악의적인 Xz Utils 업데이트가 전 세계 Linux 시스템에 치명적인 사이버 공격을 일으킬 뻔한 방법

xz Utils에 적용된 악성 업데이트로 인해 세계는 최근 발견된 백도어 사건에 거의 감염될 뻔했습니다. 이 영향은 2020년에 러시아 해커가 많은 미국 정부 기관의 핵심에 침투할 수 있었던 SolarWinds 공격 과 유사한 피해를 입힐 가능성이 있었습니다.

Ars Technica에 따르면 이 공격은 성공에 "무서울 정도로 가까웠으며" 소프트웨어 및 암호화 엔지니어인 Filippo Valsorda는 아마도 지금까지 관찰된 "가장 잘 실행된 공급망 공격"이라고 묘사했습니다.

인터넷의 크라우드소싱 코드 대부분은 악의적인 행위자와 국가의 침투에 취약합니다. 오픈 소스 소프트웨어는 "인터넷의 핵심"이며 주로 소수의 자원 봉사자들에 의해 유지 관리되고 있으며 이로 인해 기업과 정부 모두에게 주요 보안 위험이 된다고 The Economist가 보도했습니다. 오픈 소스 소프트웨어는 비용이 저렴하기 때문에 일반적으로 디지털 인프라 전반에 배포됩니다. 디지털 세계에 내장된 인프라는 다양한 적국의 공격을 받고 있습니다.

최근 xz Utils 오픈 소스 공포

2024년 3월 29일, Microsoft 의 소프트웨어 엔지니어인 Andres Freund는 "Linux 운영 체제의 일부인 소프트웨어에 숨겨진 백도어"를 발견했습니다. 이 백도어는 xz Utils의 소스 코드에서 유래되었으며, 변조되어 영향을 받는 버전을 사용하는 시스템에 대한 무단 액세스를 허용했습니다. 손상된 소스 코드는 Linux 시스템의 xz Utils 오픈 소스 데이터 압축 유틸리티 였습니다. New York Times는 엔지니어가 "잠재적으로 역사적인 사이버 공격"을 예방했다고 썼습니다.

xz Utils는 오픈 소스 소프트웨어이기 때문에 누구나 공개된 코드와 당시 변경된 내용을 볼 수 있습니다.

Jia Tan이라는 개발자가 프로젝트에 유용한 코드를 제공하기 시작했고 천천히 신뢰를 얻었습니다. 그러다가 시간이 지나면서 악의적인 행위자는 악성 코드를 몰래 들여왔습니다. 공격 배후로 의심되는 러시아의 외국 정보 기관인 SVR은 SolarWinds 공격 배후에 있는 정보 기관과 동일합니다.

오픈 소스 보안 재단(OSSF)은 xz Utils 공격이 고립된 사건이 아닐 가능성이 높다고 경고했습니다 . 악의적인 행위자는 OpenJS Foundation for JavaScript 프로젝트와 같은 다른 프로젝트를 장악하기 위해 유사한 사회 공학 전술을 사용하여 적발되었습니다.

오픈 소스 소프트웨어의 취약점

Frontsight 미디어와의 인터뷰에서 오픈 소스 소프트웨어 전문가인 Ryan Ware는 현재 발생하고 있는 위험의 규모를 다음과 같이 설명했습니다.

Ware는 “우리의 디지털 인프라는 매우 취약합니다.”라고 말했습니다. “현재까지 177,914개의 CVE가 게시되었습니다. 논의를 위해 오픈 소스에 10억 줄의 코드가 있다고 가정해 보겠습니다. (훨씬 더 많지만 이에 대한 논의는 나중에 미루겠습니다.) 또한 논의를 위해 해당 CVE의 절반이 오픈 소스용이라고 가정해 보겠습니다(좋은 어림수는 90,000개). 이는 오픈 소스 코드의 경우 코드 11,111줄마다 취약점이 하나만 발견되었음을 의미합니다.”라고 그는 말했습니다.

"회사에서는 코드 11,000줄당 단 하나의 취약점만 발견될 정도로 코드를 깔끔하게 만들기 위해 노력할 것입니다." "게다가 현재 작성되는 오픈 소스 소프트웨어의 양이 약간 줄어들고 있지만 여전히 작성되는 코드의 양이 사상 최고치를 기록했습니다.”라고 Ware는 설명했습니다. 그는 발견된 모든 취약점에 대해 코드가 제대로 작동하기 전에 추가로 5-10개의 취약점이 더 발견되는 시나리오를 설명했습니다.

xz Utils의 교훈

XZ Utils의 아슬아슬한 규모는 크라우드 소싱 소프트웨어의 취약성과 안전 장치 설치의 긴급한 필요성을 극명하게 상기시켜 줍니다. Ware는 다음과 같이 설명합니다.

“우리는 국가가 소프트웨어 보안을 전복시키려 한다는 것을 확실히 알고 있습니다. 당신이 해야 할 일은 밖에 있는 APT 목록을 살펴보는 것뿐입니다.” Ware는 "역사적으로 이러한 위협 행위자들은 목표를 달성하기 위해 제로데이 취약점을 사용하는 데 중점을 두었습니다"라고 덧붙였습니다. 그러나 그는 또한 “운영상 이러한 위협 행위자들은 제로데이를 찾아 즉시 악용하는 것이 아닙니다. 그들은 자체 연구를 통해 발견하거나 구매한 제로데이 취약점을 축적한 다음 운영 목표를 충족하는 취약점이 필요할 때 활용합니다.”

한편 Ware는 취약점이 존재하는 시점과 소프트웨어 개발자가 시스템을 패치하는 데 걸리는 시간 사이에 긴 시간이 걸린다는 점을 지적했습니다. 이러한 복구 지연이 계속되면 위협 행위자는 오랫동안 취약점을 축적할 수 있습니다.

소프트웨어 조작에 대한 불분명한 비전 라인

시간이 지남에 따라 가시성이 많지 않은 것은 국가 행위자가 소프트웨어를 조작하기 위해 무엇을 했는지입니다. Ware는 “xz와 관련된 전체 사건은 이러한 민족 국가가 어떤 종류의 자원을 가져올 수 있는지 보여주는 것을 포함하여 이 중 일부에 대한 약간의 창을 제공했습니다.”라고 말했습니다. 그러나 xz 사건이 이러한 사회 공학적 정교함이 시도되었다는 유일한 증거는 아닙니다. “솔직히 제가 걱정하는 것은 오픈 소스 소프트웨어 영역과 우리가 현재 알지 못하는 상용 소프트웨어 영역 모두에서 국가가 행한 일입니다.”라고 Ryan은 강조했습니다.

SolarWinds 사건이 최근 기억에서 사라졌는지 묻는 질문에 Ware의 관점에서는 누구에게 질문하는지에 따라 다릅니다.

“저는 SolarWinds의 교훈이 정부 관료들에게서 사라졌다고 생각하지 않습니다. CISA가 이 분야의 솔루션을 원하기 때문에 OpenSSF(예: SLSA 및 GUAC)의 소프트웨어 공급망 보안에 대한 많은 작업이 수행되고 있습니다.”라고 그는 말했습니다.

Ware는 “확실히 대중의 의식에서 사라졌다고 생각하지만 동시에 그것이 얼마나 대중의 의식에 스며들었는지는 모르겠습니다.”라고 덧붙이며, 종종 '대중의식'이다.