[디지털데일리 이민형기자] GNU(GNU’s Not Unix) 배시(Bourne Again Shell, Bash)에서 발견된 취약점으로 인해 전세계 IT업계가 비상 대응에 나섰다.  배시는 유닉스 계열 운영체제(OS)에서 쉘 스크립트(Shell Script)를 구동시킬 수 있는 명령어 중 하나다.

해당 취약점(CVE-2014-6271)은 배시 버그(Bash Bug) 혹은 셸쇼크(ShellShock)로 불리며 리눅스와 유닉스 등 GNU 배시를 사용하는 모든 운영체제(OS) 모두에 영향을 끼칠 수 있다.

대표적으로 유닉스를 기반으로 한 애플의 맥OS(Mac OSX)를 비롯해 데비안 리눅스, 센트OS 우분투 등 서버에서 사용되는 OS에도 적용되는 것으로 조사됐다. 특히 웹서버를 비롯해 각종 어플라이언스들도 리눅스를 사용하고 있어 제2의 하트블리드 사태로 이어질 가능성도 있다.

26일 보안업계에 따르면 한국인터넷진흥원(KISA)를 포함한 전세계 각국 침해대응팀(CERT)은 배시 버그의 내용과 사례를 각 기관·기업들에게 전파했다.

공격자가 이번 취약점을 악용하면 배시 명령어를 사용해 임의의 코드를 실행시킬 수 있게 된다. 이는 시스템 권한의 탈취로 이어질 수 있고, 내부 데이터의 유출이나 추가적인 백도어 등을 삽입할 수 있는 계기가 될 수 있다.

현재까지 피해는 보고되지 않았으며 레드햇, 우분투, 데비안 등은 해당 취약점에 대한 업데이트를 공개했다.

한편 이번 배시 버그와 관련 트렌드마이크는 “하트블리드(HeartBleed)를 압도하고 약 5억만대 이상의 웹서버를 감염시키는 전염병적인 취약점”이라고 평했다.

이에 대한 자세한 내용은 미국 CERT(https://www.us-cert.gov/ncas/alerts/TA14-268A)에서 확인할 수 있다.

<이민형 기자>kiku@ddaily.co.kr



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
· [카드뉴스] 기업의 지속가능성 해법은 결국···
· [카드뉴스] B tv 서라운드, 거실을 영화관으로
· [이지크로] 안전하고 믿을 수 있는 에스크로
  • 동영상
  • 포토뉴스
삼성, 집중호우 피해복구성금 30억원 기부 삼성, 집중호우 피해복구성금 30억원 기부
  • 삼성, 집중호우 피해복구성금 30억원 기부
  • LG전자, “커피도 마시고 공기청정기도 체험…
  • [단독] 삼성전자 ‘갤노트20’ 보상판매 확…
  • 삼성전자 이재용 부회장, “여성 인재, 차세대…