리눅스용 XZ 유틸리티의 백도어는 공급망 보안의 더 광범위한 문제를 드러내며, 이를 통제하기 위해서는 공동체 정신 이상의 것이 필요합니다.
사이버 보안 분야가 소프트웨어 공급망에 대한 교묘한 침해가 발견되면서 다시 한번 경계 태세에 돌입했다. 주요 리눅스 배포판에 포함된 데이터 압축 라이브러리 XZ Utils에 영향을 미치는 이 취약점은 CVE-2024-3094로 등록되었으며, 과거 신뢰할 수 있었던 시스템의 자원봉사 유지보수자가 의도적으로 삽입한 백도어에 해당합니다. 성공적으로 악용될 경우 원격 코드 실행(RCE)을 허용하는 이 취약점은 기존 소프트웨어 개발 프로세스에 심각한 피해를 초래할 수 있는 매우 중대한 문제입니다.
다행히도 다른 관리자가 이 위협을 발견하여 악성 코드가 리눅스 안정판에 포함되기 전에 차단했지만, Fedora Rawhide 환경에서 XZ 유틸리티 5.6.0 및 5.6.1 버전을 사용하기 시작한 사용자에게는 여전히 문제가 됩니다. 해당 조직들은 긴급히 패치를 적용할 것을 권고받았습니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필상 공급망에서 기록된 가장 파괴적인 공격 중 하나가 되었을 것이며, 심지어 SolarWinds 사건을 능가했을 수도 있습니다.
중요한 시스템 유지보수에 대한 커뮤니티 자원봉사자 의존도는 널리 알려져 있지만, 이 사건과 같은 중대한 영향의 문제가 표면화되기 전까지는 거의 논의되지 않습니다. 비록 그들의 끊임없는 노력이 오픈소스 소프트웨어 유지보수에 필수적이지만, 이는 개발자 수준의 보안 역량과 인식 제고에 진지하게 집중할 필요성을 부각시키며, 소프트웨어 저장소에 대한 접근 통제를 강화하는 것 또한 잊어서는 안 됩니다.
XZ Utils 백도어란 무엇이며 어떻게 완화되나요?
3월 29일, 레드햇은 페도라 리눅스 4.0 및 페도라 로우하이드 사용자에게 긴급 보안 경보를 발령했습니다. 최근 배포된 압축 도구 및 'XZ' 라이브러리에는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보이는 악성 코드가 포함되어 있습니다. 이 악성 코드가 주입된 방식은 향후 심층 연구 대상이 될 가능성이 높지만, 이는 위협 행위자, 즉 'Jia Tan'이라는 가명의 공격자가 수행한 정교하고 인내심 있는 장기적인 사회공학적 작업의 결과물입니다. 이 인물은 2년 넘게 수많은 시간을 들여 다른 관리자들의 신뢰를 얻고, XZ 유틸리티 프로젝트와 커뮤니티에 합법적인 기여를 해왔습니다. 결국 여러 개의 가짜 계정이 프로젝트의 자원봉사자 소유주인 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후, '신뢰받는 관리자' 지위를 획득했습니다:
이 특이한 시나리오는 고도로 기술적인 인물조차 일반적으로 덜 숙련된 사람들을 대상으로 하는 전술의 희생양이 된다는 점을 보여주는 훌륭한 사례로, 역할 기반의 정밀한 보안 인식 교육의 필요성을 입증합니다. 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 책임자인 안드레스 프룬트( Andrés Freund)의 호기심과 재빠른 판단 덕분에 이 백도어가 발견되고 해당 버전이 취소되어, 최근 역사상 가장 파괴적인 공급망 공격이 될 뻔한 사태가 막을 내릴 수 있었습니다.
이 백도어 자체는 NIST 레지스트리에서 공식적으로 가장 심각한 수준의 취약점으로 분류됩니다. 초기에는 SSH 인증 우회로 간주되었으나, 심층 조사 결과 취약한 리눅스 시스템(특히 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전)에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 생성 과정에서 빌드되도록 트리거될 때 systemd를 통해 SSHD의 인증을 방해하는 악성 패키지를 숨기기 위해 많은 노력을 기울인 것으로 보입니다. Chapeau rouge가 상세히 설명한 바와 같이, 적절한 조건이 갖춰진다면 이러한 방해 행위는 공격자가 SSHD 인증을 우회하고 시스템 전체에 대한 원격 무단 접근 권한을 획득할 수 있는 잠재적 가능성을 열어줍니다.
Microsoft를 비롯한 여러 기관은 시스템 분석을 통한 악용 사례 탐지 및 영향 완화 방안에 관한 포괄적인 지침을 공개했습니다. CISA가 권고하는 즉각적인 조치로는 관련 개발자와 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같은 안전하게 확인된 버전으로 다운그레이드해야 한다는 점입니다.
이 유형의 공격을 예방하는 것은 특히 소프트웨어에서 오픈소스 구성 요소를 사용할 때 매우 어렵습니다. 공급망 보안은 매우 제한적이고 투명성이 부족하기 때문입니다. 우리는 이미 소프트웨어 공급망의 우발적 취약점과 싸워왔지만, 이러한 위험은 이제 자유 소프트웨어의 보안을 훼손하기 위해 의도적으로 심어진 보안 결함까지 포함하며 더욱 커졌습니다.
대부분의 개발자는 예리한 보안 감각, 탄탄한 보안 지식, 그리고 약간의 편집증적 경계심이 없다면 이러한 유형의 공격을 막을 수 없을 것입니다. 이는 거의 위협 행위자의 사고방식을 요구하는 수준입니다. 그러나 핵심 고려사항은 항상 내부적으로 관리되는 소스 코드 저장소(즉, 비오픈소스)에 집중되어야 합니다. 해당 저장소는 검증된 관련 보안 역량을 보유한 인원만 접근 가능해야 합니다. 애플리케이션 보안 전문가들은 보안 브랜치 제어와 같은 구성을 고려할 수 있으며, 이를 통해 보안 경험이 풍부한 개발자만 최종 메인 브랜치에 변경 사항을 적용할 수 있도록 합니다.
자원봉사 유지보수자들은 영웅이지만, 안전한 소프트웨어를 유지하려면 (필요하다면) 마을 전체의 노력이 필요합니다.
소프트웨어 공학 분야에 종사하지 않는 사람들에게는, 역동적인 자원봉사자 커뮤니티가 자신들의 속도에 맞춰 중요한 시스템을 세심하게 유지 관리한다는 사실을 이해하기 어렵습니다. 그러나 이것이 바로 오픈소스 개발의 본질이며, 이는 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 요인으로 남아 있습니다.
자유 소프트웨어는 거의 모든 기업의 디지털 생태계에서 필수적인 요소이며, 신뢰할 수 있는 관리자들(대부분 선의로 행동함)은 기술적 진보와 무결성을 위한 이타적인 추구에서 진정한 영웅적 모습을 보여줍니다. 그러나 그들을 고립된 상태로 내버려 두는 것은 터무니없는 일입니다. DevSecOps 중심의 시대에 보안은 공유된 책임이며, 모든 개발자는 업무 중 마주칠 수 있는 보안 문제를 처리할 수 있는 지식과 도구를 갖추어야 합니다. 보안 인식과 실무 역량은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 이끌어내는 것은 보안 담당자의 몫입니다.
오늘부터 조직 내에서 번성하는 안전 문화를 구축하십시오. Secure Code Warrior의 Secure Code Warrior 과정으로
주요 리눅스 배포판에서 사용되는 데이터 압축 라이브러리 XZ Utils에 악의적인 행위자가 도입한 백도어로 인한 중대한 취약점(CVE-2024-3094)이 발견되었습니다. 이 심각한 문제는 원격 코드 실행을 유발할 수 있어 소프트웨어 개발 프로세스에 중대한 위험을 초래합니다. 이 취약점은 Fedora Rawhide의 초기 버전(5.6.0 및 5.6.1) XZ Utils에 영향을 미치며, 조직들에게 긴급 패치 적용을 촉구합니다. 이번 사건은 오픈소스 소프트웨어 유지보수에 있어 커뮤니티 자원봉사자들의 핵심적 역할을 부각시키며, 소프트웨어 개발 주기 전반에 걸쳐 보안 관행과 접근 통제를 강화할 필요성을 강조합니다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
사이버 보안 분야가 소프트웨어 공급망에 대한 교묘한 침해가 발견되면서 다시 한번 경계 태세에 돌입했다. 주요 리눅스 배포판에 포함된 데이터 압축 라이브러리 XZ Utils에 영향을 미치는 이 취약점은 CVE-2024-3094로 등록되었으며, 과거 신뢰할 수 있었던 시스템의 자원봉사 유지보수자가 의도적으로 삽입한 백도어에 해당합니다. 성공적으로 악용될 경우 원격 코드 실행(RCE)을 허용하는 이 취약점은 기존 소프트웨어 개발 프로세스에 심각한 피해를 초래할 수 있는 매우 중대한 문제입니다.
다행히도 다른 관리자가 이 위협을 발견하여 악성 코드가 리눅스 안정판에 포함되기 전에 차단했지만, Fedora Rawhide 환경에서 XZ 유틸리티 5.6.0 및 5.6.1 버전을 사용하기 시작한 사용자에게는 여전히 문제가 됩니다. 해당 조직들은 긴급히 패치를 적용할 것을 권고받았습니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필상 공급망에서 기록된 가장 파괴적인 공격 중 하나가 되었을 것이며, 심지어 SolarWinds 사건을 능가했을 수도 있습니다.
중요한 시스템 유지보수에 대한 커뮤니티 자원봉사자 의존도는 널리 알려져 있지만, 이 사건과 같은 중대한 영향의 문제가 표면화되기 전까지는 거의 논의되지 않습니다. 비록 그들의 끊임없는 노력이 오픈소스 소프트웨어 유지보수에 필수적이지만, 이는 개발자 수준의 보안 역량과 인식 제고에 진지하게 집중할 필요성을 부각시키며, 소프트웨어 저장소에 대한 접근 통제를 강화하는 것 또한 잊어서는 안 됩니다.
XZ Utils 백도어란 무엇이며 어떻게 완화되나요?
3월 29일, 레드햇은 페도라 리눅스 4.0 및 페도라 로우하이드 사용자에게 긴급 보안 경보를 발령했습니다. 최근 배포된 압축 도구 및 'XZ' 라이브러리에는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보이는 악성 코드가 포함되어 있습니다. 이 악성 코드가 주입된 방식은 향후 심층 연구 대상이 될 가능성이 높지만, 이는 위협 행위자, 즉 'Jia Tan'이라는 가명의 공격자가 수행한 정교하고 인내심 있는 장기적인 사회공학적 작업의 결과물입니다. 이 인물은 2년 넘게 수많은 시간을 들여 다른 관리자들의 신뢰를 얻고, XZ 유틸리티 프로젝트와 커뮤니티에 합법적인 기여를 해왔습니다. 결국 여러 개의 가짜 계정이 프로젝트의 자원봉사자 소유주인 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후, '신뢰받는 관리자' 지위를 획득했습니다:
이 특이한 시나리오는 고도로 기술적인 인물조차 일반적으로 덜 숙련된 사람들을 대상으로 하는 전술의 희생양이 된다는 점을 보여주는 훌륭한 사례로, 역할 기반의 정밀한 보안 인식 교육의 필요성을 입증합니다. 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 책임자인 안드레스 프룬트( Andrés Freund)의 호기심과 재빠른 판단 덕분에 이 백도어가 발견되고 해당 버전이 취소되어, 최근 역사상 가장 파괴적인 공급망 공격이 될 뻔한 사태가 막을 내릴 수 있었습니다.
이 백도어 자체는 NIST 레지스트리에서 공식적으로 가장 심각한 수준의 취약점으로 분류됩니다. 초기에는 SSH 인증 우회로 간주되었으나, 심층 조사 결과 취약한 리눅스 시스템(특히 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전)에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 생성 과정에서 빌드되도록 트리거될 때 systemd를 통해 SSHD의 인증을 방해하는 악성 패키지를 숨기기 위해 많은 노력을 기울인 것으로 보입니다. Chapeau rouge가 상세히 설명한 바와 같이, 적절한 조건이 갖춰진다면 이러한 방해 행위는 공격자가 SSHD 인증을 우회하고 시스템 전체에 대한 원격 무단 접근 권한을 획득할 수 있는 잠재적 가능성을 열어줍니다.
Microsoft를 비롯한 여러 기관은 시스템 분석을 통한 악용 사례 탐지 및 영향 완화 방안에 관한 포괄적인 지침을 공개했습니다. CISA가 권고하는 즉각적인 조치로는 관련 개발자와 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같은 안전하게 확인된 버전으로 다운그레이드해야 한다는 점입니다.
이 유형의 공격을 예방하는 것은 특히 소프트웨어에서 오픈소스 구성 요소를 사용할 때 매우 어렵습니다. 공급망 보안은 매우 제한적이고 투명성이 부족하기 때문입니다. 우리는 이미 소프트웨어 공급망의 우발적 취약점과 싸워왔지만, 이러한 위험은 이제 자유 소프트웨어의 보안을 훼손하기 위해 의도적으로 심어진 보안 결함까지 포함하며 더욱 커졌습니다.
대부분의 개발자는 예리한 보안 감각, 탄탄한 보안 지식, 그리고 약간의 편집증적 경계심이 없다면 이러한 유형의 공격을 막을 수 없을 것입니다. 이는 거의 위협 행위자의 사고방식을 요구하는 수준입니다. 그러나 핵심 고려사항은 항상 내부적으로 관리되는 소스 코드 저장소(즉, 비오픈소스)에 집중되어야 합니다. 해당 저장소는 검증된 관련 보안 역량을 보유한 인원만 접근 가능해야 합니다. 애플리케이션 보안 전문가들은 보안 브랜치 제어와 같은 구성을 고려할 수 있으며, 이를 통해 보안 경험이 풍부한 개발자만 최종 메인 브랜치에 변경 사항을 적용할 수 있도록 합니다.
자원봉사 유지보수자들은 영웅이지만, 안전한 소프트웨어를 유지하려면 (필요하다면) 마을 전체의 노력이 필요합니다.
소프트웨어 공학 분야에 종사하지 않는 사람들에게는, 역동적인 자원봉사자 커뮤니티가 자신들의 속도에 맞춰 중요한 시스템을 세심하게 유지 관리한다는 사실을 이해하기 어렵습니다. 그러나 이것이 바로 오픈소스 개발의 본질이며, 이는 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 요인으로 남아 있습니다.
자유 소프트웨어는 거의 모든 기업의 디지털 생태계에서 필수적인 요소이며, 신뢰할 수 있는 관리자들(대부분 선의로 행동함)은 기술적 진보와 무결성을 위한 이타적인 추구에서 진정한 영웅적 모습을 보여줍니다. 그러나 그들을 고립된 상태로 내버려 두는 것은 터무니없는 일입니다. DevSecOps 중심의 시대에 보안은 공유된 책임이며, 모든 개발자는 업무 중 마주칠 수 있는 보안 문제를 처리할 수 있는 지식과 도구를 갖추어야 합니다. 보안 인식과 실무 역량은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 이끌어내는 것은 보안 담당자의 몫입니다.
오늘부터 조직 내에서 번성하는 안전 문화를 구축하십시오. Secure Code Warrior의 Secure Code Warrior 과정으로
사이버 보안 분야가 소프트웨어 공급망에 대한 교묘한 침해가 발견되면서 다시 한번 경계 태세에 돌입했다. 주요 리눅스 배포판에 포함된 데이터 압축 라이브러리 XZ Utils에 영향을 미치는 이 취약점은 CVE-2024-3094로 등록되었으며, 과거 신뢰할 수 있었던 시스템의 자원봉사 유지보수자가 의도적으로 삽입한 백도어에 해당합니다. 성공적으로 악용될 경우 원격 코드 실행(RCE)을 허용하는 이 취약점은 기존 소프트웨어 개발 프로세스에 심각한 피해를 초래할 수 있는 매우 중대한 문제입니다.
다행히도 다른 관리자가 이 위협을 발견하여 악성 코드가 리눅스 안정판에 포함되기 전에 차단했지만, Fedora Rawhide 환경에서 XZ 유틸리티 5.6.0 및 5.6.1 버전을 사용하기 시작한 사용자에게는 여전히 문제가 됩니다. 해당 조직들은 긴급히 패치를 적용할 것을 권고받았습니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필상 공급망에서 기록된 가장 파괴적인 공격 중 하나가 되었을 것이며, 심지어 SolarWinds 사건을 능가했을 수도 있습니다.
중요한 시스템 유지보수에 대한 커뮤니티 자원봉사자 의존도는 널리 알려져 있지만, 이 사건과 같은 중대한 영향의 문제가 표면화되기 전까지는 거의 논의되지 않습니다. 비록 그들의 끊임없는 노력이 오픈소스 소프트웨어 유지보수에 필수적이지만, 이는 개발자 수준의 보안 역량과 인식 제고에 진지하게 집중할 필요성을 부각시키며, 소프트웨어 저장소에 대한 접근 통제를 강화하는 것 또한 잊어서는 안 됩니다.
XZ Utils 백도어란 무엇이며 어떻게 완화되나요?
3월 29일, 레드햇은 페도라 리눅스 4.0 및 페도라 로우하이드 사용자에게 긴급 보안 경보를 발령했습니다. 최근 배포된 압축 도구 및 'XZ' 라이브러리에는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보이는 악성 코드가 포함되어 있습니다. 이 악성 코드가 주입된 방식은 향후 심층 연구 대상이 될 가능성이 높지만, 이는 위협 행위자, 즉 'Jia Tan'이라는 가명의 공격자가 수행한 정교하고 인내심 있는 장기적인 사회공학적 작업의 결과물입니다. 이 인물은 2년 넘게 수많은 시간을 들여 다른 관리자들의 신뢰를 얻고, XZ 유틸리티 프로젝트와 커뮤니티에 합법적인 기여를 해왔습니다. 결국 여러 개의 가짜 계정이 프로젝트의 자원봉사자 소유주인 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후, '신뢰받는 관리자' 지위를 획득했습니다:
이 특이한 시나리오는 고도로 기술적인 인물조차 일반적으로 덜 숙련된 사람들을 대상으로 하는 전술의 희생양이 된다는 점을 보여주는 훌륭한 사례로, 역할 기반의 정밀한 보안 인식 교육의 필요성을 입증합니다. 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 책임자인 안드레스 프룬트( Andrés Freund)의 호기심과 재빠른 판단 덕분에 이 백도어가 발견되고 해당 버전이 취소되어, 최근 역사상 가장 파괴적인 공급망 공격이 될 뻔한 사태가 막을 내릴 수 있었습니다.
이 백도어 자체는 NIST 레지스트리에서 공식적으로 가장 심각한 수준의 취약점으로 분류됩니다. 초기에는 SSH 인증 우회로 간주되었으나, 심층 조사 결과 취약한 리눅스 시스템(특히 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전)에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 생성 과정에서 빌드되도록 트리거될 때 systemd를 통해 SSHD의 인증을 방해하는 악성 패키지를 숨기기 위해 많은 노력을 기울인 것으로 보입니다. Chapeau rouge가 상세히 설명한 바와 같이, 적절한 조건이 갖춰진다면 이러한 방해 행위는 공격자가 SSHD 인증을 우회하고 시스템 전체에 대한 원격 무단 접근 권한을 획득할 수 있는 잠재적 가능성을 열어줍니다.
Microsoft를 비롯한 여러 기관은 시스템 분석을 통한 악용 사례 탐지 및 영향 완화 방안에 관한 포괄적인 지침을 공개했습니다. CISA가 권고하는 즉각적인 조치로는 관련 개발자와 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같은 안전하게 확인된 버전으로 다운그레이드해야 한다는 점입니다.
이 유형의 공격을 예방하는 것은 특히 소프트웨어에서 오픈소스 구성 요소를 사용할 때 매우 어렵습니다. 공급망 보안은 매우 제한적이고 투명성이 부족하기 때문입니다. 우리는 이미 소프트웨어 공급망의 우발적 취약점과 싸워왔지만, 이러한 위험은 이제 자유 소프트웨어의 보안을 훼손하기 위해 의도적으로 심어진 보안 결함까지 포함하며 더욱 커졌습니다.
대부분의 개발자는 예리한 보안 감각, 탄탄한 보안 지식, 그리고 약간의 편집증적 경계심이 없다면 이러한 유형의 공격을 막을 수 없을 것입니다. 이는 거의 위협 행위자의 사고방식을 요구하는 수준입니다. 그러나 핵심 고려사항은 항상 내부적으로 관리되는 소스 코드 저장소(즉, 비오픈소스)에 집중되어야 합니다. 해당 저장소는 검증된 관련 보안 역량을 보유한 인원만 접근 가능해야 합니다. 애플리케이션 보안 전문가들은 보안 브랜치 제어와 같은 구성을 고려할 수 있으며, 이를 통해 보안 경험이 풍부한 개발자만 최종 메인 브랜치에 변경 사항을 적용할 수 있도록 합니다.
자원봉사 유지보수자들은 영웅이지만, 안전한 소프트웨어를 유지하려면 (필요하다면) 마을 전체의 노력이 필요합니다.
소프트웨어 공학 분야에 종사하지 않는 사람들에게는, 역동적인 자원봉사자 커뮤니티가 자신들의 속도에 맞춰 중요한 시스템을 세심하게 유지 관리한다는 사실을 이해하기 어렵습니다. 그러나 이것이 바로 오픈소스 개발의 본질이며, 이는 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 요인으로 남아 있습니다.
자유 소프트웨어는 거의 모든 기업의 디지털 생태계에서 필수적인 요소이며, 신뢰할 수 있는 관리자들(대부분 선의로 행동함)은 기술적 진보와 무결성을 위한 이타적인 추구에서 진정한 영웅적 모습을 보여줍니다. 그러나 그들을 고립된 상태로 내버려 두는 것은 터무니없는 일입니다. DevSecOps 중심의 시대에 보안은 공유된 책임이며, 모든 개발자는 업무 중 마주칠 수 있는 보안 문제를 처리할 수 있는 지식과 도구를 갖추어야 합니다. 보안 인식과 실무 역량은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 이끌어내는 것은 보안 담당자의 몫입니다.
오늘부터 조직 내에서 번성하는 안전 문화를 구축하십시오. Secure Code Warrior의 Secure Code Warrior 과정으로
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
사이버 보안 분야가 소프트웨어 공급망에 대한 교묘한 침해가 발견되면서 다시 한번 경계 태세에 돌입했다. 주요 리눅스 배포판에 포함된 데이터 압축 라이브러리 XZ Utils에 영향을 미치는 이 취약점은 CVE-2024-3094로 등록되었으며, 과거 신뢰할 수 있었던 시스템의 자원봉사 유지보수자가 의도적으로 삽입한 백도어에 해당합니다. 성공적으로 악용될 경우 원격 코드 실행(RCE)을 허용하는 이 취약점은 기존 소프트웨어 개발 프로세스에 심각한 피해를 초래할 수 있는 매우 중대한 문제입니다.
다행히도 다른 관리자가 이 위협을 발견하여 악성 코드가 리눅스 안정판에 포함되기 전에 차단했지만, Fedora Rawhide 환경에서 XZ 유틸리티 5.6.0 및 5.6.1 버전을 사용하기 시작한 사용자에게는 여전히 문제가 됩니다. 해당 조직들은 긴급히 패치를 적용할 것을 권고받았습니다. 이 발견이 제때 이루어지지 않았다면, 위험 프로필상 공급망에서 기록된 가장 파괴적인 공격 중 하나가 되었을 것이며, 심지어 SolarWinds 사건을 능가했을 수도 있습니다.
중요한 시스템 유지보수에 대한 커뮤니티 자원봉사자 의존도는 널리 알려져 있지만, 이 사건과 같은 중대한 영향의 문제가 표면화되기 전까지는 거의 논의되지 않습니다. 비록 그들의 끊임없는 노력이 오픈소스 소프트웨어 유지보수에 필수적이지만, 이는 개발자 수준의 보안 역량과 인식 제고에 진지하게 집중할 필요성을 부각시키며, 소프트웨어 저장소에 대한 접근 통제를 강화하는 것 또한 잊어서는 안 됩니다.
XZ Utils 백도어란 무엇이며 어떻게 완화되나요?
3월 29일, 레드햇은 페도라 리눅스 4.0 및 페도라 로우하이드 사용자에게 긴급 보안 경보를 발령했습니다. 최근 배포된 압축 도구 및 'XZ' 라이브러리에는 제3자의 무단 접근을 용이하게 하기 위해 특별히 설계된 것으로 보이는 악성 코드가 포함되어 있습니다. 이 악성 코드가 주입된 방식은 향후 심층 연구 대상이 될 가능성이 높지만, 이는 위협 행위자, 즉 'Jia Tan'이라는 가명의 공격자가 수행한 정교하고 인내심 있는 장기적인 사회공학적 작업의 결과물입니다. 이 인물은 2년 넘게 수많은 시간을 들여 다른 관리자들의 신뢰를 얻고, XZ 유틸리티 프로젝트와 커뮤니티에 합법적인 기여를 해왔습니다. 결국 여러 개의 가짜 계정이 프로젝트의 자원봉사자 소유주인 라세 콜린(Lasse Collin)에 대한 신뢰를 훼손한 후, '신뢰받는 관리자' 지위를 획득했습니다:
이 특이한 시나리오는 고도로 기술적인 인물조차 일반적으로 덜 숙련된 사람들을 대상으로 하는 전술의 희생양이 된다는 점을 보여주는 훌륭한 사례로, 역할 기반의 정밀한 보안 인식 교육의 필요성을 입증합니다. 마이크로소프트 소프트웨어 엔지니어이자 PostgreSQL 책임자인 안드레스 프룬트( Andrés Freund)의 호기심과 재빠른 판단 덕분에 이 백도어가 발견되고 해당 버전이 취소되어, 최근 역사상 가장 파괴적인 공급망 공격이 될 뻔한 사태가 막을 내릴 수 있었습니다.
이 백도어 자체는 NIST 레지스트리에서 공식적으로 가장 심각한 수준의 취약점으로 분류됩니다. 초기에는 SSH 인증 우회로 간주되었으나, 심층 조사 결과 취약한 리눅스 시스템(특히 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전)에서 인증되지 않은 원격 코드 실행이 가능하다는 사실이 밝혀졌습니다.
Jia Tan은 생성 과정에서 빌드되도록 트리거될 때 systemd를 통해 SSHD의 인증을 방해하는 악성 패키지를 숨기기 위해 많은 노력을 기울인 것으로 보입니다. Chapeau rouge가 상세히 설명한 바와 같이, 적절한 조건이 갖춰진다면 이러한 방해 행위는 공격자가 SSHD 인증을 우회하고 시스템 전체에 대한 원격 무단 접근 권한을 획득할 수 있는 잠재적 가능성을 열어줍니다.
Microsoft를 비롯한 여러 기관은 시스템 분석을 통한 악용 사례 탐지 및 영향 완화 방안에 관한 포괄적인 지침을 공개했습니다. CISA가 권고하는 즉각적인 조치로는 관련 개발자와 사용자가 XZ Utils를 XZ Utils 5.4.6 Stable과 같은 안전하게 확인된 버전으로 다운그레이드해야 한다는 점입니다.
이 유형의 공격을 예방하는 것은 특히 소프트웨어에서 오픈소스 구성 요소를 사용할 때 매우 어렵습니다. 공급망 보안은 매우 제한적이고 투명성이 부족하기 때문입니다. 우리는 이미 소프트웨어 공급망의 우발적 취약점과 싸워왔지만, 이러한 위험은 이제 자유 소프트웨어의 보안을 훼손하기 위해 의도적으로 심어진 보안 결함까지 포함하며 더욱 커졌습니다.
대부분의 개발자는 예리한 보안 감각, 탄탄한 보안 지식, 그리고 약간의 편집증적 경계심이 없다면 이러한 유형의 공격을 막을 수 없을 것입니다. 이는 거의 위협 행위자의 사고방식을 요구하는 수준입니다. 그러나 핵심 고려사항은 항상 내부적으로 관리되는 소스 코드 저장소(즉, 비오픈소스)에 집중되어야 합니다. 해당 저장소는 검증된 관련 보안 역량을 보유한 인원만 접근 가능해야 합니다. 애플리케이션 보안 전문가들은 보안 브랜치 제어와 같은 구성을 고려할 수 있으며, 이를 통해 보안 경험이 풍부한 개발자만 최종 메인 브랜치에 변경 사항을 적용할 수 있도록 합니다.
자원봉사 유지보수자들은 영웅이지만, 안전한 소프트웨어를 유지하려면 (필요하다면) 마을 전체의 노력이 필요합니다.
소프트웨어 공학 분야에 종사하지 않는 사람들에게는, 역동적인 자원봉사자 커뮤니티가 자신들의 속도에 맞춰 중요한 시스템을 세심하게 유지 관리한다는 사실을 이해하기 어렵습니다. 그러나 이것이 바로 오픈소스 개발의 본질이며, 이는 공급망을 보호하는 보안 전문가들에게 여전히 중대한 위험 요인으로 남아 있습니다.
자유 소프트웨어는 거의 모든 기업의 디지털 생태계에서 필수적인 요소이며, 신뢰할 수 있는 관리자들(대부분 선의로 행동함)은 기술적 진보와 무결성을 위한 이타적인 추구에서 진정한 영웅적 모습을 보여줍니다. 그러나 그들을 고립된 상태로 내버려 두는 것은 터무니없는 일입니다. DevSecOps 중심의 시대에 보안은 공유된 책임이며, 모든 개발자는 업무 중 마주칠 수 있는 보안 문제를 처리할 수 있는 지식과 도구를 갖추어야 합니다. 보안 인식과 실무 역량은 소프트웨어 개발 과정에서 타협할 수 없는 요소여야 하며, 기업 차원의 변화를 이끌어내는 것은 보안 담당자의 몫입니다.
오늘부터 조직 내에서 번성하는 안전 문화를 구축하십시오. Secure Code Warrior의 Secure Code Warrior 과정으로
목차
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
