압축 유틸리티 xz 백도어 사태
CVE-2024-3094
압축 유틸리티 xz 백도어 사태 - CVE-2024-3094
유닉스 계통(리눅스, 맥 등)에서 거의 준표준으로 사용하고 있는 xz라는 압축 유틸리티에 백도어가 삽입되었다. 소스 코드에 원격 접속을 가능하게 하는 백도어 코드가 숨겨져 배포되었던 것이다.
말 그대로 “전세계 모든” 개발자들과 인프라 관계사들은 비상 사태를 맞이했다. xz 백도어 사태로 인해 오픈소스의 위험성을 말하는 사람들이 있다. Heart Blood의 경우 눈 뜨고도 취약점을 놓치고 있었던 적이 있다.
680대의 서버를 보안 패치하고 리부팅해야 했다.
오픈 소스에 기여하는 척하거나 알려진 소프트웨어인 것처럼 해서 백도어를 심는 일은 긴 역사를 지닌다. 비주얼 스튜디오 크랙 버전에 백도어를 심어 게임 개발사를 초토화 시킨 적도 있다
대부분의 개발자들이 핵심 유틸리티에 대한 개발과 유지보수에 대한 관심을 가지는 경우가 없다. 유명한 프로그램 중에 사명 의식을 가지고 몇 명이 겨우 겨우 프로젝트를 유지하는 경우도 많다.
그리고 누구나 알지만 힙하지 않은 소프트웨어이기 때문에 유지 보수에 참여하는 개발자도 적은 것이 문제이다. xz 백도어를 만든 해커는 2021년부터 xz 관련 프로젝트에 기여를 시작하며 준비하고 있었고, 이후 수년간 다양한 실제 기여를 하면서 공격을 준비하고 있었다고 한다.
정말 긴 시간 오픈 소스 커뮤니티에 잡입한 악당은 잡기 힘들다.
CVE-2024-3094 취약점 문제 해결을 위해 xz-utils 5.6.0 이후 버전을 5.4.5로 롤백하는 패키지가 배포되었다. 우분투 24.04 LTS Daily Build 를 테스트 목적으로 사용 중이시라면, sudo apt update; sudo apt upgrade; 로 즉시 업데이트 조치를 하시기를 권해 드립니다.
xz-utils 5.6.1+really5.4.5-1 배포 정보 https://launchpad.net/ubuntu/+source/xz-utils/5.6.1+really5.4.5-1
Ubuntu CVE Tracker https://ubuntu.com/security/CVE-2024-3094
