리눅스용 XZ 유틸리티의 백도어는 더 광범위한 공급망 보안 문제로 이어지며, 이를 막기 위해서는 공동체 정신 이상의 대책이 필요합니다.
사이버 보안 업계는 소프트웨어 공급망에서 발견된 교묘한 침해로 인해 다시 최고 경계 태세에 돌입했다. 이 취약점은 주요 리눅스 배포판에 포함된 데이터 압축 라이브러리인 XZ Utils에 영향을 미치며, CVE-2024-3094 코드로 등록되었습니다. 이는 한때 신뢰받던 시스템 유지보수자가 의도적으로 삽입한 백도어에 기인합니다. 이 취약점은 적절히 악용될 경우 원격 코드 실행(RCE)을 허용할 수 있어, 기존 소프트웨어 구축 프로세스에 심각한 피해를 초래할 수 있는 매우 중대한 문제입니다.
다행히도 다른 유지보수자가 악성 코드가 리눅스 안정판에 포함되기 전에 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 5.6.0 및 5.6.1 버전을 실행하기 시작한 사용자에게는 여전히 문제가 되며, 조직들은 긴급 수준으로 패치 적용을 권고받고 있습니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필로 인해 역사상 가장 파괴적인 공급망 공격 중 하나가 되었을 것이며, 아마도 SolarWinds를 능가했을 수도 있습니다.
커뮤니티 자원봉사자들이 중요한 시스템을 유지하는 데 의존하는 것은 널리 알려져 있지만, 이 사건과 같은 큰 영향을 미치는 문제가 드러나기 전까지는 거의 논의되지 않습니다. 오픈소스 소프트웨어 유지보수에 그들의 끊임없는 노력이 필수적임에도 불구하고, 이는 개발자들이 보안 기술과 인식에 특별히 주의를 기울여야 할 필요성을 드러내며, 소프트웨어 저장소에 대한 접근 통제를 강화해야 함을 시사합니다.
XZ Utils의 백도어란 무엇이며 어떻게 완화할 수 있나요?
3월 29일, 레드햇은 긴급 보안 경보를 발표하여 Fedora Linux 40 및 Fedora Rawhide 사용자에게 최신 버전의 'XZ' 압축 라이브러리 및 도구에 악성 코드가 포함되어 있음을 알렸습니다. 이 코드는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보입니다. 이 악성 코드가 주입된 방식은 향후 집중적인 연구 대상이 될 가능성이 높지만, 이는 위협 행위자, 즉 'Jia Tan'이라는 가명의 공격자가 수년에 걸쳐 정교하고 인내심 있게 수행한 사회공학적 공학의 산물입니다. 이 인물은 2년 이상 XZ 유틸리티 프로젝트 및 커뮤니티에 합법적인 기여를 하며 다른 유지보수자들의 신뢰를 얻기 위해 수많은 시간을 투자했고, 결국 여러 소크퍼펫 계정이 프로젝트의 자원봉사자 소유주 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후 '신뢰받는 유지보수자' 지위를 획득했습니다:
이 특이한 사례는 고도로 기술적인 전문가조차도 일반적으로 기술 지식이 부족한 사람들을 대상으로 하는 전술의 희생양이 될 수 있음을 보여주는 훌륭한 예시이며, 이는 보안 인식을 높이기 위한 정확하고 직무 기반의 교육이 필요함을 입증합니다. 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 유지보수 책임자인 안드레스 프룬트( Andrés Freund)의 호기심과 빠른 판단력 덕분에 이 백도어가 발견되고 해당 버전들이 무효화되어, 최근 몇 년간 가장 파괴적일 수 있었던 공급망 공격이 막을 내릴 수 있었습니다.
해당 백도어 자체는 NIST 레지스트리에서 가장 심각한 수준의 취약점으로 공식적으로 추적되고 있습니다. 초기에는 SSH 인증 우회 가능성으로 여겨졌으나, 후속 조사 결과 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE microOS, openSUSE Tumbleweed 및 일부 Debian 버전을 포함한 취약한 Linux 시스템에서 인증 없이 원격 코드 실행이 가능함이 밝혀졌습니다.
Jia Tan은 악성 패키지를 숨기기 위해 모든 노력을 기울인 것으로 보입니다. 이 패키지는 생성 과정에서 자동 빌드되도록 활성화되면 systemd를 통한 SSHd 인증을 방해합니다. Red Hat의 상세 보고서에 따르면, 적절한 조건 하에서 이러한 간섭은 공격자가 SSHd 인증을 우회하고 시스템 전체에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
Microsoft 등 여러 기관은 시스템 분석을 통한 악용 사례 탐지 및 영향 완화 방법에 대한 종합 가이드를 공개했으며, CISA가 권고하는 즉각적인 조치는 개발자와 영향을 받은 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같이 취약점이 없는 버전으로 변경하는 것입니다.
이러한 유형의 공격을 방지하는 것은 특히 소프트웨어에 오픈소스 구성 요소를 사용할 때 공급망 보안과 관련하여 보장 및 투명성이 매우 부족하기 때문에 극히 어렵습니다. 우리는 이미 소프트웨어 공급망의 우발적 결함을 다루어 왔지만, 이 위험은 증가했으며 악의적인 목적으로 오픈소스 코드의 보안을 침해하기 위해 의도적으로 생성된 보안 결함까지 포함합니다.
대부분의 개발자는 강력한 보안 의식, 탄탄한 보안 지식, 그리고 약간의 편집증적 경계심이 없다면 이러한 유형의 공격을 막을 수 없습니다. 위협 행위자의 사고방식이 필요한 경우에 가깝습니다. 그러나 핵심 고려사항은 항상 내부적으로 통제되는 소스 코드 저장소(즉, 오픈소스가 아닌)에 집중되어야 합니다. 해당 저장소는 검증된 관련 보안 역량을 보유한 인원만 접근 가능해야 합니다. 애플리케이션 보안 전문가들은 보안 통제 수준을 지점 단위로 설정하는 것과 유사한 방식을 고려할 수 있습니다. 즉, 보안 전문 개발자만이 최신 마스터 브랜치에 변경 사항을 적용할 수 있도록 허용하는 방식입니다.
자원봉사 유지보수자들은 영웅이지만, 안전한 소프트웨어를 유지하려면 (한 마을이 필요할지도 모른다)
소프트웨어 엔지니어링 분야 외부에 있는 사람들에게는, 활발한 자원봉사자 커뮤니티가 여가 시간에 중요한 시스템을 꼼꼼히 유지 관리한다는 개념이 이해하기 어려운 일입니다. 그러나 이것이 바로 오픈소스 개발의 본질이며, 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 영역으로 남아 있습니다.
오픈소스 소프트웨어는 사실상 모든 기업의 디지털 생태계에서 핵심적인 부분을 차지하며, 이를 유지 관리하는 사람들(대부분 선의로 행동함)은 기술적 진보와 무결성을 추구하는 이타적인 노력에서 진정한 영웅적입니다. 그러나 이들을 고립된 상태로 유지하는 것은 터무니없는 일입니다. DevSecOps 중심의 이 시대에 보안은 공유된 책임이며, 모든 개발자는 업무 중 마주칠 가능성이 있는 보안 문제를 해결할 수 있는 적절한 지식과 도구를 갖추어야 합니다. 보안 지식과 실무 능력은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 주도하는 것은 보안 리더들의 몫입니다.
오늘 바로 포괄적인 정보로 조직 내 번영하는 안전 문화를 구축하세요 Secure Code Warrior의 Secure Code Warrior의 교육 과정으로
주요 리눅스 배포판에서 사용되는 데이터 압축 라이브러리 XZ Utils에 위협 행위자가 백도어를 통해 도입한 중대한 취약점(CVE-2024-3094)이 발견되었습니다. 이 심각한 문제로 인해 원격 코드 실행이 가능해져 소프트웨어 빌드 프로세스에 중대한 위험을 초래합니다. 이 결함은 Fedora Rawhide의 초기 버전(5.6.0 및 5.6.1) XZ Utils에 영향을 미치며, 조직들은 긴급히 패치를 적용해야 합니다. 이번 사건은 오픈소스 소프트웨어 유지보수에서 커뮤니티 자원봉사자들의 핵심적 역할을 부각시키며, 소프트웨어 개발 라이프사이클 전반에 걸쳐 보안 관행과 접근 통제를 강화할 필요성을 강조합니다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
사이버 보안 업계는 소프트웨어 공급망에서 발견된 교묘한 침해로 인해 다시 최고 경계 태세에 돌입했다. 이 취약점은 주요 리눅스 배포판에 포함된 데이터 압축 라이브러리인 XZ Utils에 영향을 미치며, CVE-2024-3094 코드로 등록되었습니다. 이는 한때 신뢰받던 시스템 유지보수자가 의도적으로 삽입한 백도어에 기인합니다. 이 취약점은 적절히 악용될 경우 원격 코드 실행(RCE)을 허용할 수 있어, 기존 소프트웨어 구축 프로세스에 심각한 피해를 초래할 수 있는 매우 중대한 문제입니다.
다행히도 다른 유지보수자가 악성 코드가 리눅스 안정판에 포함되기 전에 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 5.6.0 및 5.6.1 버전을 실행하기 시작한 사용자에게는 여전히 문제가 되며, 조직들은 긴급 수준으로 패치 적용을 권고받고 있습니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필로 인해 역사상 가장 파괴적인 공급망 공격 중 하나가 되었을 것이며, 아마도 SolarWinds를 능가했을 수도 있습니다.
커뮤니티 자원봉사자들이 중요한 시스템을 유지하는 데 의존하는 것은 널리 알려져 있지만, 이 사건과 같은 큰 영향을 미치는 문제가 드러나기 전까지는 거의 논의되지 않습니다. 오픈소스 소프트웨어 유지보수에 그들의 끊임없는 노력이 필수적임에도 불구하고, 이는 개발자들이 보안 기술과 인식에 특별히 주의를 기울여야 할 필요성을 드러내며, 소프트웨어 저장소에 대한 접근 통제를 강화해야 함을 시사합니다.
XZ Utils의 백도어란 무엇이며 어떻게 완화할 수 있나요?
3월 29일, 레드햇은 긴급 보안 경보를 발표하여 Fedora Linux 40 및 Fedora Rawhide 사용자에게 최신 버전의 'XZ' 압축 라이브러리 및 도구에 악성 코드가 포함되어 있음을 알렸습니다. 이 코드는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보입니다. 이 악성 코드가 주입된 방식은 향후 집중적인 연구 대상이 될 가능성이 높지만, 이는 위협 행위자, 즉 'Jia Tan'이라는 가명의 공격자가 수년에 걸쳐 정교하고 인내심 있게 수행한 사회공학적 공학의 산물입니다. 이 인물은 2년 이상 XZ 유틸리티 프로젝트 및 커뮤니티에 합법적인 기여를 하며 다른 유지보수자들의 신뢰를 얻기 위해 수많은 시간을 투자했고, 결국 여러 소크퍼펫 계정이 프로젝트의 자원봉사자 소유주 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후 '신뢰받는 유지보수자' 지위를 획득했습니다:
이 특이한 사례는 고도로 기술적인 전문가조차도 일반적으로 기술 지식이 부족한 사람들을 대상으로 하는 전술의 희생양이 될 수 있음을 보여주는 훌륭한 예시이며, 이는 보안 인식을 높이기 위한 정확하고 직무 기반의 교육이 필요함을 입증합니다. 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 유지보수 책임자인 안드레스 프룬트( Andrés Freund)의 호기심과 빠른 판단력 덕분에 이 백도어가 발견되고 해당 버전들이 무효화되어, 최근 몇 년간 가장 파괴적일 수 있었던 공급망 공격이 막을 내릴 수 있었습니다.
해당 백도어 자체는 NIST 레지스트리에서 가장 심각한 수준의 취약점으로 공식적으로 추적되고 있습니다. 초기에는 SSH 인증 우회 가능성으로 여겨졌으나, 후속 조사 결과 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE microOS, openSUSE Tumbleweed 및 일부 Debian 버전을 포함한 취약한 Linux 시스템에서 인증 없이 원격 코드 실행이 가능함이 밝혀졌습니다.
Jia Tan은 악성 패키지를 숨기기 위해 모든 노력을 기울인 것으로 보입니다. 이 패키지는 생성 과정에서 자동 빌드되도록 활성화되면 systemd를 통한 SSHd 인증을 방해합니다. Red Hat의 상세 보고서에 따르면, 적절한 조건 하에서 이러한 간섭은 공격자가 SSHd 인증을 우회하고 시스템 전체에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
Microsoft 등 여러 기관은 시스템 분석을 통한 악용 사례 탐지 및 영향 완화 방법에 대한 종합 가이드를 공개했으며, CISA가 권고하는 즉각적인 조치는 개발자와 영향을 받은 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같이 취약점이 없는 버전으로 변경하는 것입니다.
이러한 유형의 공격을 방지하는 것은 특히 소프트웨어에 오픈소스 구성 요소를 사용할 때 공급망 보안과 관련하여 보장 및 투명성이 매우 부족하기 때문에 극히 어렵습니다. 우리는 이미 소프트웨어 공급망의 우발적 결함을 다루어 왔지만, 이 위험은 증가했으며 악의적인 목적으로 오픈소스 코드의 보안을 침해하기 위해 의도적으로 생성된 보안 결함까지 포함합니다.
대부분의 개발자는 강력한 보안 의식, 탄탄한 보안 지식, 그리고 약간의 편집증적 경계심이 없다면 이러한 유형의 공격을 막을 수 없습니다. 위협 행위자의 사고방식이 필요한 경우에 가깝습니다. 그러나 핵심 고려사항은 항상 내부적으로 통제되는 소스 코드 저장소(즉, 오픈소스가 아닌)에 집중되어야 합니다. 해당 저장소는 검증된 관련 보안 역량을 보유한 인원만 접근 가능해야 합니다. 애플리케이션 보안 전문가들은 보안 통제 수준을 지점 단위로 설정하는 것과 유사한 방식을 고려할 수 있습니다. 즉, 보안 전문 개발자만이 최신 마스터 브랜치에 변경 사항을 적용할 수 있도록 허용하는 방식입니다.
자원봉사 유지보수자들은 영웅이지만, 안전한 소프트웨어를 유지하려면 (한 마을이 필요할지도 모른다)
소프트웨어 엔지니어링 분야 외부에 있는 사람들에게는, 활발한 자원봉사자 커뮤니티가 여가 시간에 중요한 시스템을 꼼꼼히 유지 관리한다는 개념이 이해하기 어려운 일입니다. 그러나 이것이 바로 오픈소스 개발의 본질이며, 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 영역으로 남아 있습니다.
오픈소스 소프트웨어는 사실상 모든 기업의 디지털 생태계에서 핵심적인 부분을 차지하며, 이를 유지 관리하는 사람들(대부분 선의로 행동함)은 기술적 진보와 무결성을 추구하는 이타적인 노력에서 진정한 영웅적입니다. 그러나 이들을 고립된 상태로 유지하는 것은 터무니없는 일입니다. DevSecOps 중심의 이 시대에 보안은 공유된 책임이며, 모든 개발자는 업무 중 마주칠 가능성이 있는 보안 문제를 해결할 수 있는 적절한 지식과 도구를 갖추어야 합니다. 보안 지식과 실무 능력은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 주도하는 것은 보안 리더들의 몫입니다.
오늘 바로 포괄적인 정보로 조직 내 번영하는 안전 문화를 구축하세요 Secure Code Warrior의 Secure Code Warrior의 교육 과정으로
사이버 보안 업계는 소프트웨어 공급망에서 발견된 교묘한 침해로 인해 다시 최고 경계 태세에 돌입했다. 이 취약점은 주요 리눅스 배포판에 포함된 데이터 압축 라이브러리인 XZ Utils에 영향을 미치며, CVE-2024-3094 코드로 등록되었습니다. 이는 한때 신뢰받던 시스템 유지보수자가 의도적으로 삽입한 백도어에 기인합니다. 이 취약점은 적절히 악용될 경우 원격 코드 실행(RCE)을 허용할 수 있어, 기존 소프트웨어 구축 프로세스에 심각한 피해를 초래할 수 있는 매우 중대한 문제입니다.
다행히도 다른 유지보수자가 악성 코드가 리눅스 안정판에 포함되기 전에 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 5.6.0 및 5.6.1 버전을 실행하기 시작한 사용자에게는 여전히 문제가 되며, 조직들은 긴급 수준으로 패치 적용을 권고받고 있습니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필로 인해 역사상 가장 파괴적인 공급망 공격 중 하나가 되었을 것이며, 아마도 SolarWinds를 능가했을 수도 있습니다.
커뮤니티 자원봉사자들이 중요한 시스템을 유지하는 데 의존하는 것은 널리 알려져 있지만, 이 사건과 같은 큰 영향을 미치는 문제가 드러나기 전까지는 거의 논의되지 않습니다. 오픈소스 소프트웨어 유지보수에 그들의 끊임없는 노력이 필수적임에도 불구하고, 이는 개발자들이 보안 기술과 인식에 특별히 주의를 기울여야 할 필요성을 드러내며, 소프트웨어 저장소에 대한 접근 통제를 강화해야 함을 시사합니다.
XZ Utils의 백도어란 무엇이며 어떻게 완화할 수 있나요?
3월 29일, 레드햇은 긴급 보안 경보를 발표하여 Fedora Linux 40 및 Fedora Rawhide 사용자에게 최신 버전의 'XZ' 압축 라이브러리 및 도구에 악성 코드가 포함되어 있음을 알렸습니다. 이 코드는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보입니다. 이 악성 코드가 주입된 방식은 향후 집중적인 연구 대상이 될 가능성이 높지만, 이는 위협 행위자, 즉 'Jia Tan'이라는 가명의 공격자가 수년에 걸쳐 정교하고 인내심 있게 수행한 사회공학적 공학의 산물입니다. 이 인물은 2년 이상 XZ 유틸리티 프로젝트 및 커뮤니티에 합법적인 기여를 하며 다른 유지보수자들의 신뢰를 얻기 위해 수많은 시간을 투자했고, 결국 여러 소크퍼펫 계정이 프로젝트의 자원봉사자 소유주 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후 '신뢰받는 유지보수자' 지위를 획득했습니다:
이 특이한 사례는 고도로 기술적인 전문가조차도 일반적으로 기술 지식이 부족한 사람들을 대상으로 하는 전술의 희생양이 될 수 있음을 보여주는 훌륭한 예시이며, 이는 보안 인식을 높이기 위한 정확하고 직무 기반의 교육이 필요함을 입증합니다. 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 유지보수 책임자인 안드레스 프룬트( Andrés Freund)의 호기심과 빠른 판단력 덕분에 이 백도어가 발견되고 해당 버전들이 무효화되어, 최근 몇 년간 가장 파괴적일 수 있었던 공급망 공격이 막을 내릴 수 있었습니다.
해당 백도어 자체는 NIST 레지스트리에서 가장 심각한 수준의 취약점으로 공식적으로 추적되고 있습니다. 초기에는 SSH 인증 우회 가능성으로 여겨졌으나, 후속 조사 결과 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE microOS, openSUSE Tumbleweed 및 일부 Debian 버전을 포함한 취약한 Linux 시스템에서 인증 없이 원격 코드 실행이 가능함이 밝혀졌습니다.
Jia Tan은 악성 패키지를 숨기기 위해 모든 노력을 기울인 것으로 보입니다. 이 패키지는 생성 과정에서 자동 빌드되도록 활성화되면 systemd를 통한 SSHd 인증을 방해합니다. Red Hat의 상세 보고서에 따르면, 적절한 조건 하에서 이러한 간섭은 공격자가 SSHd 인증을 우회하고 시스템 전체에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
Microsoft 등 여러 기관은 시스템 분석을 통한 악용 사례 탐지 및 영향 완화 방법에 대한 종합 가이드를 공개했으며, CISA가 권고하는 즉각적인 조치는 개발자와 영향을 받은 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같이 취약점이 없는 버전으로 변경하는 것입니다.
이러한 유형의 공격을 방지하는 것은 특히 소프트웨어에 오픈소스 구성 요소를 사용할 때 공급망 보안과 관련하여 보장 및 투명성이 매우 부족하기 때문에 극히 어렵습니다. 우리는 이미 소프트웨어 공급망의 우발적 결함을 다루어 왔지만, 이 위험은 증가했으며 악의적인 목적으로 오픈소스 코드의 보안을 침해하기 위해 의도적으로 생성된 보안 결함까지 포함합니다.
대부분의 개발자는 강력한 보안 의식, 탄탄한 보안 지식, 그리고 약간의 편집증적 경계심이 없다면 이러한 유형의 공격을 막을 수 없습니다. 위협 행위자의 사고방식이 필요한 경우에 가깝습니다. 그러나 핵심 고려사항은 항상 내부적으로 통제되는 소스 코드 저장소(즉, 오픈소스가 아닌)에 집중되어야 합니다. 해당 저장소는 검증된 관련 보안 역량을 보유한 인원만 접근 가능해야 합니다. 애플리케이션 보안 전문가들은 보안 통제 수준을 지점 단위로 설정하는 것과 유사한 방식을 고려할 수 있습니다. 즉, 보안 전문 개발자만이 최신 마스터 브랜치에 변경 사항을 적용할 수 있도록 허용하는 방식입니다.
자원봉사 유지보수자들은 영웅이지만, 안전한 소프트웨어를 유지하려면 (한 마을이 필요할지도 모른다)
소프트웨어 엔지니어링 분야 외부에 있는 사람들에게는, 활발한 자원봉사자 커뮤니티가 여가 시간에 중요한 시스템을 꼼꼼히 유지 관리한다는 개념이 이해하기 어려운 일입니다. 그러나 이것이 바로 오픈소스 개발의 본질이며, 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 영역으로 남아 있습니다.
오픈소스 소프트웨어는 사실상 모든 기업의 디지털 생태계에서 핵심적인 부분을 차지하며, 이를 유지 관리하는 사람들(대부분 선의로 행동함)은 기술적 진보와 무결성을 추구하는 이타적인 노력에서 진정한 영웅적입니다. 그러나 이들을 고립된 상태로 유지하는 것은 터무니없는 일입니다. DevSecOps 중심의 이 시대에 보안은 공유된 책임이며, 모든 개발자는 업무 중 마주칠 가능성이 있는 보안 문제를 해결할 수 있는 적절한 지식과 도구를 갖추어야 합니다. 보안 지식과 실무 능력은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 주도하는 것은 보안 리더들의 몫입니다.
오늘 바로 포괄적인 정보로 조직 내 번영하는 안전 문화를 구축하세요 Secure Code Warrior의 Secure Code Warrior의 교육 과정으로
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
사이버 보안 업계는 소프트웨어 공급망에서 발견된 교묘한 침해로 인해 다시 최고 경계 태세에 돌입했다. 이 취약점은 주요 리눅스 배포판에 포함된 데이터 압축 라이브러리인 XZ Utils에 영향을 미치며, CVE-2024-3094 코드로 등록되었습니다. 이는 한때 신뢰받던 시스템 유지보수자가 의도적으로 삽입한 백도어에 기인합니다. 이 취약점은 적절히 악용될 경우 원격 코드 실행(RCE)을 허용할 수 있어, 기존 소프트웨어 구축 프로세스에 심각한 피해를 초래할 수 있는 매우 중대한 문제입니다.
다행히도 다른 유지보수자가 악성 코드가 리눅스 안정판에 포함되기 전에 이 위협을 발견했지만, Fedora Rawhide의 일부로 XZ Utils 5.6.0 및 5.6.1 버전을 실행하기 시작한 사용자에게는 여전히 문제가 되며, 조직들은 긴급 수준으로 패치 적용을 권고받고 있습니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필로 인해 역사상 가장 파괴적인 공급망 공격 중 하나가 되었을 것이며, 아마도 SolarWinds를 능가했을 수도 있습니다.
커뮤니티 자원봉사자들이 중요한 시스템을 유지하는 데 의존하는 것은 널리 알려져 있지만, 이 사건과 같은 큰 영향을 미치는 문제가 드러나기 전까지는 거의 논의되지 않습니다. 오픈소스 소프트웨어 유지보수에 그들의 끊임없는 노력이 필수적임에도 불구하고, 이는 개발자들이 보안 기술과 인식에 특별히 주의를 기울여야 할 필요성을 드러내며, 소프트웨어 저장소에 대한 접근 통제를 강화해야 함을 시사합니다.
XZ Utils의 백도어란 무엇이며 어떻게 완화할 수 있나요?
3월 29일, 레드햇은 긴급 보안 경보를 발표하여 Fedora Linux 40 및 Fedora Rawhide 사용자에게 최신 버전의 'XZ' 압축 라이브러리 및 도구에 악성 코드가 포함되어 있음을 알렸습니다. 이 코드는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보입니다. 이 악성 코드가 주입된 방식은 향후 집중적인 연구 대상이 될 가능성이 높지만, 이는 위협 행위자, 즉 'Jia Tan'이라는 가명의 공격자가 수년에 걸쳐 정교하고 인내심 있게 수행한 사회공학적 공학의 산물입니다. 이 인물은 2년 이상 XZ 유틸리티 프로젝트 및 커뮤니티에 합법적인 기여를 하며 다른 유지보수자들의 신뢰를 얻기 위해 수많은 시간을 투자했고, 결국 여러 소크퍼펫 계정이 프로젝트의 자원봉사자 소유주 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후 '신뢰받는 유지보수자' 지위를 획득했습니다:
이 특이한 사례는 고도로 기술적인 전문가조차도 일반적으로 기술 지식이 부족한 사람들을 대상으로 하는 전술의 희생양이 될 수 있음을 보여주는 훌륭한 예시이며, 이는 보안 인식을 높이기 위한 정확하고 직무 기반의 교육이 필요함을 입증합니다. 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 유지보수 책임자인 안드레스 프룬트( Andrés Freund)의 호기심과 빠른 판단력 덕분에 이 백도어가 발견되고 해당 버전들이 무효화되어, 최근 몇 년간 가장 파괴적일 수 있었던 공급망 공격이 막을 내릴 수 있었습니다.
해당 백도어 자체는 NIST 레지스트리에서 가장 심각한 수준의 취약점으로 공식적으로 추적되고 있습니다. 초기에는 SSH 인증 우회 가능성으로 여겨졌으나, 후속 조사 결과 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE microOS, openSUSE Tumbleweed 및 일부 Debian 버전을 포함한 취약한 Linux 시스템에서 인증 없이 원격 코드 실행이 가능함이 밝혀졌습니다.
Jia Tan은 악성 패키지를 숨기기 위해 모든 노력을 기울인 것으로 보입니다. 이 패키지는 생성 과정에서 자동 빌드되도록 활성화되면 systemd를 통한 SSHd 인증을 방해합니다. Red Hat의 상세 보고서에 따르면, 적절한 조건 하에서 이러한 간섭은 공격자가 SSHd 인증을 우회하고 시스템 전체에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
Microsoft 등 여러 기관은 시스템 분석을 통한 악용 사례 탐지 및 영향 완화 방법에 대한 종합 가이드를 공개했으며, CISA가 권고하는 즉각적인 조치는 개발자와 영향을 받은 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같이 취약점이 없는 버전으로 변경하는 것입니다.
이러한 유형의 공격을 방지하는 것은 특히 소프트웨어에 오픈소스 구성 요소를 사용할 때 공급망 보안과 관련하여 보장 및 투명성이 매우 부족하기 때문에 극히 어렵습니다. 우리는 이미 소프트웨어 공급망의 우발적 결함을 다루어 왔지만, 이 위험은 증가했으며 악의적인 목적으로 오픈소스 코드의 보안을 침해하기 위해 의도적으로 생성된 보안 결함까지 포함합니다.
대부분의 개발자는 강력한 보안 의식, 탄탄한 보안 지식, 그리고 약간의 편집증적 경계심이 없다면 이러한 유형의 공격을 막을 수 없습니다. 위협 행위자의 사고방식이 필요한 경우에 가깝습니다. 그러나 핵심 고려사항은 항상 내부적으로 통제되는 소스 코드 저장소(즉, 오픈소스가 아닌)에 집중되어야 합니다. 해당 저장소는 검증된 관련 보안 역량을 보유한 인원만 접근 가능해야 합니다. 애플리케이션 보안 전문가들은 보안 통제 수준을 지점 단위로 설정하는 것과 유사한 방식을 고려할 수 있습니다. 즉, 보안 전문 개발자만이 최신 마스터 브랜치에 변경 사항을 적용할 수 있도록 허용하는 방식입니다.
자원봉사 유지보수자들은 영웅이지만, 안전한 소프트웨어를 유지하려면 (한 마을이 필요할지도 모른다)
소프트웨어 엔지니어링 분야 외부에 있는 사람들에게는, 활발한 자원봉사자 커뮤니티가 여가 시간에 중요한 시스템을 꼼꼼히 유지 관리한다는 개념이 이해하기 어려운 일입니다. 그러나 이것이 바로 오픈소스 개발의 본질이며, 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 영역으로 남아 있습니다.
오픈소스 소프트웨어는 사실상 모든 기업의 디지털 생태계에서 핵심적인 부분을 차지하며, 이를 유지 관리하는 사람들(대부분 선의로 행동함)은 기술적 진보와 무결성을 추구하는 이타적인 노력에서 진정한 영웅적입니다. 그러나 이들을 고립된 상태로 유지하는 것은 터무니없는 일입니다. DevSecOps 중심의 이 시대에 보안은 공유된 책임이며, 모든 개발자는 업무 중 마주칠 가능성이 있는 보안 문제를 해결할 수 있는 적절한 지식과 도구를 갖추어야 합니다. 보안 지식과 실무 능력은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 주도하는 것은 보안 리더들의 몫입니다.
오늘 바로 포괄적인 정보로 조직 내 번영하는 안전 문화를 구축하세요 Secure Code Warrior의 Secure Code Warrior의 교육 과정으로
%20(1).avif)
.avif)
