Linux 운영 체제를 사용하시나요? 그렇다면 Arch, Debian, Fedora 등 널리 사용되는 수많은 배포판에 영향을 미치는 널리 퍼진 보안 문제를 알고 있어야 합니다.
잠재적으로 수백만 대의 Linux 기반 시스템에 XZ Utils 백도어가 존재한다는 것은 심각한 보안 위협이므로 하드웨어를 보호하기 위한 사전 조치가 필요합니다. 시스템의 무결성을 보장하려면 소프트웨어 업데이트를 설치하기 전에 진위 여부를 확인하는 것이 필수적입니다. 이는 gpg 또는 openssl과 같은 도구를 사용하여 업데이트 패키지의 디지털 서명을 확인함으로써 가능합니다. 또한 운영 체제와 애플리케이션을 최신 보안 패치로 최신 상태로 유지하는 것은 백도어로 인한 잠재적 취약성을 완화하는 데 매우 중요합니다. 또한 시스템에 설치된 패키지를 정기적으로 검토하고 감사하여 무단으로 변경되었을 수 있는 사항을 파악하는 것이 좋습니다. 이러한 예방 조치를 취함으로써 사용자는
XZ Utils 백도어의 피해를 최소화할 수 있습니다.
XZ Utils는 파일 압축 및 압축 해제를 위해 설계된 오픈 소스 소프트웨어 도구 모음으로, ZIP과 마찬가지로 Linux 플랫폼에서 일반적으로 사용됩니다. 이 유틸리티는 백도어가 발견되기 전에는 뛰어난 성능으로 Linux 커뮤니티에서 높은 평가를 받았습니다.
XZ가 널리 퍼져 있고 가해자가 오픈 소스 커뮤니티에 침투하는 데 보여준 독창성으로 인해 그 안에서 발견된 백도어에 대한 관심이 상당히 높아졌습니다.
이 백도어 공격은 공격자가 수년에 걸쳐 장기전을 펼친 사례로 보입니다. ‘지아 탄’이라는 이름을 사용했지만 실제 신원은 알려지지 않은 공격자는 소프트웨어 업데이트 일정이 늦어지고 있던 XZ의 원래 개발자 라세 콜린에게 접근했습니다. 콜린은 정신 건강 문제를 이유로 공범일 가능성이 있는 사람의 압력을 받고 결국 공격자에게 유지 관리 권한을 양도했다고 Rob Mensching 는 밝혔습니다.
사건에 대한 추가 조사 결과, 가해자로 추정되는 사람이 Linux 기반 시스템에서 원격 액세스에 일반적으로 사용되는 보안 셸(SSH) 프로토콜을 통해 무단으로 침입하기 위해 백도어를 도입한 것으로 밝혀졌습니다. 다행히도 이 파괴적인 행위는 SSH의 성능이 예상 성능과 일치하지 않는다는 것을 알아차린 Microsoft 엔지니어 안드레스 프라운드의 예리한 관찰이 아니었다면 발견되지 않았을 수도 있습니다. 이후 분석 결과 이 이상 현상은 특정 버전의 SSH, 즉 5.6.0과 5.6에서 발생한 것으로 밝혀졌습니다.
널리 사용되는 XZ 소프트웨어와 SSH 프로토콜에서 백도어가 발견되어 원격 시스템에 대한 광범위한 무단 액세스를 가능하게 할 수 있어 심각한 위협이 되었습니다. 그 결과, XZ 프로젝트와 관련된 주요 개발자의 GitHub 계정이 해지되었고, 프로젝트의 공식 웹사이트는 이후 공개되지 않게 되었습니다.
공격자가 흔적을 은폐하는 데 성공한 점과 오픈 소스 개발자의 역할을 맡은 정교함으로 인해 보안 연구자들 사이에서 러시아나 중국과 같은 국가가 백도어를 실행했을 수 있다는 추측이 나오고 있지만, 아직 확실한 증거는 없는 것으로 보입니다 유선 에 따르면.
어떤 리눅스 배포판이 XZ Utils 백도어의 영향을 받나요?
XZ 백도어의 주요 초점은 기업 내에서 널리 사용되는 Red Hat 및 Debian/Ubuntu 시스템에 있는 것으로 보입니다. 그럼에도 불구하고, 아치 리눅스, 젠투, 페도라, 데비안의 테스트 버전 또는 불안정한 버전에서 사용되는 소프트웨어 패키지와 같은 최신 소프트웨어 패키지는 손상된 XZ 버전이 포함되어 있기 때문에 영향을 받을 가능성이 더 높은 것으로 밝혀졌습니다.
기업 환경에서 안정적인 Linux 배포판이 널리 보급된 것을 고려할 때, 이러한 시스템은 지금까지 어떤 부작용으로부터도 격리되어 있는 것으로 보입니다. 특히 데비안은 공식 웹사이트를 통해 액세스할 수 있는 안정 버전은 아직까지 아무런 문제가 없다고 보고했습니다. 마찬가지로 레드햇 엔터프라이즈 리눅스와 우분투도 이 문제를 완전히 피한 것으로 보입니다.
XZ Utils 백도어로부터 Linux 시스템을 보호하는 방법
어떤 배포판을 사용하든 단기적으로 자신을 보호하는 가장 좋은 방법은 패키지 관리자의 업데이트 유틸리티를 통해 업데이트하는 것입니다. XZ 백도어가 발견되었을 때 Linux 배포판은 신속하게 대응하여 필요한 경우 시스템에 설치된 XZ Utils 버전을 다운그레이드하는 시스템 업데이트를 푸시했습니다. Arch 과 같은 최신 배포판도 사용자에게 가능한 한 빨리 업데이트할 것을 촉구했습니다.
최근 XZ Utils에 대한 사이버 공격으로 인해 오픈 소스 프로젝트의 감독 및 관리에 대한 우려가 제기되었습니다.다른 수많은 오픈소스 이니셔티브와 마찬가지로, XZ Utils는 한 명의 자원 봉사 개발자가 감독하고 있습니다. 이러한 거버넌스 모델은 OpenSSH에서 하트블리드 취약점이 발견되기까지의 개발 주기 동안에도 존재했습니다.
XZ Utils와 유사한 프로젝트가 수많은 Linux 배포판 내에 널리 퍼져 있으며, 오픈 소스 프로젝트의 활용은 무료 소프트웨어에만 국한되지 않습니다. 실제로 Spotify 및 Google Chrome과 같은 인기 소프트웨어를 포함한 수많은 독점 애플리케이션이 오픈 소스 컴포넌트를 광범위하게 사용하고 있습니다. 이러한 애플리케이션의 ‘정보’ 섹션을 살펴보면 다양한 오픈소스 도구와의 통합을 확인할 수 있으며, 이는 다양한 플랫폼과 업계에서 이러한 관행이 널리 채택되고 있음을 보여줍니다. 예를 들어, XZ Utils는 Chrome에서 제공하는 기능의 일부를 구성합니다.
개발자는 상당한 편의성을 제공하는 이러한 도구를 활용하여 프로그램의 각 구성 요소를 직접 제작하는 데 드는 노력과 시간을 줄이면서 작업을 완료할 수 있습니다.
앞으로 사용자와 기업은 자신이 의존하는 오픈 소스 소프트웨어와의 관계를 재평가해야 할 것입니다. 여기에는 오픈소스 개발자에 대한 검증을 강화하는 것부터 Rob Mensching이 제안한 개발자가 번아웃으로 인한 고통을 겪지 않도록 보상하는 방법을 찾는 것까지 다양할 수 있습니다.
이번 사건을 계기로 오픈소스 개발에 더 많은 관심과 조사가 이루어질 가능성이 높아 보입니다.