보안 취약점

덤프버전 :

분류

1. 개요
2. 주요 사건
3. 관련 문서


1. 개요[편집]

취약점(, vulnerability)은 공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점이다. 취약점은 세 요소의 교집합이다. 시스템 민감성 또는 결함, 공격자가 결함에 대한 접근 그리고 공격자가 결함에 대한 익스플로잇(exploit)[1] 가능성. 취약점을 익스플로잇하기 위해서, 공격자는 반드시 시스템의 약점에 접속할 수 있는 적어도 하나의 툴이나 기법을 가져야 한다. 이 경우에, 취약점은 또한 공격 영역이라고도 불린다.

쉽게 말하면 버그는 버그인데, 매우 심각하고 방치하면 위험한 버그를 다른 버그들과 달리 특별히 구분지어 불러야 할 때 쓰는 말이다.

따라서 버그가 없는 프로그램은 없듯이 취약점이 없는 프로그램은 없다. 사소한 실수나 정상적인 데이터인지 체크하는 루틴이 부실해서 취약점이 발견되기도 하고 그 프로그램을 돌리는 운영체제 자체의 버그로 인해 취약점이 발견될 수 있다.

이 때문에 전 세계적으로, 각 회사의 제품의 취약점을 찾아서 회사 또는 공공기관(대한민국의 인터넷진흥원 같은 공공기관이라 생각하면 된다)에 제보할 경우 보상금을 주는 '버그바운티'제도를 시행하는 추세이다. 대한민국 같은 경우, 취약점을 KISA에 제보할 경우 KISA가 판단하기에 위험한 취약점일수록 보상금을 많이 준다. 기본 30만원이다. 브로커나 해외에서 주는 보상금과 비교하면 많이 적긴 하다.

또한 현대에도 보안 취약점은 그야말로 쏟아지고 있다. 만약 보안 취약점이 발견되자마자 공개된다면 전 세계의 수많은 컴퓨터가 제로 데이 공격에 시달리며 정상적인 구동조차 보장하기 힘들어질 것이다. 그래서 보안 취약점이 발견된 즉시 공개되지 않고, 보통 30일까지 공개가 유예되는 경우가 많다.

오픈소스 소프트웨어의 경우 소소코드가 공개되어 있기 때문에 해커들이 코드에서 알려지지 않는 취약점을 찾아낼 가능성이 있다. 오픈소스가 아니더라도 어떠한 이유로 소스코드가 유출될 경우는 유출된 코드에서 취약점을 찾아낼 수 있다. 2020년 9월 27일, Windows XPWindows Server 2003 소스코드가 유출되는 사건이 발생했는데, 보안전문가들은 이에 대해 유출된 소스코드를 이용해 취약점을 쉽게 찾아낼 수 있다고 한다.

소프트웨어 뿐만 아니라 하드웨어에서도 취약점이 발견되는 경우가 있는데 소프트웨어 취약점와 다르게 수정이 불가능하다. 대표적인 사례가 CPU 게이트인데 소프트웨어가 아닌 CPU의 취약점이라 직접 패치할 수 없고 운영체제 레벨에서 패치하게 되었는데 성능 저하가 발생했다. 하드웨어 상의 취약점 까지는 아니더라도 수정 불가능한 ROM[2]에 기록된 펌웨어에 취약점이 발견되는 경우도 있으며 이 경우에도 문제가 해결된 최신 하드웨어로 새로 구입하는 수밖에 없다.

Windows 11은 TPM 2.0 의무화와 함께 인텔 8세대, AMD 라이젠 2세대 이후 CPU만 지원한다는 가혹한 하드웨어 제한을 걸어놨는데, 외국 커뮤니티에서는 구형 CPU에 존재하는 CPU게이트를 비롯한 각종 보안 취약점 때문으로 보고 있다.

2. 주요 사건[편집]

시간 순서대로 나열함. 괄호 안에 있는 문자열은 CVE Identifier를 나타낸다.

  • 2002년
  • 2014년
    • 하트블리드 (CVE-2014-0160)
    • 셸쇼크 (CVE-2014-6271(최초 보고), CVE-2014-6277 , CVE-2014-6278 , CVE-2014-7169 , CVE-2014-7186, CVE-2014-7187)
  • 2017년
  • 2020년
  • 2021년
    • V8 자료형 혼동 취약점 (CVE-2021-30563) #
해당 취약점으로 인해 V8 엔진을 사용하는 모든 애플리케이션이 보안에 취약하게 되었다. 해당 이슈가 브라우저계에서만 논란이 되었고 Electron 프레임워크, Node.js를 사용한 애플리케이션 진영에서는 크게 논란이 되지 않아서 더 큰 문제가 발생할 수도 있었다. 다행히 Electron은 현재 해당 취약점이 패치된 상황이지만, Node.js는 아직 패치됐다는 소식이 없는 상태이다.
  • Log4j 보안 취약점 사태 (CVE-2021-44228)
  • 2023년
  • 위즈베라, 라온시큐어 보안 플러그인 스캔들 (해당 없음[3]) #
AdBlock Plus의 원 개발자이자 해당 프로그램을 현재 유지보수중인 eyeo 사의 공동창업자 블라디미르 팔란트가 2023년 1월 2일부터 기획연재 식으로 한국 보안 프로그램의 실상을 낱낱이 까발린 사건. 물론 보안 프로그램들이 책임전가의 수단일 뿐이고 그 자체가 보안 취약점 내지 암덩어리라는 사실 자체는 한국인들 사이에서는 공공연한 비밀이었긴 하지만, 국제적으로 지명도 높은 보안 전문가[4]가 흥미를 보이고 따로 저술을 함으로써 세계적 관심을 환기했다는 데 의의가 있다. 1/2일자의 최초의 폭로 이후 최소 3월까지는 거의 한 달에 한 번 꼴로 한국 보안 플러그인 특집을 내고 있다. 저자의 허락 하에 한국어로도 번역되고 있다. #
  • ESXiArgs 랜섬웨어 감염 서버_23년3월 기준 2,000여개 이상 발견 (CVE-2021-21974) #
현재 위 링크에서는 확인되지 않지만 Vmware ESXi 서버에서 사용되는 OpenSLP(Service Location Protocol) 서비스의 힙오버플로(Heap Overflow) 취약점을 활용한 랜섬웨어라고 한다. 이 취약점은 원격코드실행(REC) 공격이 가능하다. 2023년 2월 3일 피해가 보고되었으며 최근까지 공격이 이어지고 있다. 이 새로운 ESXiArgs 랜섬웨어 공격은 감염 시 서버 확장자가 .vmxf, .vmx, .vmsd, .nvram 인 파일이 전부 암호화 되고 '.args'로 변경되기 때문에 쉽게 감염여부 파악이 가능하다.


3. 관련 문서[편집]



파일:크리에이티브 커먼즈 라이선스__CC.png 이 문서의 내용 중 전체 또는 일부는 2023-11-30 21:09:32에 나무위키 보안 취약점 문서에서 가져왔습니다.

[1] 보안 취약점, 혹은 그 취약점을 이용한 공격을 뜻하며, 주로 후자의 의미로 사용된다.
참고로 비디오 게임 분야에서는 창발적 플레이의 요건 내지는 꼼수에 대응하는 의미의 용어로 쓰인다.[2] Mask ROM[3] 대한민국 한정 이슈이며 이들 기업은 국제적인 공조는커녕 오히려 자사 제품은 안전하다꼰대으로 일관하기 때문에 이들 이슈에 CVE가 붙을 가능성은 없다.[4] 사실 보안 전문가로서 유명한 건 아니지만, 알다시피 보안 전문가는 개인정보 보호에 별로 신경을 안 쓸 수 있을지언정 역은 성립하지 않으며, 전술했듯 세계구급 광고 차단 프로그램의 고안자로서 보안에도 상당부분 조예가 있음을 그의 블로그를 통해 보여줬다.

관련 문서