VLC 관련 “심각한” 보안 취약점 논란, 과장된 것일까?
일부 웹사이트에서 “하늘이 무너지고 있다! 당장 VLC를 제거하라!”는 과격한 주장이 나오고 있습니다. 하지만 이러한 주장의 근거가 된 VLC 보안 결함은 과장되었을 가능성이 있으며, VLC 개발자들은 실제 위험이 아닐 수도 있다고 반박하고 있습니다.
이 논란은 CVE-2019-13615의 발표로 시작되었습니다. 이 취약점은 10점 만점에 9.8점이라는 “심각한” 등급으로 평가되었습니다. VLC 개발자들은 해당 취약점이 공개되기 전에 자신들과의 사전 협의가 없었다는 점에 불만을 표출했습니다.
Hey @MITREcorp and @CVEnew , not really cool that you didn’t contact us about a VLC vulnerability for YEARS before publishing. But at least, you could check info or confirm with us before publicly sending out a 9.8 CVSS vulnerability. pic.twitter.com/b2w700j5oI
— VideoLAN (@videolan) July 23, 2019
9.8점이라는 높은 점수는 매우 심각하게 들립니다. 이는 보안 결함이 핵 공격만큼 위험할 수 있다는 인상을 줄 수 있습니다. 해당 결함으로 인해 원격 코드 실행이 가능하며, 공격자는 VLC의 취약점을 이용하여 시스템을 제어할 수 있다고 알려졌습니다.
CVE 설명에 따르면, 이 결함은 잘못된 형식의 MKV 파일을 재생할 때 발생합니다. 이론적으로, 웹에서 악성 MKV 파일을 다운로드하여 실행하면 VLC가 손상될 수 있습니다. 하지만, 실제로 이러한 공격이 발생한 사례는 아직 보고되지 않았습니다. 또한, macOS 버전의 VLC는 이 취약점의 영향을 받지 않는 것으로 보입니다.
따라서, 이 결함이 실제로 심각할 수 있지만, 우선은 MKV 파일에 대해 주의를 기울이는 것이 좋습니다. 패치가 공개될 때까지 신뢰할 수 없는 MKV 파일을 다운로드하거나 VLC에서 재생하는 것을 피하는 것이 좋습니다. 특히, 불법 복제된 미디어를 이용하는 경우 MKV 파일은 멀리하는 것이 안전합니다.
하지만 여기서 멈추지 마십시오! VLC 개발자들은 문제를 재현조차 할 수 없다고 주장하며, 최초의 익스플로잇 보고서에 심각한 문제가 있을 수 있음을 시사하고 있습니다.
Did you also check this?
Nobody is able to reproduce this issue here.— VideoLAN (@videolan) July 23, 2019
결론적으로, VLC가 이 결함을 수정하는 패치를 배포할 때까지 다운로드한 MKV 파일을 멀리하는 것은 현명한 선택입니다. 하지만 과도한 걱정은 불필요하며, 현재로서는 지나친 편집증적 태도를 취할 필요는 없습니다.
VLC 개발자들은 VideoLAN 버그 추적기를 통해 다음과 같이 설명합니다:
“죄송합니다. 하지만 이 버그는 재현할 수 없으며 VLC와 충돌하지 않습니다.” – 장 바티스트 켐프
“만약 VLC의 치명적인 결함을 주장하는 뉴스 기사를 통해 이 티켓에 도달하셨다면, 먼저 위의 댓글을 읽고 (가짜) 뉴스 소스를 재검토해 보시길 권합니다.” – 프랑수아 카르테니
“VLC 3.0.7.1의 일반 릴리스는 충돌하지 않습니다.” – 장 바티스트 켐프
업데이트: VideoLAN의 추가적인 답변입니다. 개발자들에 따르면, 현재 VLC 소프트웨어에는 해당 결함이 존재하지 않습니다.
So, a journalist opened a bug on our bug tracker (which is outside our reporting policy), sent by mail privately with a security alias.
Of course, the bug tracker is public.Of course, he was unable to reproduce the issue, and we tried to contact privately the security researcher.
— VideoLAN (@videolan) July 24, 2019