
3ÁÙ ¿ä¾à
1. Ãë¾àÁ¡ÀÌ °ø°³µÇ´Â Àå¼Ò´Â ¼¼»ó¿¡ ³Ê¹« ¸¹À½.
2. ´ëÇ¥ÀûÀÎ °ÍÀÌ NVDÀÇ CVE µ¥ÀÌÅͺ£À̽ºÀ̱ä ÇÏÁö¸¸, ±×°Ô ÀüºÎ´Â ¾Æ´Ô.
3. º¸¾È Àü¹®°¡µéÀº Ãë¾àÁ¡ ã¾ÒÀ» ¶§ º¸´Ù ³Î¸® °øÀ¯ÇÒ ÇÊ¿ä ÀÖÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>