Home > 전체기사
고스트스크립트에서 치명적인 취약점 나왔지만 패치는 먼 얘기
  |  입력 : 2018-08-23 15:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
널리 사용되는 오픈소스, 고스트스크립트에서 원격 코드 실행 취약점 발견
패치 아직 없어...2~3단계 패치 발표되어야 하는데 아직 요원한 상태


[보안뉴스 문가용 기자] 고스트스크립트(Ghostscript)라는 소프트웨어에서 샌드박스를 우회하게 해주는 취약점이 발견됐다. 공격자들이 익스플로잇에 성공할 경우, 원격에서 승인 없이 임의의 명령을 실행할 수 있게 해준다.

[이미지 = iclickart]


취약점의 정확한 위치는 고스트스크립트의 -dSAFER 옵션이라고 첫 발견자 타비스 오르만디(Tavis Ormandy)는 설명한다. -dSAFER 옵션은 안전하지 않은 포스트스크립트(PostScript)의 작동을 막기 위한 안전장치이다. 오르만디에 의하면 “포스트스크립트를 동시에 다량으로 운영하면 기본으로 탑재되어 있는 보호 장치를 우회할 수 있게 되고, 이에 따라 공격자가 임의의 아규먼트를 동반한 코드를 임의대로 실행시킬 수 있게 된다”고 한다.

그는 권고문을 통해 “고스트스크립트나, 고스트스크립트를 활용하는 프로그램을 통해 특수하게 조작된 파일을 확인하면, 원격에 있는 공격자가 고스트스크립트 코드에 대한 권한을 갖게 되고, 임의의 명령을 실행할 수 있게 된다”고 설명했다.

더 중요한 건 아직 이 취약점에 대한 마땅한 해결책이 없다는 것이다. 미국의 침해대응센터에 의하면 이 취약점에는 아직 CVE도 배정되지 않았다. 다만 이미지매직(ImageMagick)의 policy.xml에 있는 PS, EPS, PDF, XPS 코더들을 비활성화시키면 어느 정도 위험을 감소시킬 수 있다고 한다.

보안 업체 시놉시스(Synopsis)의 엔지니어인 스티븐 기게르(Stephen Giguere)는 그 방법이 최선이라고 말한다. 그러면서 “IT 관리자들이 고스트스크립트에서 발견된 이 취약점 문제를 반드시 알고 있어야 한다”고 강조했다. “고스트스크립트가 사용된 건 꽤나 오래된 일입니다. 사실 거의 모든 장비에 고스트스크립트 요소가 있다고 봐도 무방해요.”

해외 보안 매체인 SC매거진은 “고스트스크립트 사태는 특정 오픈소스 소프트웨어 패키지에 대한 업계 전체의 의존도가 높을 때 일어날 수 있는 일을 보여준다”고 분석했다. 널리 사용되는 오픈소스의 가장 핵심적인 요소에서 취약점이 발견되면 파장이 엄청난데 업데이트는 쉽지 않다는 게 치명적으로 작용한다는 것이다.

설사 패치가 나온다고 하더라도, 핵심 요소를 바탕으로 구축된 다른 소프트웨어 개발자들이 후속 패치까지 발표해야 하니 시간이 더 걸린다. 이번 사태만 하더라도 고스트스크립트 개발자가 패치를 발표한다고 해도, 곧바로 적용이 어렵다. 이미지매직의 패치를 한 번 더 기다려야 한다.

이번에 발견된 오류에 영향을 받는 소프트웨어는 아티펙스 소프트웨어(Artifex Software), 센트OS(CentOS), 데비안 GNU/리눅스(Debian GNU/Linux), 페도라 프로젝트(Fedora Project), 프리BSD 프로젝트(FreeBSD Project), 젠투 리눅스(Gentoo Linux), 이미지매직(ImageMagick), 레드햇(Red Hat), 수세 리눅스(SUSE Linux), 우분투(Ubuntu)라고 한다.

기게르는 “이 사태가 빨리 해결되려면 고스트스크립트 측의 패치 개발이 신속하게 진행되어야 하고, 고스트스크립트를 사용하고 있는 프로그램 개발사들도 이어서 급히 움직여야 한다”고 강조했다. 그러나 아무리 빨리 걸리더라도 시간이 꽤나 걸릴 것으로 예상되고, 그러므로 해커들에게는 천금과 같은 기회의 시간이 주어지게 될 것이라고 경고하기도 했다.

3줄 요약
1. 널리 사용되고 있는 오픈소스 고스트스크립트의 -dSAFER 옵션에서 취약점 발견됨.
2. 고스트스크립트 자체 패치는 물론이고, 고스트스크립트를 활용한 프로그램 제조사들의 2차 패치까지 기다려야 하는 상황.
3. PS, EPS, PDF, XPS 코더들을 당분간 비활성화시키면 어느 정도 위험 감소시킬 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)