IT업계 놀래킨 '셸쇼크' 취약점 최신 패치법 메이저 놀이터

리눅스, 맥 OS X를 포함한 유닉스 운영체제(OS)에서 발견된 배시 셸 관련 취약점인 '셸쇼크(Shellshock)'에 대한 새로운 보안패치들이 메이저 놀이터됐다. 해당 취약점은 리눅스, 유닉스 기반 웹서버 등에 광범위하게 적용될 수 있기 때문에 빠른 패치가 필수다.

 

취약점에 대한 내역이 메이저 놀이터된 뒤 바로 관련 패치가 나왔으나 이후에도 배시 셸과 관련 취약점들이 발견되기 시작했다. 때문에 추가적인 문제를 해결한 패치가 등장한 것이다.

 

배시 셸은 리눅스, 맥 OS X를 포함한 유닉스 OS에서 시스템 관리자가 추가적인 명령을 해당 시스템에 내리거나 관리하기 위해 사용되는 프로그램의 일종이다. 이와 관련 가장 처음 발견된 취약점은 'CVE-2014-6271'이라는 이름으로 분류된다. 이후 보안연구원들이 배시 셸에 대한 새로운 취약점들을 밝혀내 여러 커뮤니티에 내용을 올렸다.

 

▲ 배시 셸에 대한 보안 취약점인 일명 '셸쇼크'에 대한 패치가 필수다.
리눅스 기반 오픈소스 소프트웨어 전문회사인 레드햇은 레드햇 엔터프라이즈 리눅스4~7 버전에서 발생하는 문제를 해결한 보안패치를 메이저 놀이터했으나 이후 신규 취약점들이 등장하면서 이에 대한 추가적인 패치와 함께, 취약점에 영향을 받을 수 있는지를 확인할 수 있는 스크립트를 메이저 놀이터했다.

 

레드햇 측은 "첫번째 패치로 해결되지 않는 CVE-2014-7169로 분류된 취약점을 발견했으며, 이후에도 CVE-2014-7186, CVE-2014-7187과 같은 추가적인 취약점을 밝혀냈다"고 설명했다. 다행히 이러한 취약점들은 처음 발견된 것(CVE-2014-6271)보다 심각성이 높은 것은 아니었다고 레드햇측은 덧붙였다. 

 

오라클측은 자사 제품들 중 32개가 셸쇼크 취약점에 영향을 받을 수 있다고 밝히며, 이와 관련된 'CVE-2014-7169'로 분류된 취약점에 대한 패치를 메이저 놀이터했다. 이 취약점은 오라클 엑사데이터, 엑사로직, 오라클 리눅스, 오라클 솔라리스 등 배시 셸을 활용하고 있는 제품들에서 ID, 비밀번호를 입력하지 않고도 원격에서 해당 제품을 활용하고 있는 시스템에 접근해 악성코드를 삽입할 수 있다.

 

애플측은 OS X에서는 기본설정상에서는 배시 셸에서 발견된 취약점이 적용되지 않는다며 유닉스 고급설정을 변경하지 않는 이상 문제가 없다고 공식 발표했다. 그러나 사용자가 맥 서버를 통해 웹이나 DHCP서비스와 같은 네트워크 서비스를 제공하고 있다면 셸쇼크에 영향을 받을 수 있다. 애플은 OS X라이온, 마운틴 라이온, 매버릭스에 대한 보안패치를 메이저 놀이터했다.

 

배시 셸 최신 패치에 대한 보다 상세한 내역은 그누 프로젝트 버그 게시판에서 확인해 볼 수 있다. 이밖에 주요 리눅스 배포판 커뮤니티, 솔라리스 유닉스 등에서는 시스템 관리자들을 위한 보안패치를 제공하고 있다.