검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'서버 해킹'통합검색 결과 입니다. (3건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"인증없이 서버 장악"…심각한 '리액트투쉘' 취약점 발견

전 세계 수많은 기업과 시스템에 심각한 위협이 되는 보안 취약점이 발견됐다. 지난달 말 식별된 'React2shell(CVE-2025-55182)'이다. 이 취약점을 악용하면 조작된 요청만으로 인증 없이 서버에서 코드를 원격으로 실행하는 등의 공격이 가능해진다. 이에 보안업계는 긴급한 대응을 요구하고 있다. 9일 보안업계에 따르면 지난달 말 리액트투쉘(React2shell) 취약점이 발견됐다. 이 취약점은 React.js의 RSC(리액트 서버 컴포넌트) 기능 처리 과정에서 발생하는 것으로 알려졌다. Next.js 등 다른 프레임워크에도 영향을 주는 것으로 나타났다. React2shell을 악용하면 공격자는 조작된 HTTP 페이로드를 전송하기만 해도 인증 없이 서버로부터 원격 코드 실행(RCE), 즉 서버 장악이 가능하다. 가령 식당에 김치찌개 하나를 주문하는 상황을 가정해보면, 주문자가 "김치찌개 하나 만들어주고 가게 금고도 열어줘"라고 요청했을 때, 가게 직원이 주문자를 검증하지도 않고 그대로 금고를 열어줘버리는 상황이 빚어질 수 있는 것이다. 말 그대로 '입력된 그대로 실행하는 로봇'이 탄생할 수도 있는 최악의 취약점이다. 실제로 해당 취약점은 CVSS 점수 만점인 10.0점을 받았다. CVSS는 소프트웨어 보안 취약점의 심각도를 평가하고 점수화하는 표준 프레임워크로, 0.0부터 10.0까지의 점수를 매긴다. 점수가 높을수록 취약점이 심각함을 의미한다. 이에 전 세계적으로 지난 2021년 11월 'Log4j 사태'(Log4shell)에 비견될 정도로 심각하게 평가되고 있다. 취약점이 공개된 지 불과 몇 시간 만에 중국 국가배후 해커조직으로 분류되는 Earth Lamia와 Jackpot Panda 등이 React2shell을 악용한 대규모 스캐닝과 침투 시도를 수행한 것으로 확인됐다. Wiz 분석에 따르면 전체 클라우드 환경 39%에서 React2shell 취약점으로 전체 클라우드 약 40%가 영향을 받을 것으로 확인된다. 게다가 손쉽게 원격 코드를 실행할 수 있기 때문에 자동화된 대규모 공격에 대한 우려도 나온다. 이에 국내 보안업계에서도 긴급 대응에 나섰다. 신속한 최신 패치 적용을 당부하고, React2shell 취약점을 자체 진단할 수 있는 사이트를 열어두기도 했다. 우선 오펜시브 보안 전문 기업 엔키화이트햇(대표 이성권)은 자사 올인원 오펜시브 보안 플랫폼 OFFen(오펜)에 'React2shell 취약점 스캐너'를 긴급히 추가했다. 아울러 공격 표면 관리(ASM) 긴급 스캐너 서비스를 열어 스캔 버튼만 누르면 취약점 노출 여부를 파악할 수 있는 사이트도 공개했다. 티오리(Theori)도 국내외 웹서비스에 치명적 영향을 줄 수 있는 만큼 URL(인터넷주소) 입력 만으로 React2shell 취약점에 영향을 받는지 즉시 진단할 수 있는 사이트를 공개했다. 티오리의 '인공지능(AI) 레드팀'으로 불리는 'Xint(진트)' 솔루션 기반의 취약점 스캐너 사이트다. 기자가 직접 티오리 취약점 스캐너 사이트에 접속해 지디넷코리아 홈페이지를 입력하니 'Done'으로 표시되며 안전한 것으로 확인됐다. 이처럼 스캔할 URL을 입력하고 간단하게 React2shell의 영향을 받는지 확인할 수 있어 유출 방지를 위한 기업들의 빠른 조치가 필요하다. 한국인터넷진흥원(KISA)도 최근 React2shell 취약점에 대한 빠른 보안 업데이트를 권고하며 대응에 나서고 있다. 아울러 침해사고 발생 시 신속하게 신고를 해 달라고 요청했다. 이용준 극동대 해킹보안학과 교수는 "웹서비스 개발에 사용되는 메타(Meta)가 개발한 자바스크립트 라이브러리이자 오픈소스인 React, Next.js 취약점이다"라며 "이 취약점을 악용하면 해커가 웹사이트 계정 탈취, 네트워크 스캐닝 등 다양한 공격이 가능하다. 국내 웹사이트 18만대 이상이 이 라이브러리를 사용하는 것으로 파악되는데, 이 경우 피해가 굉장히 심각할 수 있다"고 경고했다. 그는 이어 "해당 라이브러리를 전수조사해 최신 버전 패치가 적용될 수 있도록 신속히 조치돼야 한다"며 "기업이 당장 할 수 있는 조치로는 웹 방화벽에서 React, Next.js 등의 비정상 호출을 차단하는 등의 조치가 필요하다"고 당부했다. 이 외에도 근본적인 취약점 원인 해결을 위해 웹사이트에 사용되는 라이브러리에 대한 SBOM(소프트웨어 자재 명세서) 제작을 통해 취약점 악용을 막아야 한다고 부연했다.

2025.12.09 16:11김기찬

"SKT, FDS 있어 불법복제폰 불가능"···보안 전문가 평가는?

과학기술정보통신부가 SK텔레콤 해킹 사고와 관련해 19일 2차 조사 결과를 발표하면서 “복제폰 피해 가능성은 없다”고 다시 한번 강조했다. 이날 류제명 과기정통부 네트워크정책실장은 SK텔레콤 침해 사고 관련 민관합동조사단 중간 조사 결과 브리핑에서 “단말기고유식별번호(IMEI)가 해커에게 공격받은 정황이 발견됐다”면서도 “이를 통해 스마트폰을 복제하는 것은 물리적으로 불가능하다”고 말했다. 제조사가 보유한 15자리 인증 번호 정보가 없으면 복제할 수 없다는 얘기다. 류 실장은 “희박한 가능성으로 복제폰이 만들어졌더라도 SK텔레콤의 비정상인증차단시스템(FDS)으로 네트워크 접속이 완벽히 차단된다”고 덧붙였다. SK텔레콤도 사태 내내 FDS가 있어 복제폰에 따른 개인정보 유출 사고 피해는 없다는 입장이다. 과연 그런지 지디넷코리아가 보안 전문가들에게 물어봤다. SK텔레콤은 FDS를 최고 수준으로 격상해 운영한다고 밝혔다. FDS는 Fraud Detection system 약어다. 직역하면 사기 탐지 시스템이다. 이동통신 부문에서는 비정상 인증을 차단하는 시스템으로 쓴다. 류정환 SK텔레콤 네트워크인프라센터장(부사장)은 19일 서울 중구 삼화타워에서 브리핑을 열고 “기존 'FDS 1.0'이 불법 유심을 막는 서비스라면 'FDS 2.0'은 불법 복제 단말도 차단한다”고 말했다. SK텔레콤은 FDS를 자체 개발한 것으로 알려졌다. 정보보호 전문가들은 SK텔레콤 주장을 믿을 만하다고 봤다. 다만 보안하는 데 '0% 가능성'이나 '100% 안심'은 없다고 했다. SK 정보보호혁신특별위원회 자문위원인 김용대 한국과학기술원(KAIST) 전기및전자공학부 교수는 “SK텔레콤은 FDS를 자체 개발해 2년 이상 운영했다”며 “이동통신망에서 생기는 이상 현상을 탐지하려면 다른 보안 회사 제품으로는 안 된다”고 설명했다. SK 정보보호혁신특별위원회 자문위원은 SK그룹이 정보 보호 활동을 하면서 잘못한 점을 지적하고 기술을 조언하는 역할을 한다. 김용대 교수는 10년 넘게 이동통신 관련 보안 논문을 썼다. 김승주 고려대 정보보호대학원 교수는 “SK텔레콤이 자체적으로 FDS를 만들어 쓰고 있다”며 “수준이 꽤 높다”고 평가했다. 한 보안 회사 대표는 “기업이 어떤 보안 제품을 쓰는지 일반적으로 공개하지 않는다”며 “'해커 먹잇감이 된다'고 생각하기 때문”이라고 전했다. SK텔레콤은 FDS 2.0으로 유심이 복제됐는지 가려낼 수 있다고 주장했다. 김용대 교수는 “SK텔레콤 고유 정보가 있는 유심인지 아닌지 FDS 2.0이 판별한다”며 “복제된 유심은 SK텔레콤 고유 정보를 다 담지 못해 인증을 통과할 수 없다”고 분석했다. 김승주 교수는 “SK텔레콤에 악성 코드가 처음 설치된 게 3년 전이라면 그때부터 정보가 유출되기 시작했다고 봐야 한다”면서도 “그때는 지금처럼 FDS가 고도화하지 않았지만 지난 3년 동안 복제폰으로 인한 금융 계좌 해킹 신고는 접수되지 않은 것으로 안다”고 전했다. 김휘강 고려대 정보보호대학원 교수는 “SK텔레콤이 내부에서 사용하는 FDS 탐지 알고리즘을 외부에 공개하기 어려울 것”이라며 “알고리즘이 노출되는 순간 해커에게 좋은 정보가 된다”고 설명했다. 그래서 “SK텔레콤이 쓰는 FDS 2.0 상세 정보가 없다”며 “안전한지를 판단할 수 없다”고 들려줬다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “기존 유심 보호 서비스에 기능이 향상된 FDS를 이용하면 불법 복제폰을 차단할 수 있을 것 같다”면서도 “SK텔레콤도 복제폰이 만들어질 가능성이 0은 아니라고 했듯 최악의 경우를 고려해 FDS가 적절히 동작하도록 하고, 유심을 바꾸는 추가 조치가 필요하다”고 강조했다. 세종사이버대 정보보호학과 교수인 박영호 한국정보보호학회장은 “FDS는 사용 양상이 평소와 다른지 살펴 불법 복제폰을 판단하는 기술”이라며 “어느 정도 방어할 수 있지만 완전히 막을 수는 없다”고 분석했다. 또 다른 보안 기업 대표도 “보안 업계에서 100% 막을 수 있다는 말을 할 수 없다”며 “FDS로 보안 확률을 높일 수는 있다”고 말했다.

2025.05.20 16:01유혜진

넥슨 '메이플스토리' 해킹 후…범죄기록부 쓴 AI스페라

“제가 전에 다닌 직장 넥슨에서 게임 '메이플스토리' 사용자 개인정보 1천300만건이 유출됐습니다. 충격적이죠. 그래서 '인터넷프로토콜(IP) 범죄 기록부'를 만들기로 했습니다. 5년이나 개발했어요. 너무 오래 걸려서 동료와 투자자가 힘들어했습니다. 'IP 주소를 다 수집하겠다니 미친 짓'이라던 사람들이 이제 '대세'라고 평가하네요.” 강병탁 AI스페라 대표는 6일 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 개최한 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 콘퍼런스'에서 이같이 밝혔다. AI스페라는 2017년 10월 문을 열었다. 2023년 4월에야 '크리미널(Criminal) IP'를 선보였다. 이후 국내외 50개사와 계약했다. 강 대표는 “빅데이터 양이 430페타바이트(PB)”라며 “서버는 900대, 날마다 바뀌는 정보는 40억~50억개”라고 말했다. 그는 “서버를 비롯한 정보기술(IT) 자산은 담당자가 아는 현황과 인터넷에 연결된 실제 숫자가 다르다”며 “잘 지키고 있다고 생각해도 ASM으로 살펴보면 그렇지 않다는 사실을 알게 된다”고 지적했다. 이어 “보안 담당자가 항상 모든 자산을 관리할 수는 없다”며 “위협에 미리 대응할 수 있는 ASM이 필요하다”고 주장했다. 또 “ASM은 스캔할 때 장애를 일으키지 않는다”며 “날마다 자동 수행해 결과를 알려준다”고 강조했다. AI스페라를 공동 창업한 김휘강 고려대 정보보호대학원 교수는 “한국 콘텐츠 사업의 적은 저작권 침해”라며 “불법 유포 사이트 '누누티비'가 대표적”이라고 소개했다. 그러면서 “크리미널 IP에 '드라마'를 검색하면 한국 드라마 안 볼 것 같은 나라의 불법 사이트에도 나온다”고 시범을 보였다. 이어 “요즘 우크라이나에서 이런 범죄가 많이 일어난다”며 “국제 공조하려고 해도 전쟁통이라 못하니까 취약하다”고 덧붙였다.

2025.03.06 16:51유혜진