[디지털데일리 이민형기자] 28일 시만텍(www.symantec.co.kr)은 대다수의 리눅스와 유닉스 운영체제(OS)는 물론 유닉스 기반의 맥 OSX에서 새로운 취약점이 발견됨에 따라, 기업은 물론 개인사용자들에게 관련 패치를 설치할 것을 당부했다.
‘배시 버그(Bash Bug)’ 또는 ‘셸쇼크(Shellshock)’로 알려진 ‘GNU 배시 원격 코드 실행 취약점(CVE-2014-6271)’이 공격 당할 경우, 공격자는 표적 컴퓨터를 제어할 수 있게 된다.
이 취약점은 많은 리눅스와 유닉스 OS의 셸(Shell)이라는 일반적인 구성 요소의 하나인 배시(Bash)에 영향을 미친다. 배시는 사용자가 명령어를 간단한 텍스트 기반의 윈도우에 입력하면 OS가 이에 따라 동작하게 만드는 명령어 해석기의 역할을 수행한다.
시만텍은 이 배시 버그 취약점을 올해 초 이슈가 되었던 하트블리드(Heartbleed)보다 심각한 취약점으로 보고 있다. 배시가 웹 서버처럼 상호 연결돼 있는 컴퓨터의 리눅스와 유닉스 OS에 널리 사용되고 있기 때문이다.
특히 배시 버그는 감염 컴퓨터에서 데이터 탈취뿐만 아니라 원격 코드 실행을 가능하게 해, 데이터 탈취만 가능한 하트블리드보다 그 위험도가 높을 것으로 분석하고 있다.
취약점이 공격에 사용되고 있다는 보고는 아직까지는 많지 않다. 보안 전문가들이 취약점에 대해 POC(Proof-of-concept) 스크립트 및 모듈을 개발했으나, 이미 취약점이 알려짐에 따라 공격자가 패치가 안된 컴퓨터를 공격할 수 있어 사용자의 주의가 요구된다.
웹 서버에서 공격자가 배시 버그 취약점 공격에 성공할 경우, 심각한 결과를 가져올 수 있다. 예를 들어, 공격자가 패스워드 파일을 다른 곳으로 복사하거나 악성코드를 감염 컴퓨터에 다운로드 시킬 수 있으며, 공격자가 피해자의 방화벽 안에 침입하면 네트워크에 있는 다른 컴퓨터를 감염시킬 수도 있다.
웹 서버 외에 공용 게이트웨이 인터페이스(CGI)를 실행 중인 리눅스 기반 라우터도 배시 버그 공격에 취약하다. 공격자는 웹 서버와 동일한 방식으로 CGI를 이용해 배시 버그 취약점을 공격에 사용함으로써 라우터에 악성 명령어를 전송할 수 있다.
애플의 맥 OSX를 실행 중인 컴퓨터도 위험할 수 있다. 따라서 관련 배시 버그 대응 지침이나 패치를 배포할 경우, 이를 준수하는 것이 좋다. 또한 사물인터넷 기기와 라우터와 같은 임베디드 기기에 배시가 동작하고 있다면 공격에 취약할 수 있다. 다만, 최신 기기는 최근 배시를 대신해 비지박스(BusyBox)라는 툴 셋을 실행하고 있으며, 비지박스는 배시 버그 공격에 취약하지 않은 것으로 나타난다.
기업들 중에서도 특히 웹사이트 운영자는 배시 버그 공격 위험이 가장 높다. 공격자가 이 취약점을 이용해 기업 데이터에 접근하고 네트워크에 침투할 수 있다는 사실을 인지해야 하며, 반드시 이용 가능한 패치를 즉각 설치해야 한다.
이와 관련해 데비안, 우분투, 레드햇, 센트OS, 노벨/수세와 같은 리눅스 공급업체들은 패치 정보와 함께 새로 발견한 취약점에 대해 보안 경고를 발표했다. 만약 특정 리눅스나 유닉스 배포판에 대해 패치를 이용할 수 없다면, 패치가 배포될 때까지 다른 셸로 대체하는 것이 바람직하다.
윤광택 시만텍코리아 SSET(Symantec Security Expert Team) 총괄 이사는 “기업뿐만 아니라 개인 사용자도 배시 버그 취약점에서 안전하지 않다. 따라서 리눅스와 유닉스 OS 기반의 컴퓨터는 물론 기타 다른 웹 기기에 대한 패치가 있다면 반드시 이를 설치하는 것이 필요하다”며 “시만텍은 배시 버그 취약점을 차단하기 위한 침입 방지 시그니처 생성을 완료했으며, 해당 취약점에 대해 지속적으로 조사하고 그 결과를 공유할 계획”이라고 설명했다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
[DD퇴근길] 삼성전자, 조기 사장단 인사 단행…올해의 '카카오 이모티콘'은?
2024-11-27 17:27:20티빙·웨이브 합병 임박?…모회사들 OTT 사업결합 위한 전략적 투자
2024-11-27 17:06:53"IPTV부터 오리지널 콘텐츠까지"…KT, 'AI'로 미디어사업 혁신
2024-11-27 16:50:194년만에 대표 교체한 LGU+, 후속 임원인사는 '볼트업' 수장
2024-11-27 16:44:04시공간 초월 오프닝에 꼬마 지용이까지…최신 기술 총망라된 '2024 마마 어워즈'
2024-11-27 16:43:08알뜰폰 점유율 제한, ‘졸속심사’ 논란…소위 전날 수정의견 공유
2024-11-27 13:17:35‘분할 위기’ 구글 재판, 내년 4월 진행…“정권 바뀌어도 예정대로”
2024-11-27 18:25:37“사우디 ‘e스포츠 월드컵’, 韓 이스포츠 도약 기회로 삼아야”
2024-11-27 18:24:54[DD퇴근길] 삼성전자, 조기 사장단 인사 단행…올해의 '카카오 이모티콘'은?
2024-11-27 17:27:20“불법 유통 대응력 우수”…네이버웹툰, 문체부 장관 표창
2024-11-27 16:44:21블로믹스 ‘테일즈런너RPG’, 정식 출시 앞서 사전 공개 서비스 시작
2024-11-27 12:06:19정부, 택시 플랫폼 배차·요금 개선 권한 가진다…연말 법 개정 추진
2024-11-27 10:24:59