프로그래밍 언어 R에서 나온 취약점, 공급망 공격 가능케 해
요약 : 보안 외신 해커뉴스에 의하면 최근 주목 받고 있는 프로그래밍 언어 중 하나인 알(R)에서 취약점이 발견됐다고 한다. CVE-2024-27322로, 익스플로잇에 성공할 경우 코드 실행 공격을 감행할 수 있게 되는 것으로 분석됐다. 프로그래밍 언어의 데이터 직렬화 기능에서부터 발견된 것으로, 이것을 패치하지 않고 그대로 사용할 경우 공급망 공격으로 이어질 수 있어 시급한 패치가 요구되고 있다. 공격자는 RDS 파일을 조작함으로써, 피해자가 알 언어 패키지를 압축 해제하는 순간부터 익스플로잇을 자동으로 실행할 수 있게 된다고 한다.
[이미지 = gettyimagesbank]
배경 : 소프트웨어의 취약점을 찾아 익스플로잇 하는 행위도 문제지만, 그 소프트웨어가 최초로 만들어지는 시점으로까지 거슬러 올라가 보안 구멍을 내놓음으로써, 그 구멍(즉 공격의 여지)이 공급망을 통해 알아서 유포되도록 하는 것도 커다란 문제다. 이를 공급망 공격이라고 하는데, 최근 공격자들은 이 공급망 공격의 높은 효용성을 인지해 개발자들을 적극 공략 중에 있다.
말말말 : “입력 값에 대한 검사가 너무나 ‘게으르게’ 이뤄지고 있다는 게 이번 취약점의 근본적인 문제입니다.” -히든레이어(HiddenLayer)-
[국제부 문가용 기자([email protected])]
