오픈소스 코드 및 패키지 위협하는 철자 오류
메이저 놀이터 순위트SW 포털
게시글 작성 시각 2016-08-08 21:12:45
2016년 8월 8일 (월)
ⓒ 보안뉴스
[보안뉴스 문가용] 개발자들이 보안에 더욱 유의해야 할 이유가 한 가지 더 생겼다. 바로 눈에 거의 띄지 않는 철자오류를 통한 공격인 타이포스쿼팅(typosquatting)이 코드 리포지토리를 겨냥할 가능성이 높아지고 있기 때문이다.
이 현상을 이해하려면 먼저 타이포스쿼팅이 무엇인지 알아야 한다. 정식 주소 및 표현에 의도적인 철자오류를 일으켜 눈속임을 하는 것으로, 얼른 봤을 때 비슷한 글자로 대체하거나 사소한 부분의 철자 순서를 바꾸거나, 반복되는 단어를 한 개 정도 빼놓는 것을 말한다. 리포지토리는 유용한 오픈소스 코드들이 저장되어 있는 공간이다.
최근 정보 시스템을 전공하고 있는 니콜라이 샤셰르(Nikolai Tschacher)라는 대학원생이 학위논문을 위해 타이포스쿼팅과 관련된 실험을 진행했다. 몇몇 코드 레지스트리에 패키지를 추가하되 몇몇 패키지 이름의 철자를 일부러 틀리게 한 것이다. 얼마 후 1만 7천여대의 컴퓨터에서 진짜 패키지가 아니라 이 철자 틀린 가짜 패키지가 실행되었다. 게다가 이 중 7천 5백여대에서는 관리자 권한 내에서 스크립트가 실행되었다.
(생략)
[원문출처 : http://www.boannews.com/media/view.asp?idx=51475&kind=4]
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 5545 | 오픈소스 코드 및 패키지 위협하는 철자 오류 | 4092 | 2016-08-08 |
| 5544 | 구글, 48V 전원 서버 랙 디자인 메이저 놀이터 추천 | 3894 | 2016-08-08 |
| 5543 | 맵알, ‘스파이글라스 이니셔티브’ 발표 | 4583 | 2016-08-08 |
| 5542 | KT DS, ‘포스트그레스 인사이트 2016 타이페이’에서 ‘오픈소스 도입 성공 전략’ 발표 | 3887 | 2016-08-08 |
| 5541 | 한국사물인터넷협회, IoT 응용서비스 발굴을 위한 개발자 대회 개최 | 4316 | 2016-08-08 |
| 5540 | 카드소비도 개인화...신한카드 'FAN페이봇' 출시 | 4041 | 2016-08-08 |
| 5539 | 오픈소스 미들웨어 ‘레드햇 제이보스’…“이런 것까지 공짜?” | 3795 | 2016-08-08 |
| 5538 | 링크드인, 안드로이드용 테스트·버그 보고 기술 메이저 사이트 - | 4238 | 2016-08-08 |
| 5537 | 클라우드 시대, 물밑 'M&A 전쟁' | 4157 | 2016-08-05 |
| 5536 | LG CNS, `페퍼`용 안드로이드 앱 개발키트 제공 | 4189 | 2016-08-05 |
0개 댓글