리눅스 '고스트' 취약점 발견. 최신 보안패치 설치필수

대부분의 리눅스 계열 시스템 조치 필요해
“패치 쉽지 않아” 보안업계 태풍되나

리눅스 계열 운영체제에서 사용하는 GNU의 C 라이브러리(glibc)에서 원격코드 실행 취약점이 발견됨에 따라 최신버전의 보안패치 설치가 매우 권장됩니다.  GNU C 라이브러리는 리눅스 계열 운영체제에서 C언어로 작성된 실행파일들이 동작하기 위해 공통적으로 사용하는 기능을 쉽게 이용할 수 있도록 묶어 놓은 소프트웨어 집합체입니다.

해당 취약점은 고스트(ghost, CVE-2015-0235)라 불리고 있으며, 해커는 해당 취약점을 악용해 리눅스 계열 시스템을 대상으로 원격에서 악성 파일을 실행해 시스템을 임의로 조정하거나 저장된 데이터를 삭제하는 등 다양한 공격을 시도할 수 있습니다.

해당 취약점의 영향을 받을 수 있는 시스템은 2.2부터 2.17 버전의 glibc가 설치된 모든 리눅스 계열이고, 도메인 주소를 IP 주소로 변환하는 과정에서 발생하는 취약점으로 메일 · 홈페이지 등 주요 서버뿐만 아니라 개인용 인터넷공유기, 방화벽, 침입방지시스템(IPS) 등도 영향을 받을 수 있어 서버 장악, 악성코드나 스팸메일 배포, 웹사이트 위변조 등의 행위가 가능해지며 취약점이 내재된 glibc가 2000년부터 배포된 점을 고려할 때 운영 중인 리눅스 계열 시스템 대부분이 취약할 것으로 추정됩니다.

볼트강 캔덱 퀄리스 최고기술책임자(CTO)는 “공격자가 고스트를 사용하면 매우 쉽게 시스템의 권한을 훔쳐낼 수 있다”며 “glibc 기반 시스템의 숫자를 감안할 때 우리는 이를 매우 심각한 취약점으로 보고 있으며, 리눅스 개발사들의 패치를 즉각 적용해야 위험을 완화할 수 있을 것”이라고 강조했습니다.

이번에 발견된 고스트 취약점은 리눅스의 겟호스트바이네임(gethostbyname), 겟호스트바이네임2(gethostbyname2) 명령어를 악용해 버퍼오버플로우(buffer overflow)를 발생시킨 후 시스템에 접근할 수 있는 인증절차를 우회해 해당 리눅스 시스템에 대한 원격제어를 할 수 있게 되는데 이는 도메인 이름을 확인하는 모든 리눅스 기반 소프트웨어에 영향을 미치며, 리눅스 기반 서버, 클라이언트 애플리케이션도 해당될 수 있어 문제가 큽니다.

현재 데비안7, 레드햇 엔터프라이즈 리눅스(RHEL)5·6·7, 센트OS6·7, 우분투12.04 등이 고스트의 영향을 받는 것으로 조사되었으며 `고스트`가 치명적인 취약점인 이유는 리눅스 glibc가 가장 일반적으로 쓰이는 코드 라이브러리이기 때문이다. 현재 전세계에서 사용되는 대부분의 리눅스 소프트웨어가 glibc를 기반으로 설계됐고, glibc에 절대적으로 의존하는 파이썬, 루비 등의 언어로 작성된 소프트웨어들도 영향을 받게 됩니다.

이번 취약점과 관련 보안업계에서는 “glibc의 의존성을 생각해보면 거의 모든 리눅스 소프트웨어에 영향을 끼칠 수 있으며, 패치를 위해서는 기기 재부팅도 필요하다. 이 때문에 지난해 발견된 하트블리드, 쉘쇼크와 비견된다고 본다”며 “리눅스 기반 기간시설 제어시스템, 공장자동화 시스템이 위험에 처할 수 있다”고 우려를 나타내고 있습니다.

취약점을 제거하기 위해서는 운영체제의 제조사 홈페이지에서 최신 보안 패치를 설치해야 하며 실행파일에 취약한 버전의 라이브러리를 포함, 컴파일(compile) 한 경우에는 안전한 버전의 라이브러리로 다시 컴파일해 설치해야 한다. 시스템의 취약 여부 확인 및 보안 패치 적용과 관련한 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지에서 확인할 수 있습니다.

특히 지난해 공유기 악성코드 감염을 통한 DNS 디도스 공격도 불가능한 일이 아니게 되는데 이 취약점이 삽입된 악성코드가 드라이브바이다운로드(DBD) 형태로 배포되면 수십, 수백만개의 공유기가 감염돼 대형 사고로 이어질 가능성도 있습니다. 이에 따라 영향을 받는 장비들이 매우 많고 파급력이 상상 이상일 수 있기 때문에 국내 보안업계에서는 이 취약점을 매우 심각하게 받아들이고 있는 중입니다.

이와 관련 KISA 관계자는 “원격제어가 가능한 취약점은 거의 나타나지 않을 정도로 심각성이 높다”며 “취약점이 악성코드로 만들어져 뿌려질 가능성을 염두해두고 있다. 이 경우 악성행위를 막아야 하는 보안장비들이 공격을 받는 상황이 발생할 수도 있다”고 말했습니다.

또 보안업계 관계자는 “리눅스 glibc 기반의 제품을 개발하는 제조사들이 빠르게 움직여줘야 한다. 해당 취약점에 영향을 받는 제품을 파악하고 패치를 내놔야 할 것”이라며 “고객들도 자신들의 자산을 파악해 영향을 받는 제품에 대한 대응에 나서고 패치를 수행해야 한다”고 당부하기도 했습니다.

현재 레드햇, 센트OS, 우분트 등 리눅스 개발사들은 glibc 커널 패치를 내놓은 상태이고, 커널 버전 호환성이나 애플리케이션 충돌만 발생하지 않는다면 커널 패치만으로 취약점을 보강할 수 있긴 하지만 하지만 상황은 그리 낙관적이지 않아 보이는데 개발사가 폐업을 한 경우 기존 애플리케이션과의 호환성 문제 등으로 인해 커널 업데이트가 불가능 할 수도 있습니다.

또, 이번 커널 패치는 시스템 재부팅을 필요로 한다는 점도 문제인데 스카다와 같은 기반시설 시스템이나 네트워크 망과 관련된 시스템의 경우 절대 꺼져서는 안되기 경우도 있기 때문으로 이와 관련해 업계 관계자는 “거의 모든 리눅스 시스템에 영향을 끼치면서도 악용하기는 쉽다는 점 때문에 하트블리드, 쉘쇼크보다 더 큰 위협이 될 수 있다”며 “기관, 기업들은 자산파악을 통해 문제 최소화에 적극 나서야 할 것”이라고 전하기도 했습니다.