리눅스의 XZ 유틸리티 백도어는 공급망 전반에 걸친 광범위한 보안 문제를 시사하며, 이를 통제하기 위해서는 공동체 정신 이상의 노력이 필요합니다.
악성 소프트웨어 공급망 침해가 발견된 후 사이버 보안 업계는 다시 한번 최고 수준의 경계 태세에 돌입했다. 주요 리눅스 배포판에 포함된 XZ 유틸리티 데이터 압축 라이브러리에 영향을 미치는 이 보안 취약점은 CVE-2024-3094로 기록되었으며, 한때 신뢰받던 자원봉사 시스템 관리자가 의도적으로 삽입한 백도어에 해당합니다. 이 취약점은 성공적으로 악용될 경우 원격 코드 실행(RCE)을 가능하게 하며, 기존 소프트웨어 빌드 프로세스에 심각한 피해를 입힐 수 있는 중대한 문제입니다.
다행히도 다른 관리자가 이 위협을 발견하여 악성 코드가 안정적인 리눅스 버전으로 유입되기 전에 차단했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0 및 5.6.1을 사용하기 시작한 사용자에게는 여전히 문제가 되며, 조직들은 긴급 수준으로 패치 적용을 서둘러야 합니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필로 볼 때 이는 SolarWinds를 능가할 수도 있는 사상 최악의 공급망 공격 중 하나가 되었을 것입니다.
중요한 시스템 유지 관리에 커뮤니티 자원봉사자에 대한 의존도는 광범위하게 문서화되어 있지만, 이 사건과 같은 심각한 문제가 표면화되기 전까지는 거의 논의되지 않습니다. 그들의 끊임없는 노력은 오픈소스 소프트웨어 유지보수에 필수적이지만, 이는 개발자 수준의 보안 역량과 보안 의식을 중시할 필요성을 강조할 뿐만 아니라, 소프트웨어 저장소 주변의 접근 통제를 강화해야 함을 시사합니다.
XZ 유틸리티 백도어란 무엇이며 어떻게 무력화하나요?
3월 29일, 레드햇은 페도라 리눅스 4.0 및 페도라 로우하이드 사용자에게 긴급 보안 경보를 발령했습니다. 최신 버전의 'XZ' 압축 도구 및 라이브러리에 악성 코드가 포함되어 있으며, 이는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보인다는 내용입니다. 이 악성 코드가 어떻게 유입되었는지는 향후 집중적인 연구 대상이 될 것이지만, 이는 "Jia Tan"이라는 가명의 공격자가 수행한 정교하고 인내심 있는 수년간의 사회공학적 작업의 결과입니다. 이 인물은 수많은 시간을 들여 다른 관리자들의 신뢰를 얻었고, 2년 이상 XZ Utils 프로젝트와 커뮤니티에 합법적인 기여를 한 끝에, 여러 소크퍼펫 계정이 자원봉사 프로젝트 소유자 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후 '신뢰할 수 있는 관리자' 지위를 획득했습니다:
이 특이한 사례는 고도로 기술적인 인물조차도 일반적으로 기술력이 부족한 대상에게만 사용되는 전술의 희생양이 될 수 있음을 보여주는 대표적인 사례이며, 역할 기반의 정밀한 보안 인식 교육이 필요함을 입증합니다. 이는 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 관리자인 안드레스 프룬트의 호기심과 빠른 판단력 덕분이었죠. 안드레스 프룬트( Andres Freund) 덕분에 백도어가 발견되고 버전이 롤백되어 최근 가장 파괴적일 수 있었던 공급망 공격이 저지되었습니다.
이 백도어 자체는 공식적으로 NIST 레지스트리에서 가장 높은 심각도 등급의 보안 취약점으로 분류됩니다. 원래는 SSH 인증 우회를 가능하게 하는 것으로 추정되었으나, 추가 조사 결과 취약한 리눅스 시스템(Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전 포함)에서 인증되지 않은 원격 코드 실행을 가능하게 하는 것으로 밝혀졌습니다.
Jia Tan은 악성 패키지를 은폐하기 위해 상당한 노력을 기울인 것으로 보입니다. 빌드 과정에서 자체 생성되도록 유도될 경우, systemd를 통한 SSHD 인증을 방해합니다. Red Hat이 상세히 설명한 바와 같이, 적절한 조건 하에서 이 방해는 공격자가 SSHD 인증을 우회하고 전체 시스템에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
Microsoft는 시스템의 취약점 사례를 스캔하고 그 영향을 완화하는 방법에 대한 포괄적인 지침을 공개했으며, CISA의 권고 긴급 조치에는 영향을 받은 개발자와 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같은 안전성이 검증된 버전으로 다운그레이드해야 한다는 내용이 포함됩니다.
이러한 유형의 공격을 방지하는 것은 특히 소프트웨어에서 오픈소스 구성 요소를 사용할 때 공급망 보안이 거의 보장되지 않고 투명하지 않기 때문에 믿기 어려울 정도로 어렵습니다. 우리는 이미 소프트웨어 공급망에서 의도치 않은 오류를 해결해 왔지만, 이 위험은 오픈소스 보안을 위협하기 위해 의도적으로 악의적으로 심어진 취약점으로 확대되었습니다.
대부분의 개발자는 뛰어난 보안 의식, 건전한 보안 지식, 그리고 약간의 편집증적 경계심을 갖추어야만 이러한 유형의 공격을 막을 수 있습니다. 위협 행위자의 사고방식이 거의 필수적이라고 할 수 있습니다. 그러나 핵심 고려사항은 항상 내부적으로 통제되는 (즉, 오픈소스가 아닌) 소스 코드 저장소에 집중되어야 합니다. 이러한 저장소는 검증된 관련 보안 지식을 보유한 사람만 접근할 수 있어야 합니다. 앱보안(AppSec) 전문가들은 보안 경험이 풍부한 개발자만이 최종 마스터 브랜치에 변경 사항을 적용할 수 있도록 하는, 지점 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원봉사 관리자들은 영웅이지만, 안전한 소프트웨어를 유지하기 위해서는 마을 전체의 노력이 필요합니다.
소프트웨어 기술 분야에 종사하지 않는 사람들에게는, 열정적인 자원봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 꼼꼼히 유지 관리한다는 개념이 이해하기 어려운 일일 수 있습니다. 그러나 이는 오픈소스 개발의 본질이며, 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 요소로 남아 있습니다.
오픈소스 소프트웨어는 사실상 모든 기업의 디지털 생태계에서 핵심 구성 요소이며, 신뢰할 수 있는 유지보수자(대부분 선의로 행동함)들은 기술적 진보와 무결성을 위한 이타적인 노력에서 진정한 영웅적 역할을 합니다. 그러나 그들에게 고립된 상태로 제공하도록 요구하는 것은 어처구니없는 일입니다. DevSecOps가 주목받는 이 시대에 보안은 공동의 책임이며, 모든 개발자는 일상 업무에서 마주칠 가능성이 높은 보안 문제를 해결할 수 있는 지식과 적절한 도구를 갖추어야 합니다. 보안 의식과 실무 능력은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 이끌어내는 것은 보안 책임자들의 몫입니다.
오늘 바로 귀사의 기업에 번성하는 안전 문화를 구축하십시오. 상세한 교육 과정 를 통해 오늘 바로 Secure Code Warrior 내 Secure Code Warrior 문화를 Secure Code Warrior.
중대한 보안 취약점인 CVE-2024-3094가 주요 리눅스 배포판에서 사용되는 데이터 압축 라이브러리 XZ Utils에서 발견되었습니다. 이 취약점은 위협 행위자에 의해 백도어로 도입되었으며, 원격 코드 실행 가능성을 허용하는 고위험 문제로 소프트웨어 빌드 프로세스에 심각한 위험을 초래합니다. 이 결함은 Fedora Rawhide의 초기 버전(5.6.0 및 5.6.1) XZ Utils에 영향을 미칩니다. 기업들은 패치 적용을 시급히 권고받습니다. 이번 사건은 오픈소스 소프트웨어 유지보수에서 커뮤니티 자원봉사자들의 결정적 역할을 부각시키며, 소프트웨어 개발 주기 내 보안 관행 및 접근 통제의 개선 필요성을 강조합니다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
악성 소프트웨어 공급망 침해가 발견된 후 사이버 보안 업계는 다시 한번 최고 수준의 경계 태세에 돌입했다. 주요 리눅스 배포판에 포함된 XZ 유틸리티 데이터 압축 라이브러리에 영향을 미치는 이 보안 취약점은 CVE-2024-3094로 기록되었으며, 한때 신뢰받던 자원봉사 시스템 관리자가 의도적으로 삽입한 백도어에 해당합니다. 이 취약점은 성공적으로 악용될 경우 원격 코드 실행(RCE)을 가능하게 하며, 기존 소프트웨어 빌드 프로세스에 심각한 피해를 입힐 수 있는 중대한 문제입니다.
다행히도 다른 관리자가 이 위협을 발견하여 악성 코드가 안정적인 리눅스 버전으로 유입되기 전에 차단했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0 및 5.6.1을 사용하기 시작한 사용자에게는 여전히 문제가 되며, 조직들은 긴급 수준으로 패치 적용을 서둘러야 합니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필로 볼 때 이는 SolarWinds를 능가할 수도 있는 사상 최악의 공급망 공격 중 하나가 되었을 것입니다.
중요한 시스템 유지 관리에 커뮤니티 자원봉사자에 대한 의존도는 광범위하게 문서화되어 있지만, 이 사건과 같은 심각한 문제가 표면화되기 전까지는 거의 논의되지 않습니다. 그들의 끊임없는 노력은 오픈소스 소프트웨어 유지보수에 필수적이지만, 이는 개발자 수준의 보안 역량과 보안 의식을 중시할 필요성을 강조할 뿐만 아니라, 소프트웨어 저장소 주변의 접근 통제를 강화해야 함을 시사합니다.
XZ 유틸리티 백도어란 무엇이며 어떻게 무력화하나요?
3월 29일, 레드햇은 페도라 리눅스 4.0 및 페도라 로우하이드 사용자에게 긴급 보안 경보를 발령했습니다. 최신 버전의 'XZ' 압축 도구 및 라이브러리에 악성 코드가 포함되어 있으며, 이는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보인다는 내용입니다. 이 악성 코드가 어떻게 유입되었는지는 향후 집중적인 연구 대상이 될 것이지만, 이는 "Jia Tan"이라는 가명의 공격자가 수행한 정교하고 인내심 있는 수년간의 사회공학적 작업의 결과입니다. 이 인물은 수많은 시간을 들여 다른 관리자들의 신뢰를 얻었고, 2년 이상 XZ Utils 프로젝트와 커뮤니티에 합법적인 기여를 한 끝에, 여러 소크퍼펫 계정이 자원봉사 프로젝트 소유자 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후 '신뢰할 수 있는 관리자' 지위를 획득했습니다:
이 특이한 사례는 고도로 기술적인 인물조차도 일반적으로 기술력이 부족한 대상에게만 사용되는 전술의 희생양이 될 수 있음을 보여주는 대표적인 사례이며, 역할 기반의 정밀한 보안 인식 교육이 필요함을 입증합니다. 이는 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 관리자인 안드레스 프룬트의 호기심과 빠른 판단력 덕분이었죠. 안드레스 프룬트( Andres Freund) 덕분에 백도어가 발견되고 버전이 롤백되어 최근 가장 파괴적일 수 있었던 공급망 공격이 저지되었습니다.
이 백도어 자체는 공식적으로 NIST 레지스트리에서 가장 높은 심각도 등급의 보안 취약점으로 분류됩니다. 원래는 SSH 인증 우회를 가능하게 하는 것으로 추정되었으나, 추가 조사 결과 취약한 리눅스 시스템(Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전 포함)에서 인증되지 않은 원격 코드 실행을 가능하게 하는 것으로 밝혀졌습니다.
Jia Tan은 악성 패키지를 은폐하기 위해 상당한 노력을 기울인 것으로 보입니다. 빌드 과정에서 자체 생성되도록 유도될 경우, systemd를 통한 SSHD 인증을 방해합니다. Red Hat이 상세히 설명한 바와 같이, 적절한 조건 하에서 이 방해는 공격자가 SSHD 인증을 우회하고 전체 시스템에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
Microsoft는 시스템의 취약점 사례를 스캔하고 그 영향을 완화하는 방법에 대한 포괄적인 지침을 공개했으며, CISA의 권고 긴급 조치에는 영향을 받은 개발자와 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같은 안전성이 검증된 버전으로 다운그레이드해야 한다는 내용이 포함됩니다.
이러한 유형의 공격을 방지하는 것은 특히 소프트웨어에서 오픈소스 구성 요소를 사용할 때 공급망 보안이 거의 보장되지 않고 투명하지 않기 때문에 믿기 어려울 정도로 어렵습니다. 우리는 이미 소프트웨어 공급망에서 의도치 않은 오류를 해결해 왔지만, 이 위험은 오픈소스 보안을 위협하기 위해 의도적으로 악의적으로 심어진 취약점으로 확대되었습니다.
대부분의 개발자는 뛰어난 보안 의식, 건전한 보안 지식, 그리고 약간의 편집증적 경계심을 갖추어야만 이러한 유형의 공격을 막을 수 있습니다. 위협 행위자의 사고방식이 거의 필수적이라고 할 수 있습니다. 그러나 핵심 고려사항은 항상 내부적으로 통제되는 (즉, 오픈소스가 아닌) 소스 코드 저장소에 집중되어야 합니다. 이러한 저장소는 검증된 관련 보안 지식을 보유한 사람만 접근할 수 있어야 합니다. 앱보안(AppSec) 전문가들은 보안 경험이 풍부한 개발자만이 최종 마스터 브랜치에 변경 사항을 적용할 수 있도록 하는, 지점 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원봉사 관리자들은 영웅이지만, 안전한 소프트웨어를 유지하기 위해서는 마을 전체의 노력이 필요합니다.
소프트웨어 기술 분야에 종사하지 않는 사람들에게는, 열정적인 자원봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 꼼꼼히 유지 관리한다는 개념이 이해하기 어려운 일일 수 있습니다. 그러나 이는 오픈소스 개발의 본질이며, 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 요소로 남아 있습니다.
오픈소스 소프트웨어는 사실상 모든 기업의 디지털 생태계에서 핵심 구성 요소이며, 신뢰할 수 있는 유지보수자(대부분 선의로 행동함)들은 기술적 진보와 무결성을 위한 이타적인 노력에서 진정한 영웅적 역할을 합니다. 그러나 그들에게 고립된 상태로 제공하도록 요구하는 것은 어처구니없는 일입니다. DevSecOps가 주목받는 이 시대에 보안은 공동의 책임이며, 모든 개발자는 일상 업무에서 마주칠 가능성이 높은 보안 문제를 해결할 수 있는 지식과 적절한 도구를 갖추어야 합니다. 보안 의식과 실무 능력은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 이끌어내는 것은 보안 책임자들의 몫입니다.
오늘 바로 귀사의 기업에 번성하는 안전 문화를 구축하십시오. 상세한 교육 과정 를 통해 오늘 바로 Secure Code Warrior 내 Secure Code Warrior 문화를 Secure Code Warrior.
악성 소프트웨어 공급망 침해가 발견된 후 사이버 보안 업계는 다시 한번 최고 수준의 경계 태세에 돌입했다. 주요 리눅스 배포판에 포함된 XZ 유틸리티 데이터 압축 라이브러리에 영향을 미치는 이 보안 취약점은 CVE-2024-3094로 기록되었으며, 한때 신뢰받던 자원봉사 시스템 관리자가 의도적으로 삽입한 백도어에 해당합니다. 이 취약점은 성공적으로 악용될 경우 원격 코드 실행(RCE)을 가능하게 하며, 기존 소프트웨어 빌드 프로세스에 심각한 피해를 입힐 수 있는 중대한 문제입니다.
다행히도 다른 관리자가 이 위협을 발견하여 악성 코드가 안정적인 리눅스 버전으로 유입되기 전에 차단했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0 및 5.6.1을 사용하기 시작한 사용자에게는 여전히 문제가 되며, 조직들은 긴급 수준으로 패치 적용을 서둘러야 합니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필로 볼 때 이는 SolarWinds를 능가할 수도 있는 사상 최악의 공급망 공격 중 하나가 되었을 것입니다.
중요한 시스템 유지 관리에 커뮤니티 자원봉사자에 대한 의존도는 광범위하게 문서화되어 있지만, 이 사건과 같은 심각한 문제가 표면화되기 전까지는 거의 논의되지 않습니다. 그들의 끊임없는 노력은 오픈소스 소프트웨어 유지보수에 필수적이지만, 이는 개발자 수준의 보안 역량과 보안 의식을 중시할 필요성을 강조할 뿐만 아니라, 소프트웨어 저장소 주변의 접근 통제를 강화해야 함을 시사합니다.
XZ 유틸리티 백도어란 무엇이며 어떻게 무력화하나요?
3월 29일, 레드햇은 페도라 리눅스 4.0 및 페도라 로우하이드 사용자에게 긴급 보안 경보를 발령했습니다. 최신 버전의 'XZ' 압축 도구 및 라이브러리에 악성 코드가 포함되어 있으며, 이는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보인다는 내용입니다. 이 악성 코드가 어떻게 유입되었는지는 향후 집중적인 연구 대상이 될 것이지만, 이는 "Jia Tan"이라는 가명의 공격자가 수행한 정교하고 인내심 있는 수년간의 사회공학적 작업의 결과입니다. 이 인물은 수많은 시간을 들여 다른 관리자들의 신뢰를 얻었고, 2년 이상 XZ Utils 프로젝트와 커뮤니티에 합법적인 기여를 한 끝에, 여러 소크퍼펫 계정이 자원봉사 프로젝트 소유자 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후 '신뢰할 수 있는 관리자' 지위를 획득했습니다:
이 특이한 사례는 고도로 기술적인 인물조차도 일반적으로 기술력이 부족한 대상에게만 사용되는 전술의 희생양이 될 수 있음을 보여주는 대표적인 사례이며, 역할 기반의 정밀한 보안 인식 교육이 필요함을 입증합니다. 이는 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 관리자인 안드레스 프룬트의 호기심과 빠른 판단력 덕분이었죠. 안드레스 프룬트( Andres Freund) 덕분에 백도어가 발견되고 버전이 롤백되어 최근 가장 파괴적일 수 있었던 공급망 공격이 저지되었습니다.
이 백도어 자체는 공식적으로 NIST 레지스트리에서 가장 높은 심각도 등급의 보안 취약점으로 분류됩니다. 원래는 SSH 인증 우회를 가능하게 하는 것으로 추정되었으나, 추가 조사 결과 취약한 리눅스 시스템(Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전 포함)에서 인증되지 않은 원격 코드 실행을 가능하게 하는 것으로 밝혀졌습니다.
Jia Tan은 악성 패키지를 은폐하기 위해 상당한 노력을 기울인 것으로 보입니다. 빌드 과정에서 자체 생성되도록 유도될 경우, systemd를 통한 SSHD 인증을 방해합니다. Red Hat이 상세히 설명한 바와 같이, 적절한 조건 하에서 이 방해는 공격자가 SSHD 인증을 우회하고 전체 시스템에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
Microsoft는 시스템의 취약점 사례를 스캔하고 그 영향을 완화하는 방법에 대한 포괄적인 지침을 공개했으며, CISA의 권고 긴급 조치에는 영향을 받은 개발자와 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같은 안전성이 검증된 버전으로 다운그레이드해야 한다는 내용이 포함됩니다.
이러한 유형의 공격을 방지하는 것은 특히 소프트웨어에서 오픈소스 구성 요소를 사용할 때 공급망 보안이 거의 보장되지 않고 투명하지 않기 때문에 믿기 어려울 정도로 어렵습니다. 우리는 이미 소프트웨어 공급망에서 의도치 않은 오류를 해결해 왔지만, 이 위험은 오픈소스 보안을 위협하기 위해 의도적으로 악의적으로 심어진 취약점으로 확대되었습니다.
대부분의 개발자는 뛰어난 보안 의식, 건전한 보안 지식, 그리고 약간의 편집증적 경계심을 갖추어야만 이러한 유형의 공격을 막을 수 있습니다. 위협 행위자의 사고방식이 거의 필수적이라고 할 수 있습니다. 그러나 핵심 고려사항은 항상 내부적으로 통제되는 (즉, 오픈소스가 아닌) 소스 코드 저장소에 집중되어야 합니다. 이러한 저장소는 검증된 관련 보안 지식을 보유한 사람만 접근할 수 있어야 합니다. 앱보안(AppSec) 전문가들은 보안 경험이 풍부한 개발자만이 최종 마스터 브랜치에 변경 사항을 적용할 수 있도록 하는, 지점 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원봉사 관리자들은 영웅이지만, 안전한 소프트웨어를 유지하기 위해서는 마을 전체의 노력이 필요합니다.
소프트웨어 기술 분야에 종사하지 않는 사람들에게는, 열정적인 자원봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 꼼꼼히 유지 관리한다는 개념이 이해하기 어려운 일일 수 있습니다. 그러나 이는 오픈소스 개발의 본질이며, 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 요소로 남아 있습니다.
오픈소스 소프트웨어는 사실상 모든 기업의 디지털 생태계에서 핵심 구성 요소이며, 신뢰할 수 있는 유지보수자(대부분 선의로 행동함)들은 기술적 진보와 무결성을 위한 이타적인 노력에서 진정한 영웅적 역할을 합니다. 그러나 그들에게 고립된 상태로 제공하도록 요구하는 것은 어처구니없는 일입니다. DevSecOps가 주목받는 이 시대에 보안은 공동의 책임이며, 모든 개발자는 일상 업무에서 마주칠 가능성이 높은 보안 문제를 해결할 수 있는 지식과 적절한 도구를 갖추어야 합니다. 보안 의식과 실무 능력은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 이끌어내는 것은 보안 책임자들의 몫입니다.
오늘 바로 귀사의 기업에 번성하는 안전 문화를 구축하십시오. 상세한 교육 과정 를 통해 오늘 바로 Secure Code Warrior 내 Secure Code Warrior 문화를 Secure Code Warrior.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
악성 소프트웨어 공급망 침해가 발견된 후 사이버 보안 업계는 다시 한번 최고 수준의 경계 태세에 돌입했다. 주요 리눅스 배포판에 포함된 XZ 유틸리티 데이터 압축 라이브러리에 영향을 미치는 이 보안 취약점은 CVE-2024-3094로 기록되었으며, 한때 신뢰받던 자원봉사 시스템 관리자가 의도적으로 삽입한 백도어에 해당합니다. 이 취약점은 성공적으로 악용될 경우 원격 코드 실행(RCE)을 가능하게 하며, 기존 소프트웨어 빌드 프로세스에 심각한 피해를 입힐 수 있는 중대한 문제입니다.
다행히도 다른 관리자가 이 위협을 발견하여 악성 코드가 안정적인 리눅스 버전으로 유입되기 전에 차단했지만, Fedora Rawhide의 일부로 XZ Utils 버전 5.6.0 및 5.6.1을 사용하기 시작한 사용자에게는 여전히 문제가 되며, 조직들은 긴급 수준으로 패치 적용을 서둘러야 합니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필로 볼 때 이는 SolarWinds를 능가할 수도 있는 사상 최악의 공급망 공격 중 하나가 되었을 것입니다.
중요한 시스템 유지 관리에 커뮤니티 자원봉사자에 대한 의존도는 광범위하게 문서화되어 있지만, 이 사건과 같은 심각한 문제가 표면화되기 전까지는 거의 논의되지 않습니다. 그들의 끊임없는 노력은 오픈소스 소프트웨어 유지보수에 필수적이지만, 이는 개발자 수준의 보안 역량과 보안 의식을 중시할 필요성을 강조할 뿐만 아니라, 소프트웨어 저장소 주변의 접근 통제를 강화해야 함을 시사합니다.
XZ 유틸리티 백도어란 무엇이며 어떻게 무력화하나요?
3월 29일, 레드햇은 페도라 리눅스 4.0 및 페도라 로우하이드 사용자에게 긴급 보안 경보를 발령했습니다. 최신 버전의 'XZ' 압축 도구 및 라이브러리에 악성 코드가 포함되어 있으며, 이는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보인다는 내용입니다. 이 악성 코드가 어떻게 유입되었는지는 향후 집중적인 연구 대상이 될 것이지만, 이는 "Jia Tan"이라는 가명의 공격자가 수행한 정교하고 인내심 있는 수년간의 사회공학적 작업의 결과입니다. 이 인물은 수많은 시간을 들여 다른 관리자들의 신뢰를 얻었고, 2년 이상 XZ Utils 프로젝트와 커뮤니티에 합법적인 기여를 한 끝에, 여러 소크퍼펫 계정이 자원봉사 프로젝트 소유자 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후 '신뢰할 수 있는 관리자' 지위를 획득했습니다:
이 특이한 사례는 고도로 기술적인 인물조차도 일반적으로 기술력이 부족한 대상에게만 사용되는 전술의 희생양이 될 수 있음을 보여주는 대표적인 사례이며, 역할 기반의 정밀한 보안 인식 교육이 필요함을 입증합니다. 이는 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 관리자인 안드레스 프룬트의 호기심과 빠른 판단력 덕분이었죠. 안드레스 프룬트( Andres Freund) 덕분에 백도어가 발견되고 버전이 롤백되어 최근 가장 파괴적일 수 있었던 공급망 공격이 저지되었습니다.
이 백도어 자체는 공식적으로 NIST 레지스트리에서 가장 높은 심각도 등급의 보안 취약점으로 분류됩니다. 원래는 SSH 인증 우회를 가능하게 하는 것으로 추정되었으나, 추가 조사 결과 취약한 리눅스 시스템(Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전 포함)에서 인증되지 않은 원격 코드 실행을 가능하게 하는 것으로 밝혀졌습니다.
Jia Tan은 악성 패키지를 은폐하기 위해 상당한 노력을 기울인 것으로 보입니다. 빌드 과정에서 자체 생성되도록 유도될 경우, systemd를 통한 SSHD 인증을 방해합니다. Red Hat이 상세히 설명한 바와 같이, 적절한 조건 하에서 이 방해는 공격자가 SSHD 인증을 우회하고 전체 시스템에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
Microsoft는 시스템의 취약점 사례를 스캔하고 그 영향을 완화하는 방법에 대한 포괄적인 지침을 공개했으며, CISA의 권고 긴급 조치에는 영향을 받은 개발자와 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같은 안전성이 검증된 버전으로 다운그레이드해야 한다는 내용이 포함됩니다.
이러한 유형의 공격을 방지하는 것은 특히 소프트웨어에서 오픈소스 구성 요소를 사용할 때 공급망 보안이 거의 보장되지 않고 투명하지 않기 때문에 믿기 어려울 정도로 어렵습니다. 우리는 이미 소프트웨어 공급망에서 의도치 않은 오류를 해결해 왔지만, 이 위험은 오픈소스 보안을 위협하기 위해 의도적으로 악의적으로 심어진 취약점으로 확대되었습니다.
대부분의 개발자는 뛰어난 보안 의식, 건전한 보안 지식, 그리고 약간의 편집증적 경계심을 갖추어야만 이러한 유형의 공격을 막을 수 있습니다. 위협 행위자의 사고방식이 거의 필수적이라고 할 수 있습니다. 그러나 핵심 고려사항은 항상 내부적으로 통제되는 (즉, 오픈소스가 아닌) 소스 코드 저장소에 집중되어야 합니다. 이러한 저장소는 검증된 관련 보안 지식을 보유한 사람만 접근할 수 있어야 합니다. 앱보안(AppSec) 전문가들은 보안 경험이 풍부한 개발자만이 최종 마스터 브랜치에 변경 사항을 적용할 수 있도록 하는, 지점 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원봉사 관리자들은 영웅이지만, 안전한 소프트웨어를 유지하기 위해서는 마을 전체의 노력이 필요합니다.
소프트웨어 기술 분야에 종사하지 않는 사람들에게는, 열정적인 자원봉사자 커뮤니티가 자신의 시간에 중요한 시스템을 꼼꼼히 유지 관리한다는 개념이 이해하기 어려운 일일 수 있습니다. 그러나 이는 오픈소스 개발의 본질이며, 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 요소로 남아 있습니다.
오픈소스 소프트웨어는 사실상 모든 기업의 디지털 생태계에서 핵심 구성 요소이며, 신뢰할 수 있는 유지보수자(대부분 선의로 행동함)들은 기술적 진보와 무결성을 위한 이타적인 노력에서 진정한 영웅적 역할을 합니다. 그러나 그들에게 고립된 상태로 제공하도록 요구하는 것은 어처구니없는 일입니다. DevSecOps가 주목받는 이 시대에 보안은 공동의 책임이며, 모든 개발자는 일상 업무에서 마주칠 가능성이 높은 보안 문제를 해결할 수 있는 지식과 적절한 도구를 갖추어야 합니다. 보안 의식과 실무 능력은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 이끌어내는 것은 보안 책임자들의 몫입니다.
오늘 바로 귀사의 기업에 번성하는 안전 문화를 구축하십시오. 상세한 교육 과정 를 통해 오늘 바로 Secure Code Warrior 내 Secure Code Warrior 문화를 Secure Code Warrior.
%20(1).avif)
.avif)
