해커가 운영자 권한 모두 빼앗아 표적 컴퓨터에 악성코드 유포 가능
세계 인터넷 홈피 절반 마비될 수도, 美 "심각성 10점 만점에 10점" 경고
리눅스와 유닉스 운용체제(OS)에서 해커가 모든 것을 좌지우지할 수 있는 심각한 결함이 발견돼 비상이 걸렸다. 리눅스와 유닉스는 기업들이 서버 OS로 많이 사용하고 있어 최악의 경우 전세계 인터넷 홈페이지의 절반 가량이 마비될 수도 있다.
25일(현지시간) 외신 및 보안업계에 따르면 미국 컴퓨터 위기대응팀(CERT)은 전세계 보안업체 및 기업의 전문가들을 상대로 ‘배시 버그’(Bash bug) 또는 ‘셸쇼크’(Shellshock)로 불리는 보안 결함에 대비하라고 경고했다. 리눅스와 유닉스에서 발견된 이 결함은 해커가 운영자의 권한을 가로채 내부 정보를 빼내거나 악성 코드를 유포할 수 있다.
보안업계에서는 배시 버그가 지난 4월 발견돼 세계적으로 맹위를 떨친 하트블리드 (Heartbleed) 결함보다도 널리 퍼져 있는 것으로 보고 있다.
특히 해커가 이 결함을 이용할 경우 시스템 권한을 통째로 빼앗아 다수의 표적 컴퓨터에 악성 코드를 유포할 수 있어 심각한 문제가 발생할 수도 있다. 이에 미국 국가표준기술원(NIST)은 배시 버그의 심각성을 10점 만점에 10점으로 평가해 최고 보안위협으로 꼽았다.
구체적인 피해 사례는 아직까지 나오지 않았다. 하지만 보안업계에서는 이 결함을 악용한 해커들의 공격이 이미 시작됐을 것으로 판단하고 있다. 앞서 미 CERT는 해킹 피해를 막기 위해 문제점을 보완한 소프트웨어(패치)를 배포했으나 완벽한 방어는 불가능하다는 지적이다.
이 같은 배시 버그의 위험성이 알려지면서, 국내 이용자들의 불안감도 커지고 있다. 하지만 국내 보안업계는 국내에서 리눅스와 유닉스 서버를 얼마나 많이 사용하는지조차 파악하기 힘들어 피해 예측이 어렵다고 털어놓았다. 국내 보안업계 관계자는 “이 결함은 리눅스와 유닉스 OS를 사용하는 서버에서 무조건 발생하는 것은 아니고, 사람이 입력한 명령어를 기계어로 바꿔서 전달하는 배시 프로그램을 쓸 경우에만 문제될 수 있다”며 “때문에 개인용컴퓨터(PC)가 직접 피해를 입을 가능성은 크지 않다”고 말했다.
미래창조과학부와 한국인터넷진흥원은 25일 사용 중인 운영체제의 홈페이지에서 최신 패치를 받거나 침입차단시스템을 강화하는 등 즉각적인 조치를 당부했다.
이서희기자 shlee@hk.co.kr
기사 URL이 복사되었습니다.
댓글0