[디지털데일리 이민형기자] 리눅스 시스템을 원격제어할 수 있는 치명적인 취약점 고스트(ghost, CVE-2015-0235)로 인해 보안업계가 긴급 대응에 나섰다.

28일 보안업계에 따르면 한국인터넷진흥원(KISA)를 비롯해 보안·네트워크 업계가 고스트 취약점 대응을 위해 ‘리눅스 그누(GNU) C 라이브러리(glibc)’로 개발된 솔루션 파악에 한창이다.

이번에 발견된 취약점은 glibc에서 동작한다. 리눅스의 겟호스트바이네임(gethostbyname) 명령어를 악용해 버퍼오버플로우(buffer overflow)를 발생시킬 수 있게 되고, 이를 통해 시스템을 장악, 원격제어를 할 수 있게 된다.

문제는 국내에서 사용되고 있는 많은 보안, 네트워크 장비들은 glibc를 기반으로 개발됐다는 점이다. 개인들이 쓰는 인터넷공유기에서부터 기업들이 사용하는 방화벽, 침입방지시스템(IPS)들도 여기에 포함될 수 있다.

고스트 취약점이 악용될 경우 시스템을 원격조정해 다양한 악성행위를 할 수 있다. 가령 웹서버 원격제어로 웹사이트를 위변조해 악성코드를 배포할 수 있게 되고, 메일서버 권한을 사용해 대량의 스팸메일 등을 보낼 수 있게 된다.

특히 지난해 공유기 악성코드 감염을 통한 DNS 디도스 공격도 불가능한 일이 아니게 된다. 이 취약점이 삽입된 악성코드가 드라이브바이다운로드(DBD) 형태로 배포되면 수십, 수백만개의 공유기가 감염돼 대형 사고로 이어질 수 있다.

국내 보안업계에서는 이 취약점에 대해 매우 심각하게 받아들이고 있다. 영향을 받는 장비들이 매우 많고 파급력이 상상 이상일 수 있기 때문이다.

이와 관련 KISA 관계자는 “원격제어가 가능한 취약점은 거의 나타나지 않을 정도로 심각성이 높다”며 “취약점이 악성코드로 만들어져 뿌려질 가능성을 염두해두고 있다. 이 경우 악성행위를 막아야 하는 보안장비들이 공격을 받는 상황이 발생할 수도 있다”고 말했다.

또 보안업계 관계자는 “리눅스 glibc 기반의 제품을 개발하는 제조사들이 빠르게 움직여줘야 한다. 해당 취약점에 영향을 받는 제품을 파악하고 패치를 내놔야 할 것”이라며 “고객들도 자신들의 자산을 파악해 영향을 받는 제품에 대한 대응에 나서고 패치를 수행해야 한다”고 당부했다.

현재 레드햇, 센트OS, 우분트 등 리눅스 개발사들은 glibc 커널 패치를 내놨다. 커널 버전 호환성이나 애플리케이션 충돌만 발생하지 않는다면 커널 패치만으로 취약점을 보강할 수 있다.

하지만 상황은 그리 낙관적이지 않아 보인다. 개발사가 폐업을 한 경우 기존 애플리케이션과의 호환성 문제 등으로 인해 커널 업데이트가 불가능 할 수도 있다.

특히 이번 커널 패치는 시스템 재부팅을 필요로 한다는 점도 문제다. 스카다와 같은 기반시설 시스템이나 네트워크 망과 관련된 시스템의 경우 절대 꺼져서는 안되기 때문이다.

이와 관련 업계 관계자는 “거의 모든 리눅스 시스템에 영향을 끼치면서도 악용하기는 쉽다는 점 때문에 하트블리드, 쉘쇼크보다 더 큰 위협이 될 수 있다”며 “기관, 기업들은 자산파악을 통해 문제 최소화에 적극 나서야 할 것”이라고 전했다.

<이민형 기자>kiku@ddaily.co.kr