지난 4월 발견돼 세계를 경악시킨 오픈 SSL 취약점(일명 하트블리드)에 버금가는 새로운 배시(Bash:Bourne Again Shell) 버그가 나타났다. 이 결함은 하트블리드보다 더 널리 퍼져 있는데다가 해커들이 악용하기 쉬운 것으로 알려져 IT 업계에 비상이 걸렸다.
한국인터넷진흥원(원장 백기승)과 미국 컴퓨터위기대응팀(CERT)은 리눅스 계열 운용체계(OS)에서 사용 중인 GNU Bash에서 발생하는 임의코드 실행 취약점 보안 업데이트를 권고했다. 이 결함은 배시 버그 또는 셸쇼크(Shellshock)라 불린다.
배시는 리눅스와 유닉스에 쓰이는 명령 프롬프트 인터페이스다. 리눅스와 유닉스 등 GNU 배시를 사용하는 모든 OS에 영향을 끼친다. 웹서버와 각종 장비가 리눅스를 쓰고 있어 발빠른 패치가 시급하다.
공격자는 배시 취약점이 존재하는 시스템을 대상으로 원격에서 악의적인 시스템 명령을 실행할 수 있다. 한마디로 표적으로 삼은 시스템 권한을 탈취하고 내부 데이터를 유출하거나 다른 기능을 하는 악성코드를 심을 수 있다. 미국 국가표준기술원(NIST)은 이 결함이 10점 만점에 10점에 달하는 심각한 수준이라고 밝혔다.
보안기업 파이어아이는 이 버그로 세계 웹페이지를 제공하는 서버 20~50%가 타격을 입을 수 있다고 경고했다. 특히 이번 버그는 인터넷 트래픽을 처리하는 GNU Bash 기반 웹서버에 영향을 미친다.
파이어아이는 “배시 버그는 웹사이트 방문자를 대상으로 하는 워터링 홀 공격과 같이 특정 웹사이트를 활용해 추가적인 웹 위협 발생 가능성이 크다”며 “이례적으로 높은 성공률의 표적 공격이 다량으로 발생할 수 있다”고 밝혔다.
최진영 고려대 융합소프트웨어 전문대학원 교수는 “소프트웨어를 개발할 때 보안을 고려하는 것이 얼마나 중요한지 보여주는 또 하나의 사건”이라며 “빨리 결함을 패치하는 것은 물론이고 사용 중인 주요 소프트웨어를 보안 관점에서 점검해야 할 때”라고 설명했다.
김인순기자 insoon@etnews.com
