오라클의 오픈소스 관계형 데이터베이스 관리 시스템, 시장점유율 80% 차지
아직 패치가 발표되지 않은 제로데이 취약점, 3가지 임시방책.
추석 연휴 전에 공개된 오픈소스 데이터베이스 소프트웨어 MySQL의 제로데이(Zero-Day) 취약점은 아직 패치가 발표되지 않은 취약점이라 기업들의 각별한 주의와 보안점검이 요구되는 상황이다.
1995년 스웨덴의 MySQL AB사에 의해 최초 버전이 나온 MySQL은 2008년 썬마이크로시스템즈에 의해 인수된 다음 5.1 버전이 출시됐으며, 지난 2010년 오라클이 썬마이크로시스템을 인수한 이후 오라클에 의해 관리·배포되고 있다. 현재 5.7 버전까지 나온 상태다.
MySQL은 개인이 사용할 때는 무료로 쓸 수 있는 오픈소스 라이선스(GNU General Public License)를 따르기는 하나, 상업적으로 사용할 때에는 상업용 라이선스를 구입해야 하는 이중 라이선스로 관리되고 있다.
특히, MySQL은 고성능이지만 속도가 빠르고 유연하며 사용하기 쉽다는 평가다. 또한, 윈도우, 리눅스, 유닉스 운영체제 등에서 모두 사용할 수 있고, 표준 SQL 언어 지원은 물론 다양한 언어들을 사용할 수 있는 프로그래밍 인터페이스를 제공하는 게 장점이다.
무엇보다 어디서든 인터넷을 통한 접근이 가능해 연결성이 높다는 점과 접근제어와 함께 SSL를 통한 암호화 연결을 지원하는 등 보안성에서도 높은 점수를 받아왔던 게 사실이다. 이러한 특장점으로 인해 MySQL은 홈페이지나 쇼핑몰 등 일반적인 웹 개발에 널리 쓰이고 있으며, 최근에는 글로벌 기업에서도 많이 사용되고 있다.
위키백과에 따르면 현재 위키백과, 구글(검색 엔진은 제외), 페이스북, 트위터, 플리커, 노키아닷컴, 유튜브 등에서 사용하고 있다. 이렇듯 수많은 개인, 중소기업 및 대기업에서 사용되고 있는 MySQL에서 이번에 발견된 제로데이 취약점은 크게 두 가지다.
보안전문가인 다위드 골룬스키(Dawid Golunski)가 공개한 취약점 가운데 하나는 원격에서 my.cnf 환경설정 파일을 조작함으로써 루트 권한을 탈취해 임의의 코드를 실행할 수 있는 것으로 알려졌다. CVE-2016-6662로 명명된 이번 취약점을 해커가 악용할 경우 MySQL를 완전히 장악할 수도 있다는 얘기다.
또 다른 취약점(CVE-2016-6663)은 앞서 설명한 CVE-2016-6662의 익스플로잇을 훨씬 쉽게 할 수 있는 취약점이다. 결국 앞서 설명한 취약점을 더욱 쉽게 악용할 수 있도록 해주는 취약점인 셈이다.
해당 취약점에 영향을 받는 대표적인 MySQL 버전은 5.7.14, 5.6.32, 5.5.51으로, MySQL 디폴트 환경설정에서 발견된다. MySQL 기반의 데이터베이스 관리 시스템인 MariaDB, PerconaDB도 취약점에 영향을 받지만, MariaDB와 PerconaDB는 해당 취약점의 패치를 이미 완료한 상태다.
그럼 오라클 측의 패치가 아직 발표되지 않은 상황에서 MySQL을 사용하는 기업이나 개인들은 어떤 조치를 취해야 할까? 첫 번째는 보안 패치가 공개되기 전까지 MySQL 환경설정 파일이 MySQL 사용자들에게 노출되지 않도록 확실한 조치를 취해야 한다는 점이다.
두 번째는 해커들의 익스플로잇 시도를 방해하기 위해 사용하지 않는 환경설정 파일의 더미(가짜) 파일을 생성해 놓는 것이다. 이와 관련 해당 취약점을 공개한 골룬스키는 “루트에 사용하지 않는 가짜 cnf 파일을 만들어 놓는 것도 좋은 방법”이라고 설명했다.
마지막은 패치가 발표될 때까지 해당 취약점을 해결한 MariaDB와 PerconaDB를 사용할 필요가 있다는 점이다. 이번 제로데이 취약점을 악용한 공격이 발생할 가능성이 그 어느 때보다 높기 때문에 오라클 측은 하루빨리 패치를 발표해야 할 것으로 보이지만, 아직까지 공식적인 입장 표명은 없는 상태다.
한편, 지난 6월에도 MySQL에서 제로데이 취약점이 발견된 바 있다. 보안전문가 오산다 말리스(Osanda Malith)가 공개한 해당 취약점은 5.5.45 이전 버전에 영향을 미쳤으며, SQL 인젝션 취약점을 가지고 있는 사이트라면 해당 제로데이 취약점을 익스플로잇해서 간단한 디도스 공격을 감행할 수 있는 것으로 알려졌다.
보안뉴스
http://www.boannews.com/media/view.asp?idx=51803
'ICT와 AI 정보' 카테고리의 다른 글
| 구글 "텐서플로우로 JEPG보다 우수한 압축 결과 냈다" (0) | 2016.10.07 |
|---|---|
| "알뜰폰 더 싸졌다" 이통3사 대비 25% 저렴 (0) | 2016.10.04 |
| 안드로이드 + 크롬 OS = 안드로메다? (0) | 2016.09.28 |
| 우표 크기의 리눅스 서버 정식 출시, 5달러 (0) | 2016.09.28 |
| HDD보다 30배 빠른 SSD, 960 Pro 2TB (0) | 2016.09.21 |
| 윈도우즈(Windows)용 에버노트(Evernote)의 새로운 기능 몇 가지 (0) | 2016.09.21 |
| 갤노트 7 걱정되네. (0) | 2016.09.17 |
| 인기 오르고 있는 IT 기술력 10가지 (0) | 2016.09.13 |
Rss Feed