본문 바로가기

[공개SW 월간브리핑]아파치 오픈위스크의 취약점 발견 및 패치 적용 권고 외

OSS 게시글 작성 시각 2018-08-10 17:11:05 게시글 조회수 2259

- 공개SW역량프라자 -

아파치 오픈위스크의 취약점 발견 및 패치 적용 권고 외

 

  • 아파치 인큐베이터 프로젝트인 오픈위스크(Apache OpenWhisk)에서 원격 공격 및 정보 유출 가능 취약점 발견, 즉시 검토 후 패치 개발 및 배포 등 신속 대응

    1. 이러한 일련의 과정은 공개SW 프로젝트의 건전한 발전에 필수적이며 더욱 강력한 보안 인식 제고의 필요성을 보여줌
  • 밀레니얼 세대가 선호하는 구직 관련 검색어를 통해 현 IT 분야에서 주목받는 기술은 머신러닝, 깃, 젠킨스 등 공개SW 관련 기술
    1. 공개SW 프로젝트이거나 관련 있는 검색어가 6개 이상이었으며, 이는 공개SW의 공유·협업 문화의 활성화에 기인
    1. * 밀레니얼 세대 : 통상 1980년대 초부터 2000년대 초반까지 출생자로 인터넷, 모바일, 소셜네트워크서비스(SNS) 등 정보기술(IT)에 친숙한 세대

 

□ 아파치 오픈위스크의 취약점 발견에 따른 패치 적용 권고

  • 이스라엘 보안 업체인 퓨어섹(PureSec)은 아파치 오픈위스크에서 원격 공격자가 파일 덮어쓰기와 임의 코드 실행이 가능한 두 개의 취약점 발견
    1. 오픈위스크는 아파치 인큐베이터 프로젝트로 클라우드 서비스에 이벤트 발생 시 이에 응답하여 함수를 실행하는 클라우드 우선 분산 이벤트 기반 프로그래밍 서비스인 서버리스 오픈 소스 클라우드 플랫폼
    2. 정상적인 실행이 원래의 로직에 따라 동작할 때, 그에 상응하는 가짜 로직이 발동되도록 할수 있으며, 클라우드 내에 엄류하는 APT식의 공격도 가능하므로 민감한 정보 유출 가능성 있음
    3. 아파치 오픈위스크 기반인 IBM 클라우드 서비스 역시 공격에 취약

 

<아파치 오픈위스크 실행 가변성 취약점 CVE-2018-11757 , CVE-2018-11757>

20180810172148b6786cca0ae8164467c260e62e30dd2a28c155b4.png
[출처 : 퓨어섹 블로그]

 (https://www.puresec.io/hubfs/OpenWhisk%20Weakness%20-%20Diagram.png?t=1532907260174)

 
  • 아파치 오픈위스크 커뮤니티와 IBM은 CVE-2018-11756, CVE-2018-11757 취약점 관련 퓨어섹의 연구 결과 발표에 즉시 검토하고 신속하게 수정됨
    1. 아파치 오픈위스크와 관련된 커뮤니티는 Node.js, 파이선, 스위프트, 자바, PHP, 루비, 발레리나(Ballerina)의 런타임을 모두 조사하여 코드변경 탐지 및 경고메시지 출력 등에 대한 조치 진행
    2. 오픈위스크와 IBM 측 모두 두가지 취약점에 대한 연구결과 발표 즉시 프로젝트에 권고 및 코드 수정 권장 사항을 개발하여 제공

 

□ IT 분야로 진출하고 싶다면 알아야 할 기술

  • 미국의 구인구직 사이트 인디드(Indeed.com)의 경제 연구자인 다니엘 컬버트슨(Daniel Culbertson)은 40대 이전의 구직자가 구인구직 서비스에서 검색하는 직업의 종류와 입력하는 검색어 10가지를 정리하여 공개
    1. * 2018년 1분기 구직자 클릭 활동 기반으로 분석(2018.5.30. indeed hiring lab 발표)
    1. (1위 머신 러닝)인공지능의 한 기술로 현 IT 분야에서 가장 많은 주목 받고 있으며 기술 자체뿐만 아니라 각종 빅 데이터 분석 툴, 추천 엔진, 컴퓨터 비전 시스템, 자율 주행, 챗봇, 음성 어시스턴트 등 높은 적용 가능성으로 인기가 높음

      1. * 머신 러닝과 관련된 기업들의 투자는 앞으로도 계속 높아질 것이며 올해는 191억 달러에 달할 것으로 예상. 2017년에 비해 54.2% 높아진 수치로, 2021년까지 인공지능 시장은 522억 달러로까지 커질 것으로 전망(출처 IDC)
    2. (2위 노드JS(Node.js)) 자바스크립트 프레임워크의 일종, 주로 서버와의 통신과 관련된 기능을 수행하는 백 엔드 설계에 사용, 리눅스 재단의 협업프로젝트에 속해 있는 오픈소스 프로젝트
      1. * 스택 오버플로우 서베이에서 인기 1위의 프레임워크, 응답자의 49.6%가 사용, 네 번째로 사랑 받는 기술, 두 번째로 많이 배우고 싶은 기술로 집계됨
    3. (3위 깃(Git))여러 개발자들이 같은 코드를 기반으로 작업할 때 분산된 소스코드 관리를 위한 분산 버전 관리 시스템
      1. * 요즘 개발 업무의 분위기가 ‘협업’과 ‘공유’로 변하고 있음을 입증
    4. (4위 앵귤러JS)오픈소스 자바스크립트 프레임워크의 일종으로 프런트 엔드 개발에 특히 많이 사용. 사용자의 입력 값에 따라 콘텐츠가 변하는 다이내믹한 웹 페이지를 쉽게 구성
      1. * 최근 타입스크립트(TypeScript)에 기반을 둔 앵귤러(Angular)로 대체되어 가고 있으나 앵귤러JS가 아직도 검색어에서 높은 순위를 기록
    5. (5위 CSS)HTML처럼 웹개발의 핵심적인 요소로 주로 웹페이지의 통일된 외관을 구성하기 위해 페이지 배경 모양·색, 특정 이미지, 폰트 크기·유형 등의 요소들을 지정해주는 월드와이드웹 컨소시엄에서 관리하는 표준
    6. (6위 C 혹은 C++)세계에서 아주 긴 기간 높은 인기를 유지하고 있는 프로그래밍 언어
      1. * TIOBE 인덱스에 의하면 C는 14.936%로 인기 2위를 기록, PYPL 인덱스에서는 C와 C++가 하나로 묶여 전체 6위
      2. ** TIOBE 인덱스/PYPL 인덱스 : 프로그래밍 언어의 검색엔진 기반 인기 순위 집계
    7. (7위 젠킨스)지속적인 통합(CI)과 지속적인 배포(CD)를 가능하게 해주는 자동화 서버로 이클립스재단이 관리하는 오픈소스
      1. * ‘2017년 연봉 보고서’에 의하면 데브옵스 전문가의 연봉은 1만 달러~12만 5천 달러 수준
    8. (8위 객체 지향 프로그래밍) 객체 단위로 조종하고 제어하는 언어로, 모듈 구조로 제작/코드를 재사용 가능·설계 및 유지 관리 용이 등의 장점으로 인기 높은 프로그래밍
      1. * 자바, C++, C#, 파이선, 루비, 비주얼 베이직 닷넷 등이 객체지향 언어임
      2. ** 로버트 하프 보고서에 따르면 객체 지향 프로그래밍을 할 줄 아는 소프트웨어 개발자의 평균 연봉은 미국 기준으로 11만 5천 달러
    9. (9위 REST)웹 애플리케이션 개발 아키텍처의 한 유형으로 웹 서비스의 클라이언트-서버 구조, 비보존성, 캐시 가능성, 레이어드 시스템, 인터페이스 일관성 등을 구현 가능
      1. * ‘2018 연봉 가이드’에 따르면 REST에 능숙한 미국 기준 웹 개발자의 평균 연봉은 8만 2천 5백 달러~13만 9천 달러이고, 수석 개발자는 9만 8천 5백 달러~ 16만 5천 750달러
    10. (10위 아파치 스파크) 데이터 스트리밍을 처리해주는 오픈소스 소프트웨어로 빅 데이터 전문가들 사이에서 크게 선호
      1. * IT기업인 로버트 하프 테크놀로지(Robert Half Technology)의 ‘2018 연봉 가이드(2018 Salary Guide)’에 따르면 미국에서 빅 데이터 엔지니어가 받는 연봉은 15만 달러이고, 데이터 과학자는 11만 9천 달러

 

□ 주목할 만한 월간 이슈(7월)

  • (공개SW) 서울시, 오라클 대신 공개SW 도입...특정제품 종속탈피
    1. 모바일 오피스 등 3개의 시스템을 클라우드로 전환하면서 오라클 대신 공개SW DBMS를 도입하기로 결정하였으며 시스템 이전이 안정적으로 이루어지면 타시스템 이전시에도 공개SW 전환을 확산할 계획
    2. 이번 서울시의 공개SW 도입을 시작으로 지방자치단체 등 공공 부문에서 특정 제품에 종속되지 않는 클라우드 환경을 구축하기 위해 오라클 등 외국계 SW 대신 공개SW나 국산 SW를 채택하는 곳이 늘어날 것으로 전망

 

  • (인공지능) 한국전자통신연구원(ETRI), 인공지능 SW 오픈소스 공개
    1. 지난해 언어 인공지능인 ‘엑소브레인’ 응용프로그램 인터페이스(API)를 공개한 데 이어, 이번에는 사물인터넷 기반 인공지능 서비스 구축에 필요한 ‘KSB 인공지능 프레임워크’ 베타 버전(v.0.8) 공개
    2. 기업이나 대학, 일반인들이 본 프레임워크를 활용하여 사물인터넷을 통해 실시간으로 얻어지는 데이터를 학습 및 분석하여 다양한 분야의 인공지능 서비스 개발이 가능하다고 발표

 

  • (보안) 올해 상반기 7천여 개 보안취약점 중 40%가 공개SW 취약점
    1. 지난 7월 4일 ‘이큐스트(EQST)그룹 정기 미디어 데이(Media Day)’에서 올해 상반기 정보보안 이슈 및 공개SW의 상반기 보안 취약점 분석 결과를 발표
    2. 상반기 동안 약 7천여 개의 보안 취약점이 발견되었는데, 이중 r공개SW와 관련한 취약점이 40%가 넘었으며, 이들 취약점 중에서 원격 제어 및 공격이 가능해 위험도가 높은 ‘리모트 코드 익스큐션(Remote Code Execution)’ 취약점도 다수 발견돼 공개SW에 대한 보안이 매우 중요하다고 밝힘
    3. 발표된 ‘오픈소스 소프트웨어 보안가이드’는 SK인포섹 홈페이지에서 다운로드 가능

 

  • (보안) 아파치 톰캣 재단이 정보 유출 가능 취약점 등을 해결하는 보안 업데이트를 발표
    1. * Apache Tomcat 버전 9.0.0.M9 ~ 9.0.9, 8.5.0 ~ 8.5.31, 8.0.0.RC1 ~ 8.0.51 및 7.0.28 ~ 7.0.86 에 영향을 주며, 버전 9.0.7, 9.0.10, 8.5.32, 8.0.52, 7.0.90에서 취약점이 패치된 상태로 업데이트 적용 필요

 

□ 시사점

  • IBM 클라우드 기능과 같은 오픈위스크 옵션을 통해 기업과 공급자가 보안책임의 일부를 공유하게 됨으로써, 오픈위스크의 최근 취약점은 더욱 강력한 보안의 필요성을 보여줌
  • 취약점이 퓨어섹팀에 의해 발견되어 공개되고 오픈위스크 기여자에 의해 적극적이고 신속하게 수정되는 과정은 공개SW 프로젝트의 건전한 발전에 필수적이며 더욱 강력한 보안 인식 제고의 필요성을 보여줌
  • 밀레니얼 세대가 선호하는 검색어를 통해 본 현 IT 분야에서 주목받는 기술은 머신러닝, 깃, 젠킨스 등 공개SW 관련 기술로 파악할 수 있음
  • 이번 검색어 분석 순위에서 6개 이상이 공개SW 프로젝트이거나 관련이 있는 분야로 공개SW의 공유·협업 문화의 활성화에 기인함

 

※ 참고문헌 Reference

  • 아파치 오픈위스크의 취약점 때문에 IBM 클라우드도 위험, 보안뉴스 , 2018.07.25.
  • Apache vulnerabilities spotted in OpenWhisk and Tomcat, SCmagazine, 2018.07.24.
  • Apache OpenWhisk ‘Action’ Mutability Weakness, PureSec연구보고서
  • IT 분야로 진출하고 싶다면 알아야 할 것들, 보안뉴스, 2018.07.21.
  • 10 Hottest Job Skills for Young IT Workers, InformationWeek
  • 서울시, 클라우드 시스템 전환서 脫 오라클 행보 시작....공공 클라우드 확산 주목, 전자신문, 2018.07.11.
  • 올해 상반기 7천여 개 보안취약점 중 40%가 오픈소스 취약점...보안사고 위험 커, 데일리시큐, 2018.07.05.
  • 깃허브, 공개 저장소 쉽게 접근할 수 있는 새 기능 출시, 지디넷코리아, 2018.07.13.
  • AI 개발자에 희소식..ETRI, 인공지능 SW 오픈소스 공개, 이데일리, 2018.07.10.
  • 공개SW 포털(oss.kr) ‘공개SW 소식’ 참조

 

 

 

 

Creative Commons License공개SW역량프라자에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.
2018
공개SW 가이드/보고서 - 번호, 제목, 작성자, 조회수, 작성
번호 제목 작성자 조회수 작성
공지 [2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file support 3597 2024-01-03
공지 [2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file support 2991 2024-01-03
공지 [2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file support 2941 2024-01-03
공지 공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file support 15395 2022-07-28
공지 공개소프트웨어 연구개발 수행 가이드라인 file OSS 15291 2018-04-26
318 [칼럼] GPL 라이선스의 이해 file OSS 34833 2018-09-19
317 [공개SW 월간브리핑]대기업 업무의 중심이 되어가고 있는 공개SW 외 OSS 2635 2018-09-18
316 세계 금융사는 어떻게 블록체인을 접목하고 있나 OSS 1767 2018-09-03
315 칼럼 | 야망의 크기만큼 오픈소스를 도입하라 OSS 1710 2018-08-27
314 [공개SW 월간브리핑]아파치 오픈위스크의 취약점 발견 및 패치 적용 권고 외 file OSS 2259 2018-08-10
313 리눅스 재단, 무료 eBook 'Enterprise Open Source : A Practical Introduction' 발표 file OSS 1665 2018-08-10
312 [IT 칼럼]사용자가 주도하는 오픈소스 ‘혁신의 습지’ OSS 1706 2018-07-31
311 칼럼 | 소프트웨어 보안, '버그 바운티' 만으론 부족하다 file OSS 1628 2018-07-27
310 AI가 판결하는 '정의란 무엇인가' OSS 4014 2018-07-25
309 [칼럼] 공개SW 라이선스 검증을 효율적으로 활용하기 위한 방안 file OSS 1627 2018-07-24
맨 위로
맨 위로