리눅스의 XZ 유틸리티 백도어는 더 광범위한 공급망 보안 문제를 지적하며, 이를 막기 위해서는 커뮤니티 정신 이상의 것이 필요합니다.
악의적인 소프트웨어 공급망 취약점이 발견된 후, 사이버 보안 업계는 다시 한번 경계 태세를 강화하고 있다. 이 취약점은 주요 리눅스 배포판에 포함된 XZ 유틸리티 압축 라이브러리에 영향을 미치며,CVE-2024-3094로 기록된 이 취약점은 신뢰받던 자원봉사 시스템 관리자가 고의로 삽입한 백도어에서 비롯되었습니다. 성공적으로 악용될 경우 원격 코드 실행(RCE)을 허용하는 등 심각도가 매우 높아 기존 소프트웨어 빌드 프로세스에 심각한 피해를 입힐 수 있습니다.
다행히 다른 관리자가 악성 코드가 안정적인 리눅스 버전으로 유입되기 전에 이 위협을 발견했습니다.그러나 Fedora Rawhide의 일부로 XZ Utils 5.6.0 및 5.6.1 버전을 실행하기 시작한 사람들에게는 여전히 문제가 되며, 조직들도 긴급 우선순위로 패치를 촉구합니다. 이 발견이 제때 발견되지 않았다면, 위험 상황은 이를 기록상 가장 파괴적인 공급망 공격 중 하나로 만들었을 것이며, 심지어 SolarWinds 사건을 능가했을 수도 있습니다.
커뮤니티 자원봉사자들이 핵심 시스템을 유지 관리하는 현상은 널리 기록되어 왔지만, 이와 같은 고영향 문제들이 표면화되기 전까지는 거의 논의되지 않았습니다. 그들의 끊임없는 노력이 오픈소스 소프트웨어 유지 관리에 필수적임에도 불구하고, 이는 개발자 수준에서 보안 기술과 인식에 대한 진지한 강조가 필요함을 부각시켰으며, 소프트웨어 저장소의 접근 제어 강화는 말할 것도 없습니다.
XZ Utils 백도어 프로그램이란 무엇이며, 어떻게 완화할 수 있나요?
3월 29일, 레드햇은 긴급 보안 경보를 발표하여 Fedora Linux 40 및 Fedora Rawhide 사용자에게 최신 버전의 "XZ" 압축 도구 및 라이브러리에 악성 코드가 포함되어 있으며, 이 악성 코드는 무단 제3자 접근을 용이하게 하기 위해 특별히 제작된 것으로 보인다고 경고했습니다. 이 악성 코드가 어떻게 주입되었는지는 향후 심층 연구의 주제가 될 수 있지만, 이는 위협 행위자, 즉 "Jia"라는 가명의 공격자가 수행한 수년에 걸친 복잡하고인내심 있는, 수년간 지속된 사회공학적 연습의 결과물입니다. 이 인물은 수많은 시간을 들여 다른 유지보수자들의 신뢰를 얻었고, XZ 유틸리티 프로젝트와 커뮤니티에 2년 이상 합법적인 기여를 했습니다. 여러 소크퍼펫 계정을 통해 자원봉사 프로젝트 소유자 라세 콜린(Lasse Collin)에 대한 신뢰를 약화시킨 후, 그는 결국 "신뢰할 수 있는 유지보수자" 지위를 획득했습니다:
이 특이한 사례는 기술 수준이 높은 인력이 여전히 전략의 희생양이 될 수 있음을 보여주는 전형적인 예시입니다. 이러한 전략은 일반적으로 덜 정통한 사람들을 대상으로 사용되지만, 이는 정밀하고 역할 기반의 보안 인식 교육이 필요함을 시사합니다. 마이크로소프트 소프트웨어 엔지니어와 PostgreSQL 유지보수자의 호기심과 날카로운 사고 덕분에, 안드레스 프로이엔트(Andres Freund) 의발견 덕분에 백도어가 발견되고 버전이 롤백되어, 현대사에서 가장 파괴적일 수 있었던 공급망 공격이 막을 내렸다.
백도어 프로그램 자체는 NIST 레지스트리에심각도 최고 등급의 취약점으로 공식 등록되었습니다. 초기에는 SSH 인증 우회를 허용하는 것으로 여겨졌으나, 추가 조사 결과 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전을 포함한 취약한 Linux 시스템에서 인증 없이 원격 코드 실행이 가능함을 확인했습니다.
Jia Tan은 악성 소프트웨어 패키지를 난독화하는 데 만전을 기한 것으로 보이며, 빌드 과정에서 패키지가 자체적으로 생성되도록 트리거할 때 systemd를 통한 SSHD 인증을 방해합니다. Red Hat이 상세히 설명한 바와 같이, 적절한 상황에서 이러한 방해는 공격자가 SSHD 인증을 우회하고 전체 시스템에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
마이크로소프트는 시스템에서 취약점 악용 사례를 확인하고 그 영향을 완화하는 포괄적인 가이드라인을 발표했으며, CISA는 영향을 받은 개발자와 사용자가 XZ Utils를 할인되지 않은 버전(예: XZ Utils 5.4.6 안정 버전)으로 다운그레이드할 것을 권고하는 등 즉각적인 조치를 제안했습니다.
이러한 공격을 방지하는 것은 특히 소프트웨어에 오픈소스 구성 요소를 사용할 때 매우 어렵습니다. 공급망의 보안은 거의 보장되지 않으며 투명성도 부족하기 때문입니다. 우리는 소프트웨어 공급망에서 의도치 않은 취약점을 해결해 왔지만, 이러한 위험은 이제 오픈소스 보안을 해치기 위해 악의를 품고 고의로 심어진 보안 취약점까지 포함하는 수준으로 확대되었습니다.
강력한 보안 의식, 우수한 보안 지식, 그리고 약간의 편집증 없이는 대부분의 개발자가 이러한 성격의 공격을 막을 수 없을 것입니다. 이는 거의 위협 행위자의 사고방식이 필요한 사례입니다.그러나 핵심 고려 사항은 항상 소스 코드 저장소를 중심으로 한 내부 통제(즉, 비공개) 여야 합니다. 검증된 관련 보안 기술을 보유한 인원만 이에 접근할 수 있어야 합니다. 애플리케이션 보안 전문가들은 보안 기술을 보유한 개발자만이 최종 메인 브랜치에 변경을 가할 수 있도록 하는 브랜치 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원봉사자는 영웅이지만, (아마도) 한 마을 전체가 필요할 정도로 보안 소프트웨어를 유지하는 것은 어렵습니다.
소프트웨어 공학 분야 외부의 사람들에게는 활기찬 자원봉사자 커뮤니티가 시대에 맞춰 핵심 시스템을 부지런히 유지 관리한다는 개념이 이해하기 어려운 것이지만, 이것이 바로 오픈소스 개발의 본질이며, 공급망 보안을 담당하는 전문가들에게 여전히 중대한 위험에 직면한 영역입니다.
오픈소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 구성 요소이며, 신뢰할 수 있는 유지 관리자들(대부분 선의로 행동함)은 기술 발전과 무결성을 이타적으로 추구하는 과정에서 진정한 영웅입니다.그러나 그들에게 고립된 상태로 책임을 지우는 것은 우스꽝스러운 일입니다. DevSecOps 중심의 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중 마주칠 수 있는 보안 문제에 대처할 지식과 적절한 도구를 숙지해야 합니다. 소프트웨어 개발 과정에서 보안 의식과 실무 능력은 타협할 수 없는 요소여야 하며, 보안 리더는 기업 차원의 변화를 주도할 책임이 있습니다.
심층적인 접근 방식을 통해 현대 조직 내에서 번성하는 안전 문화를 구축합니다 과정 보안 코드 전사로부터.
주요 Linux 배포판에서 사용되는 XZ Utils 데이터 압축 라이브러리에서 CVE-2024-3094라는 심각한 취약점이 발견되었습니다. 이 취약점은 위협 행위자가 백도어를 통해 도입한 것입니다.이 고위험 취약점은 원격 코드 실행을 가능하게 하여 소프트웨어 빌드 프로세스에 중대한 위험을 초래합니다. 해당 결함은 Fedora Rawhide의 초기 버전(5.6.0 및 5.6.1) XZ 유틸리티에 영향을 미쳤으며, 각 기관에 긴급 패치 적용을 촉구합니다. 이 사건은 오픈소스 소프트웨어 유지보수에서 커뮤니티 자원봉사자의 핵심적 역할을 부각시키며, 소프트웨어 개발 생명주기 전반에 걸쳐 보안 조치와 접근 통제를 강화할 필요성을 강조합니다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
악의적인 소프트웨어 공급망 취약점이 발견된 후, 사이버 보안 업계는 다시 한번 경계 태세를 강화하고 있다. 이 취약점은 주요 리눅스 배포판에 포함된 XZ 유틸리티 압축 라이브러리에 영향을 미치며,CVE-2024-3094로 기록된 이 취약점은 신뢰받던 자원봉사 시스템 관리자가 고의로 삽입한 백도어에서 비롯되었습니다. 성공적으로 악용될 경우 원격 코드 실행(RCE)을 허용하는 등 심각도가 매우 높아 기존 소프트웨어 빌드 프로세스에 심각한 피해를 입힐 수 있습니다.
다행히 다른 관리자가 악성 코드가 안정적인 리눅스 버전으로 유입되기 전에 이 위협을 발견했습니다.그러나 Fedora Rawhide의 일부로 XZ Utils 5.6.0 및 5.6.1 버전을 실행하기 시작한 사람들에게는 여전히 문제가 되며, 조직들도 긴급 우선순위로 패치를 촉구합니다. 이 발견이 제때 발견되지 않았다면, 위험 상황은 이를 기록상 가장 파괴적인 공급망 공격 중 하나로 만들었을 것이며, 심지어 SolarWinds 사건을 능가했을 수도 있습니다.
커뮤니티 자원봉사자들이 핵심 시스템을 유지 관리하는 현상은 널리 기록되어 왔지만, 이와 같은 고영향 문제들이 표면화되기 전까지는 거의 논의되지 않았습니다. 그들의 끊임없는 노력이 오픈소스 소프트웨어 유지 관리에 필수적임에도 불구하고, 이는 개발자 수준에서 보안 기술과 인식에 대한 진지한 강조가 필요함을 부각시켰으며, 소프트웨어 저장소의 접근 제어 강화는 말할 것도 없습니다.
XZ Utils 백도어 프로그램이란 무엇이며, 어떻게 완화할 수 있나요?
3월 29일, 레드햇은 긴급 보안 경보를 발표하여 Fedora Linux 40 및 Fedora Rawhide 사용자에게 최신 버전의 "XZ" 압축 도구 및 라이브러리에 악성 코드가 포함되어 있으며, 이 악성 코드는 무단 제3자 접근을 용이하게 하기 위해 특별히 제작된 것으로 보인다고 경고했습니다. 이 악성 코드가 어떻게 주입되었는지는 향후 심층 연구의 주제가 될 수 있지만, 이는 위협 행위자, 즉 "Jia"라는 가명의 공격자가 수행한 수년에 걸친 복잡하고인내심 있는, 수년간 지속된 사회공학적 연습의 결과물입니다. 이 인물은 수많은 시간을 들여 다른 유지보수자들의 신뢰를 얻었고, XZ 유틸리티 프로젝트와 커뮤니티에 2년 이상 합법적인 기여를 했습니다. 여러 소크퍼펫 계정을 통해 자원봉사 프로젝트 소유자 라세 콜린(Lasse Collin)에 대한 신뢰를 약화시킨 후, 그는 결국 "신뢰할 수 있는 유지보수자" 지위를 획득했습니다:
이 특이한 사례는 기술 수준이 높은 인력이 여전히 전략의 희생양이 될 수 있음을 보여주는 전형적인 예시입니다. 이러한 전략은 일반적으로 덜 정통한 사람들을 대상으로 사용되지만, 이는 정밀하고 역할 기반의 보안 인식 교육이 필요함을 시사합니다. 마이크로소프트 소프트웨어 엔지니어와 PostgreSQL 유지보수자의 호기심과 날카로운 사고 덕분에, 안드레스 프로이엔트(Andres Freund) 의발견 덕분에 백도어가 발견되고 버전이 롤백되어, 현대사에서 가장 파괴적일 수 있었던 공급망 공격이 막을 내렸다.
백도어 프로그램 자체는 NIST 레지스트리에심각도 최고 등급의 취약점으로 공식 등록되었습니다. 초기에는 SSH 인증 우회를 허용하는 것으로 여겨졌으나, 추가 조사 결과 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전을 포함한 취약한 Linux 시스템에서 인증 없이 원격 코드 실행이 가능함을 확인했습니다.
Jia Tan은 악성 소프트웨어 패키지를 난독화하는 데 만전을 기한 것으로 보이며, 빌드 과정에서 패키지가 자체적으로 생성되도록 트리거할 때 systemd를 통한 SSHD 인증을 방해합니다. Red Hat이 상세히 설명한 바와 같이, 적절한 상황에서 이러한 방해는 공격자가 SSHD 인증을 우회하고 전체 시스템에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
마이크로소프트는 시스템에서 취약점 악용 사례를 확인하고 그 영향을 완화하는 포괄적인 가이드라인을 발표했으며, CISA는 영향을 받은 개발자와 사용자가 XZ Utils를 할인되지 않은 버전(예: XZ Utils 5.4.6 안정 버전)으로 다운그레이드할 것을 권고하는 등 즉각적인 조치를 제안했습니다.
이러한 공격을 방지하는 것은 특히 소프트웨어에 오픈소스 구성 요소를 사용할 때 매우 어렵습니다. 공급망의 보안은 거의 보장되지 않으며 투명성도 부족하기 때문입니다. 우리는 소프트웨어 공급망에서 의도치 않은 취약점을 해결해 왔지만, 이러한 위험은 이제 오픈소스 보안을 해치기 위해 악의를 품고 고의로 심어진 보안 취약점까지 포함하는 수준으로 확대되었습니다.
강력한 보안 의식, 우수한 보안 지식, 그리고 약간의 편집증 없이는 대부분의 개발자가 이러한 성격의 공격을 막을 수 없을 것입니다. 이는 거의 위협 행위자의 사고방식이 필요한 사례입니다.그러나 핵심 고려 사항은 항상 소스 코드 저장소를 중심으로 한 내부 통제(즉, 비공개) 여야 합니다. 검증된 관련 보안 기술을 보유한 인원만 이에 접근할 수 있어야 합니다. 애플리케이션 보안 전문가들은 보안 기술을 보유한 개발자만이 최종 메인 브랜치에 변경을 가할 수 있도록 하는 브랜치 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원봉사자는 영웅이지만, (아마도) 한 마을 전체가 필요할 정도로 보안 소프트웨어를 유지하는 것은 어렵습니다.
소프트웨어 공학 분야 외부의 사람들에게는 활기찬 자원봉사자 커뮤니티가 시대에 맞춰 핵심 시스템을 부지런히 유지 관리한다는 개념이 이해하기 어려운 것이지만, 이것이 바로 오픈소스 개발의 본질이며, 공급망 보안을 담당하는 전문가들에게 여전히 중대한 위험에 직면한 영역입니다.
오픈소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 구성 요소이며, 신뢰할 수 있는 유지 관리자들(대부분 선의로 행동함)은 기술 발전과 무결성을 이타적으로 추구하는 과정에서 진정한 영웅입니다.그러나 그들에게 고립된 상태로 책임을 지우는 것은 우스꽝스러운 일입니다. DevSecOps 중심의 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중 마주칠 수 있는 보안 문제에 대처할 지식과 적절한 도구를 숙지해야 합니다. 소프트웨어 개발 과정에서 보안 의식과 실무 능력은 타협할 수 없는 요소여야 하며, 보안 리더는 기업 차원의 변화를 주도할 책임이 있습니다.
심층적인 접근 방식을 통해 현대 조직 내에서 번성하는 안전 문화를 구축합니다 과정 보안 코드 전사로부터.
악의적인 소프트웨어 공급망 취약점이 발견된 후, 사이버 보안 업계는 다시 한번 경계 태세를 강화하고 있다. 이 취약점은 주요 리눅스 배포판에 포함된 XZ 유틸리티 압축 라이브러리에 영향을 미치며,CVE-2024-3094로 기록된 이 취약점은 신뢰받던 자원봉사 시스템 관리자가 고의로 삽입한 백도어에서 비롯되었습니다. 성공적으로 악용될 경우 원격 코드 실행(RCE)을 허용하는 등 심각도가 매우 높아 기존 소프트웨어 빌드 프로세스에 심각한 피해를 입힐 수 있습니다.
다행히 다른 관리자가 악성 코드가 안정적인 리눅스 버전으로 유입되기 전에 이 위협을 발견했습니다.그러나 Fedora Rawhide의 일부로 XZ Utils 5.6.0 및 5.6.1 버전을 실행하기 시작한 사람들에게는 여전히 문제가 되며, 조직들도 긴급 우선순위로 패치를 촉구합니다. 이 발견이 제때 발견되지 않았다면, 위험 상황은 이를 기록상 가장 파괴적인 공급망 공격 중 하나로 만들었을 것이며, 심지어 SolarWinds 사건을 능가했을 수도 있습니다.
커뮤니티 자원봉사자들이 핵심 시스템을 유지 관리하는 현상은 널리 기록되어 왔지만, 이와 같은 고영향 문제들이 표면화되기 전까지는 거의 논의되지 않았습니다. 그들의 끊임없는 노력이 오픈소스 소프트웨어 유지 관리에 필수적임에도 불구하고, 이는 개발자 수준에서 보안 기술과 인식에 대한 진지한 강조가 필요함을 부각시켰으며, 소프트웨어 저장소의 접근 제어 강화는 말할 것도 없습니다.
XZ Utils 백도어 프로그램이란 무엇이며, 어떻게 완화할 수 있나요?
3월 29일, 레드햇은 긴급 보안 경보를 발표하여 Fedora Linux 40 및 Fedora Rawhide 사용자에게 최신 버전의 "XZ" 압축 도구 및 라이브러리에 악성 코드가 포함되어 있으며, 이 악성 코드는 무단 제3자 접근을 용이하게 하기 위해 특별히 제작된 것으로 보인다고 경고했습니다. 이 악성 코드가 어떻게 주입되었는지는 향후 심층 연구의 주제가 될 수 있지만, 이는 위협 행위자, 즉 "Jia"라는 가명의 공격자가 수행한 수년에 걸친 복잡하고인내심 있는, 수년간 지속된 사회공학적 연습의 결과물입니다. 이 인물은 수많은 시간을 들여 다른 유지보수자들의 신뢰를 얻었고, XZ 유틸리티 프로젝트와 커뮤니티에 2년 이상 합법적인 기여를 했습니다. 여러 소크퍼펫 계정을 통해 자원봉사 프로젝트 소유자 라세 콜린(Lasse Collin)에 대한 신뢰를 약화시킨 후, 그는 결국 "신뢰할 수 있는 유지보수자" 지위를 획득했습니다:
이 특이한 사례는 기술 수준이 높은 인력이 여전히 전략의 희생양이 될 수 있음을 보여주는 전형적인 예시입니다. 이러한 전략은 일반적으로 덜 정통한 사람들을 대상으로 사용되지만, 이는 정밀하고 역할 기반의 보안 인식 교육이 필요함을 시사합니다. 마이크로소프트 소프트웨어 엔지니어와 PostgreSQL 유지보수자의 호기심과 날카로운 사고 덕분에, 안드레스 프로이엔트(Andres Freund) 의발견 덕분에 백도어가 발견되고 버전이 롤백되어, 현대사에서 가장 파괴적일 수 있었던 공급망 공격이 막을 내렸다.
백도어 프로그램 자체는 NIST 레지스트리에심각도 최고 등급의 취약점으로 공식 등록되었습니다. 초기에는 SSH 인증 우회를 허용하는 것으로 여겨졌으나, 추가 조사 결과 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전을 포함한 취약한 Linux 시스템에서 인증 없이 원격 코드 실행이 가능함을 확인했습니다.
Jia Tan은 악성 소프트웨어 패키지를 난독화하는 데 만전을 기한 것으로 보이며, 빌드 과정에서 패키지가 자체적으로 생성되도록 트리거할 때 systemd를 통한 SSHD 인증을 방해합니다. Red Hat이 상세히 설명한 바와 같이, 적절한 상황에서 이러한 방해는 공격자가 SSHD 인증을 우회하고 전체 시스템에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
마이크로소프트는 시스템에서 취약점 악용 사례를 확인하고 그 영향을 완화하는 포괄적인 가이드라인을 발표했으며, CISA는 영향을 받은 개발자와 사용자가 XZ Utils를 할인되지 않은 버전(예: XZ Utils 5.4.6 안정 버전)으로 다운그레이드할 것을 권고하는 등 즉각적인 조치를 제안했습니다.
이러한 공격을 방지하는 것은 특히 소프트웨어에 오픈소스 구성 요소를 사용할 때 매우 어렵습니다. 공급망의 보안은 거의 보장되지 않으며 투명성도 부족하기 때문입니다. 우리는 소프트웨어 공급망에서 의도치 않은 취약점을 해결해 왔지만, 이러한 위험은 이제 오픈소스 보안을 해치기 위해 악의를 품고 고의로 심어진 보안 취약점까지 포함하는 수준으로 확대되었습니다.
강력한 보안 의식, 우수한 보안 지식, 그리고 약간의 편집증 없이는 대부분의 개발자가 이러한 성격의 공격을 막을 수 없을 것입니다. 이는 거의 위협 행위자의 사고방식이 필요한 사례입니다.그러나 핵심 고려 사항은 항상 소스 코드 저장소를 중심으로 한 내부 통제(즉, 비공개) 여야 합니다. 검증된 관련 보안 기술을 보유한 인원만 이에 접근할 수 있어야 합니다. 애플리케이션 보안 전문가들은 보안 기술을 보유한 개발자만이 최종 메인 브랜치에 변경을 가할 수 있도록 하는 브랜치 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원봉사자는 영웅이지만, (아마도) 한 마을 전체가 필요할 정도로 보안 소프트웨어를 유지하는 것은 어렵습니다.
소프트웨어 공학 분야 외부의 사람들에게는 활기찬 자원봉사자 커뮤니티가 시대에 맞춰 핵심 시스템을 부지런히 유지 관리한다는 개념이 이해하기 어려운 것이지만, 이것이 바로 오픈소스 개발의 본질이며, 공급망 보안을 담당하는 전문가들에게 여전히 중대한 위험에 직면한 영역입니다.
오픈소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 구성 요소이며, 신뢰할 수 있는 유지 관리자들(대부분 선의로 행동함)은 기술 발전과 무결성을 이타적으로 추구하는 과정에서 진정한 영웅입니다.그러나 그들에게 고립된 상태로 책임을 지우는 것은 우스꽝스러운 일입니다. DevSecOps 중심의 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중 마주칠 수 있는 보안 문제에 대처할 지식과 적절한 도구를 숙지해야 합니다. 소프트웨어 개발 과정에서 보안 의식과 실무 능력은 타협할 수 없는 요소여야 하며, 보안 리더는 기업 차원의 변화를 주도할 책임이 있습니다.
심층적인 접근 방식을 통해 현대 조직 내에서 번성하는 안전 문화를 구축합니다 과정 보안 코드 전사로부터.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
악의적인 소프트웨어 공급망 취약점이 발견된 후, 사이버 보안 업계는 다시 한번 경계 태세를 강화하고 있다. 이 취약점은 주요 리눅스 배포판에 포함된 XZ 유틸리티 압축 라이브러리에 영향을 미치며,CVE-2024-3094로 기록된 이 취약점은 신뢰받던 자원봉사 시스템 관리자가 고의로 삽입한 백도어에서 비롯되었습니다. 성공적으로 악용될 경우 원격 코드 실행(RCE)을 허용하는 등 심각도가 매우 높아 기존 소프트웨어 빌드 프로세스에 심각한 피해를 입힐 수 있습니다.
다행히 다른 관리자가 악성 코드가 안정적인 리눅스 버전으로 유입되기 전에 이 위협을 발견했습니다.그러나 Fedora Rawhide의 일부로 XZ Utils 5.6.0 및 5.6.1 버전을 실행하기 시작한 사람들에게는 여전히 문제가 되며, 조직들도 긴급 우선순위로 패치를 촉구합니다. 이 발견이 제때 발견되지 않았다면, 위험 상황은 이를 기록상 가장 파괴적인 공급망 공격 중 하나로 만들었을 것이며, 심지어 SolarWinds 사건을 능가했을 수도 있습니다.
커뮤니티 자원봉사자들이 핵심 시스템을 유지 관리하는 현상은 널리 기록되어 왔지만, 이와 같은 고영향 문제들이 표면화되기 전까지는 거의 논의되지 않았습니다. 그들의 끊임없는 노력이 오픈소스 소프트웨어 유지 관리에 필수적임에도 불구하고, 이는 개발자 수준에서 보안 기술과 인식에 대한 진지한 강조가 필요함을 부각시켰으며, 소프트웨어 저장소의 접근 제어 강화는 말할 것도 없습니다.
XZ Utils 백도어 프로그램이란 무엇이며, 어떻게 완화할 수 있나요?
3월 29일, 레드햇은 긴급 보안 경보를 발표하여 Fedora Linux 40 및 Fedora Rawhide 사용자에게 최신 버전의 "XZ" 압축 도구 및 라이브러리에 악성 코드가 포함되어 있으며, 이 악성 코드는 무단 제3자 접근을 용이하게 하기 위해 특별히 제작된 것으로 보인다고 경고했습니다. 이 악성 코드가 어떻게 주입되었는지는 향후 심층 연구의 주제가 될 수 있지만, 이는 위협 행위자, 즉 "Jia"라는 가명의 공격자가 수행한 수년에 걸친 복잡하고인내심 있는, 수년간 지속된 사회공학적 연습의 결과물입니다. 이 인물은 수많은 시간을 들여 다른 유지보수자들의 신뢰를 얻었고, XZ 유틸리티 프로젝트와 커뮤니티에 2년 이상 합법적인 기여를 했습니다. 여러 소크퍼펫 계정을 통해 자원봉사 프로젝트 소유자 라세 콜린(Lasse Collin)에 대한 신뢰를 약화시킨 후, 그는 결국 "신뢰할 수 있는 유지보수자" 지위를 획득했습니다:
이 특이한 사례는 기술 수준이 높은 인력이 여전히 전략의 희생양이 될 수 있음을 보여주는 전형적인 예시입니다. 이러한 전략은 일반적으로 덜 정통한 사람들을 대상으로 사용되지만, 이는 정밀하고 역할 기반의 보안 인식 교육이 필요함을 시사합니다. 마이크로소프트 소프트웨어 엔지니어와 PostgreSQL 유지보수자의 호기심과 날카로운 사고 덕분에, 안드레스 프로이엔트(Andres Freund) 의발견 덕분에 백도어가 발견되고 버전이 롤백되어, 현대사에서 가장 파괴적일 수 있었던 공급망 공격이 막을 내렸다.
백도어 프로그램 자체는 NIST 레지스트리에심각도 최고 등급의 취약점으로 공식 등록되었습니다. 초기에는 SSH 인증 우회를 허용하는 것으로 여겨졌으나, 추가 조사 결과 Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed 및 일부 Debian 버전을 포함한 취약한 Linux 시스템에서 인증 없이 원격 코드 실행이 가능함을 확인했습니다.
Jia Tan은 악성 소프트웨어 패키지를 난독화하는 데 만전을 기한 것으로 보이며, 빌드 과정에서 패키지가 자체적으로 생성되도록 트리거할 때 systemd를 통한 SSHD 인증을 방해합니다. Red Hat이 상세히 설명한 바와 같이, 적절한 상황에서 이러한 방해는 공격자가 SSHD 인증을 우회하고 전체 시스템에 대한 무단 원격 접근 권한을 획득할 수 있게 할 수 있습니다.
마이크로소프트는 시스템에서 취약점 악용 사례를 확인하고 그 영향을 완화하는 포괄적인 가이드라인을 발표했으며, CISA는 영향을 받은 개발자와 사용자가 XZ Utils를 할인되지 않은 버전(예: XZ Utils 5.4.6 안정 버전)으로 다운그레이드할 것을 권고하는 등 즉각적인 조치를 제안했습니다.
이러한 공격을 방지하는 것은 특히 소프트웨어에 오픈소스 구성 요소를 사용할 때 매우 어렵습니다. 공급망의 보안은 거의 보장되지 않으며 투명성도 부족하기 때문입니다. 우리는 소프트웨어 공급망에서 의도치 않은 취약점을 해결해 왔지만, 이러한 위험은 이제 오픈소스 보안을 해치기 위해 악의를 품고 고의로 심어진 보안 취약점까지 포함하는 수준으로 확대되었습니다.
강력한 보안 의식, 우수한 보안 지식, 그리고 약간의 편집증 없이는 대부분의 개발자가 이러한 성격의 공격을 막을 수 없을 것입니다. 이는 거의 위협 행위자의 사고방식이 필요한 사례입니다.그러나 핵심 고려 사항은 항상 소스 코드 저장소를 중심으로 한 내부 통제(즉, 비공개) 여야 합니다. 검증된 관련 보안 기술을 보유한 인원만 이에 접근할 수 있어야 합니다. 애플리케이션 보안 전문가들은 보안 기술을 보유한 개발자만이 최종 메인 브랜치에 변경을 가할 수 있도록 하는 브랜치 수준 보안 제어와 같은 설정을 고려할 수 있습니다.
자원봉사자는 영웅이지만, (아마도) 한 마을 전체가 필요할 정도로 보안 소프트웨어를 유지하는 것은 어렵습니다.
소프트웨어 공학 분야 외부의 사람들에게는 활기찬 자원봉사자 커뮤니티가 시대에 맞춰 핵심 시스템을 부지런히 유지 관리한다는 개념이 이해하기 어려운 것이지만, 이것이 바로 오픈소스 개발의 본질이며, 공급망 보안을 담당하는 전문가들에게 여전히 중대한 위험에 직면한 영역입니다.
오픈소스 소프트웨어는 거의 모든 기업의 디지털 생태계에서 중요한 구성 요소이며, 신뢰할 수 있는 유지 관리자들(대부분 선의로 행동함)은 기술 발전과 무결성을 이타적으로 추구하는 과정에서 진정한 영웅입니다.그러나 그들에게 고립된 상태로 책임을 지우는 것은 우스꽝스러운 일입니다. DevSecOps 중심의 이 시대에 보안은 공동의 책임이며, 모든 개발자는 업무 중 마주칠 수 있는 보안 문제에 대처할 지식과 적절한 도구를 숙지해야 합니다. 소프트웨어 개발 과정에서 보안 의식과 실무 능력은 타협할 수 없는 요소여야 하며, 보안 리더는 기업 차원의 변화를 주도할 책임이 있습니다.
심층적인 접근 방식을 통해 현대 조직 내에서 번성하는 안전 문화를 구축합니다 과정 보안 코드 전사로부터.
%20(1).avif)
.avif)
