컴퓨터 프로그램은 작동을 위해 코드에 의존하지만, 코드 오류는 소프트웨어의 취약점으로 이어질 수 있습니다. 이러한 취약점 중 일부는 사이버 보안 분야에 큰 혼란과 심각한 결과를 초래하기도 했습니다.
그렇다면, 가장 심각하고 위험한 소프트웨어 취약점은 무엇일까요?
1. 로그4쉘
로그4쉘(Log4Shell) 소프트웨어 취약점은 전 세계적으로 수많은 사용자를 보유한 자바 로깅 프레임워크인 아파치 Log4j에서 발견되었습니다.
2021년 11월, 알리바바 클라우드 보안팀의 첸 자오준(Chen Zhaojun)이 치명적인 코드 결함을 발견했습니다. 그는 마인크래프트 서버에서 이 결함을 최초로 발견했습니다.
공식적으로 CVE-2021-44228로 명명된 이 결함은 로그4쉘로 널리 알려지게 되었습니다.
로그4쉘 보안 취약점은 제로데이 취약점이었기 때문에, 사이버 보안 전문가들이 발견하기 전에 악의적인 공격자들이 먼저 악용했습니다. 이 취약점을 통해 원격 코드 실행이 가능해졌고, 해커들은 Log4j에 악성 코드를 설치하여 데이터 유출, 감시, 악성 코드 확산을 일으킬 수 있었습니다.
로그4쉘 취약점이 발견된 직후 패치가 배포되었지만, 이 보안 문제는 아직 완전히 해결되지 않았습니다.
패치로 인해 위협 수준은 크게 감소했지만, 사이버 범죄자들은 여전히 로그4쉘을 악용하고 있습니다. 레질리온에 따르면, 공개된 마인크래프트 서버의 26%가 여전히 로그4쉘에 취약한 상태입니다.
만약 기업이나 개인이 소프트웨어를 업데이트하지 않은 경우, 로그4쉘 취약점이 여전히 존재하여 공격자들에게 취약한 상태로 남아있게 됩니다.
2. 이터널블루
이터널블루(EternalBlue, 공식 명칭 MS17-010)는 2017년 4월부터 논란이 된 소프트웨어 취약점입니다. 이 취약점의 놀라운 점은, 미국 국무부를 지원하는 것으로 알려진 미국 정보기관인 NSA(국가안보국)에서 일부 개발했다는 사실입니다.
NSA는 마이크로소프트 내부에서 이터널블루 취약점을 발견했지만, 마이크로소프트는 5년이 지나서야 이 결함을 인지했습니다. 이터널블루는 NSA에서 사이버 무기 가능성을 연구하던 중 개발되었으며, 해킹을 통해 전 세계에 알려지게 되었습니다.
2017년, ‘섀도 브로커스’(Shadow Brokers)라는 해킹 그룹이 NSA에 침투한 후 이터널블루의 존재를 유출했습니다. 이 결함으로 인해 NSA는 윈도우 7, 윈도우 8, 그리고 윈도우 비스타를 사용하는 장치들을 포함한 다양한 윈도우 기반 장치에 대한 비밀 백도어 접근 권한을 갖고 있었던 것으로 밝혀졌습니다. 즉, NSA는 사용자도 모르게 수백만 대의 장치에 접근할 수 있었던 것입니다.
이터널블루에 대한 패치가 배포되었지만, 마이크로소프트와 대중의 인식 부족으로 인해 장치들은 수년 동안 취약한 상태로 남아 있었습니다.
3. 하트블리드
하트블리드(Heartbleed) 보안 결함은 2년 전에 OpenSSL 코드 라이브러리에 존재했지만, 2014년에 공식적으로 발견되었습니다. OpenSSL 라이브러리의 특정 구형 버전에는 하트블리드가 있었으며, 이는 발견 직후 매우 심각한 것으로 간주되었습니다.
공식적으로 CVE-2014-0160으로 알려진 하트블리드는 OpenSSL에 존재했기 때문에 특히 문제가 되었습니다. OpenSSL이 웹사이트 데이터베이스와 사용자 간의 SSL 암호화 계층으로 사용되었기 때문에, 하트블리드 결함을 통해 다양한 민감한 데이터에 접근할 수 있었습니다.
그러나 이 통신 과정에서 암호화되지 않은 또 다른 연결이 존재했습니다. 이는 대화에 참여하는 두 컴퓨터가 활성화되도록 하는 기본적인 계층과 같았습니다.
해커들은 이전에 보안이 유지된 컴퓨터에서 중요한 데이터를 빼내기 위해 이 암호화되지 않은 통신 회선을 악용했습니다. 기본적으로 공격자들은 시스템에 요청을 과도하게 보내 정보를 탈취했습니다.
하트블리드는 공식적으로 발견된 달에 패치되었지만, 이전 버전의 OpenSSL은 여전히 이 결함에 취약할 수 있습니다.
4. 더블 킬
더블 킬(Double Kill, 또는 CVE-2018-8174)은 윈도우 시스템을 위험에 빠뜨리는 치명적인 제로데이 취약점입니다. 2018년에 발견된 이 결함은 윈도우 7 이후의 모든 윈도우 운영체제에 존재했기 때문에 사이버 보안 뉴스 헤드라인을 장식했습니다.
더블 킬은 윈도우 인터넷 익스플로러 브라우저에서 발견되었으며, VB스크립트 결함을 악용했습니다. 공격 방식은 취약점을 악용하는 데 필요한 코드가 담긴 악성 인터넷 익스플로러 웹페이지를 사용하는 것이었습니다.
더블 킬은 적절하게 악용될 경우 공격자에게 원래 인증된 사용자와 동일한 수준의 시스템 권한을 부여할 수 있는 잠재력이 있었습니다. 공격자는 이 시나리오에서 윈도우 장치를 완전히 제어할 수 있었습니다.
2018년 5월, 윈도우는 더블 킬에 대한 패치를 배포했습니다.
5. CVE-2022-0609
CVE-2022-0609는 2022년에 확인된 또 다른 심각한 소프트웨어 취약점입니다. 크롬 기반 버그로 밝혀졌으며, 공격자들이 악용한 제로데이 취약점이었습니다.
이 취약점은 모든 크롬 사용자에게 영향을 미칠 수 있었기 때문에 매우 심각한 수준으로 평가되었습니다. CVE-2022-0609는 use-after-free 버그로 알려져 있으며, 이는 원격으로 데이터를 변경하고 코드를 실행할 수 있음을 의미합니다.
구글은 크롬 브라우저 업데이트를 통해 CVE-2022-0609에 대한 패치를 신속하게 배포했습니다.
6. 블루킵
2019년 5월, 블루킵(BlueKeep)으로 알려진 치명적인 소프트웨어 결함이 사이버 보안 전문가 케빈 보몬트(Kevin Beaumont)에 의해 발견되었습니다. 이 결함은 시스템 문제 진단 및 사용자가 원격으로 데스크톱에 액세스할 수 있도록 하는 데 사용되는 마이크로소프트 원격 데스크톱 프로토콜(RDP)에서 발견되었습니다.
공식적으로 CVE-2019-0708로 알려진 블루킵은 원격 코드 실행이 가능한 취약점으로, 대상 장치에서 원격으로 코드를 실행하는 데 사용될 수 있었습니다. 마이크로소프트에서 개발한 개념 증명은 공격자가 1분 이내에 대상 컴퓨터를 손상시키고 탈취할 수 있다는 것을 보여주어 결함의 심각성을 부각했습니다.
장치에 접근하면, 공격자는 사용자 데스크톱에서 원격으로 코드를 실행할 수 있었습니다.
블루킵의 한 가지 특징은 이전 버전의 윈도우에만 영향을 미친다는 것입니다.
- 윈도우 비스타
- 윈도우 XP
- 윈도우 서버 2003
- 윈도우 서버 2008
- 윈도우 서버 2008 R2
- 윈도우 7
만약 사용하는 장치가 위에 나열된 버전보다 최신 윈도우 운영체제에서 실행 중이라면, 블루킵에 대해 걱정할 필요가 없을 것입니다.
7. 제로로그온
제로로그온(ZeroLogon, 공식 명칭 CVE-2020-1472)은 2020년 8월에 발견된 마이크로소프트 기반의 소프트웨어 보안 결함입니다. CVSS(Common Vulnerability Scoring System)는 이 결함의 심각도 척도에서 10점 만점에 10점을 부여하여 매우 위험한 것으로 평가했습니다.
제로로그온은 일반적으로 윈도우 엔터프라이즈 서버에 있는 액티브 디렉터리(Active Directory) 리소스를 악용할 수 있었습니다. 공식적으로 이것은 액티브 디렉터리 Netlogon 원격 프로토콜로 알려져 있습니다.
제로로그온은 비밀번호를 포함한 중요한 계정 정보를 변경할 수 있었기 때문에 사용자를 위험에 빠뜨렸습니다. 이 결함은 신원 확인 없이 계정에 접근할 수 있도록 인증 방식을 악용했습니다.
마이크로소프트는 발견과 동시에 제로로그온에 대한 두 가지 패치를 배포했습니다.
소프트웨어 취약점은 우려스러울 정도로 흔합니다.
우리는 소프트웨어에 지나치게 의존하고 있기 때문에, 버그와 결함이 발생하는 것은 불가피한 일입니다. 하지만 이러한 코드 오류 중 일부는 심각한 보안 취약점으로 이어져 공급업체와 사용자 모두를 위험에 빠뜨릴 수 있습니다.