[지디넷코리아]SANS 연구소는 계속 연별로 내놓던 취약점 보고서를 이제 분기별로 내놓기로 결정했다. 이 연구소는 지난 5월 우선 올해 1분기 20대 취약점을 선정해 내놓았다. 한 번에 다루기엔 양이 많기 때문에 MS와 비(非) MS로 분리해 다뤄보자.

윈도우 보안 10대 취약점은 이미 지난 글에서 다룬 바 있다. 이제 크로스 플랫폼 10대 취약점을 살펴보자.

개요
SANS는 1년마다 선정하던 것을 분기마다 선정하는 방식으로 바꿨다. 이로써 관리자들이 먼저 차단해야 할 위협이 뭔지 결정할 때 이 지침을 훨씬 더 잘 활용할 수 있게 됐다.

SANS 보고서는 분기별 선정 방식으로 바뀐 것 뿐 아니라 기존 리눅스/유닉스 섹션을 크로스 플랫폼 위협에 대한 섹션으로 확장했다. 여기에는 윈도우, 매킨토시, 그리고 다양한 종류의 유닉스가 포함된다. 이제 SANS 연구소가 선정한 2005년 1분기 10대 크로스 플랫폼 위협이 무엇인지 살펴보자.

CA 라이선스 매니저 버퍼 오퍼플로우(CAN-2005-0581, CAN-2005-0582, CAN-2005-0583)
원격 코드 수행 위협이다. 공격자는 취약점이 존재하는 제품이 구동되는 시스템에서 “시스템/루트” 권한을 확보할 수 있다.

이 취약점은 IBM AIX, DEC, HP-UX, 인텔s/390 기반 리눅스와 솔라리스, 윈도우, 애플 매킨토시 운영체제 등에서 동작하는 CA 라이선스 패키지 버전 1.53부터 버전 1.61.8까지 영향을 미친다. 패치가 제공되고 있다.

다중 안티바이러스 제품 버퍼 오버플로우 취약성(CAN-2005-0249, CAN-2005-0350, CAN-2005-0644)
이것 또한 원격 코드 수행에 관한 취약점이다. 시만텍, F-시큐어, 트렌드마이크로, 맥아피 등 다양한 안티바이러스 제품이 영향을 받는다. 이용 가능한 패치에 대한 정보를 얻고 싶다면 시만텍, F-시큐어, 트렌트 마이크로, 맥아피를 대상으로 한 SANS의 경보를 보기 바란다.

DNS 캐시 포이즈닝 취약점
공격자는 이 결점을 이용해 도메인을 다른 곳으로 재연결시킬 수 있다. 이 취약점은 주로 맬웨어(malware)를 설치하는 데 사용된다. 시만텍 게이트웨이 시큐리티 5400 시리즈 버전 2.x, 시만텍 게이트웨이 시큐리티 5300 시리즈 버전 1.0, 시만텍 엔터프라이즈 파이어월 버전 7.0.x와 8.0(솔라리스용, 윈도우용), 벨로시랩터 모델(1100/1200/1300) 버전 1.5(윈도우 NT/ 2000 SP 3 이전) 등이 영향을 받는다.

SP 3가 설치된 윈도우 2000 시스템은 이 취약점에서 안전하다. 하지만 다른 윈도우 DNS 서버는 취약점이 존재할 가능성이 있다.

제조업체별로 패치 등 여러 해결책이 나와있다. 좀더 자세한 정보는 해당 SANS 보고서를 참조하면 알 수 있다.

오라클 크리티컬 패치 업데이트(CAN-2005-0298)
공격자는 이 취약점을 이용해 오라클 서버의 제어권을 획득할 수 있다. 오라클은 취약점 패치를 2005년 1월 18일에 발표했다. 그러나 이 결점이 1분기 SANS 보고서에 등장했다는 사실은 모든 사람들이 패치를 설치한 건 아니라는 점을 시사하고 있다.

이 취약점은 여러 오라클 제품에 영향을 준다. 오라클 데이터베이스 8부터 10g 일부 버전, 오라클 애플리케이션 서버 일부 버전, 오라클 협업 스위트 릴리즈 2 버전 9.0.4.2, 오라클 E-비즈니스 스위트 애플리케이션 릴리즈 11과 11i 등이 바로 그것이다. 더 자세한 사항과 패치 정보가 필요하면 이 위협에 대한 SANS 경보를 보기 바란다.

여러 미디어 플레이어의 버퍼 오버플로우(CAN-2005-0455, CAN-2005-0611, CAN-2005-0043)
공격자는 이 취약점을 이용해 시스템을 완전히 망가뜨릴 수 있다. 영향을 받는 애플리케이션은 리눅스 리얼플레이어 10, 헬릭스, 아이튠즈, 윈앰프, 윈도우 리얼플레이어 10.5 번들 6.0.12.1040부터 1056, 윈도우 리얼플레이어 10, 윈도우 리얼원 플레이어 2 빌드 6.0.11.853부터 872, 빌드 6.0.11.818부터 840, 윈도우 리얼플레이어 1, 윈도우 리얼플레이어 8, 윈도우 리얼플레이어 엔터프라이즈, 맥 리얼플레이어 10 빌드 10.0.0.305부터 325, 맥 리얼원 플레이어이다.

패치와 업그레이드가 나와 있다. 해당 SANS 보고서에서 자세한 내용을 참조하라.

즉시 패치하라
지금까지 크로스 플랫폼 10대 취약점들을 살펴봤다. 공격자들은 현재 이런 크로스 플랫폼 위협을 모두 이용하고 있다. 그렇지 않다면 목록에 없었을 거다. 따라서 위험 수준은 상당히 높다는 사실을 주지하라.

결론
SANS의 보고서 명칭은 아직도 20대 취약점이지만 목록을 확인한 사람들은 실제로 20개가 못된다는 점을 눈치챘을 것이다. 사실 1분기에 선정된 내용엔 윈도우 위협이 7개, 크로스 플랫폼 위협이 5개다.

여기에 개인적으로 더 추가할 내용은 없다. SANS는 뻔히 보이는 위협이나 기업들이 이미 시스템을 패치한 취약점과 같은 것들은 목록에 넣지 않고 있다. 대신 나는 웹 브라우저 위협에 관해 막연하게 갖고 있는 인식들에 대해 말하고자 한다.

한번 돌이켜 보자. 1995년에 인터넷 보안이 얼마나 심각한 문제였는지 기억하는 사람이 있나? 내가 이렇게 묻는 이유는 MS의 인터넷 익스플로러(IE) 기술이 애시당초 대대로 보안과는 무관했던 컴퓨팅 시대에 등장했기 때문이다.

MS가 IE 1.0을 내놓은 시점은 아마 1995년일 것이다. 그리고 모질라는 2004년 말 파이어폭스 1.0을 출시했다. 그렇다면 모든 이들이 요즘 논쟁하고 있는 보안 차이점은 IE 등장과 파이어폭스 등장 사이에 10년의 차이가 있기 때문이라고 볼 수 있을까?

나는 1995년에 오늘날처럼 인터넷이 보안상의 위협이 될 거라고 주장하는 사람을 봤던 기억이 없다. 혹자는 MS가 보안에 대해 주의를 기울이지 않고 IE를 개발했기 때문에 보안 위협이 계속되는 데 대해 이 회사가 책임을 져야 한다고 주장할 수도 있다. 여기에 대해 독자들은 어떻게 생각하는가? @