스프링프레임워크에 치명적 취약점 발견...스프링4셸로 명명

[지디넷코리아]

인기 자바 웹 애플리케이션 개발 프레임워크 '스프링'에 원격코드실행(RCE)이 가능한 제로데이 취약점이 발견됐다. 원격코드실행은 해커가 시스템에 원격 접속해 악성코드 실행이 가능해, 파급력이 큰 취약점으로 분류된다. 스프링으로 개발된 수 많은 애플리케이션들이 원격 공격 위험에 노출될 수 있는 만큼 사안이 심각하다는 경고가 나온다.

30일(현지시간) 사이버보안 업체 '프레토리언'과 위협 인텔리전스 업체 '플래시포인트'의 연구원들이 '스프링4셸(Spring4shell)'로 명명한 제로데이 취약점이 발견됐다고 해커뉴스 등 보안 전문 외신들이 보도했다.

스프링은 자바 기반 애플리케이션 개발을 빠르고 효율적으로 진행할 수 있도록 지원하는 오픈소스 프레임워크다. 국내에서도 널리 쓰이고 있다. 정부 정보시스템 개발에 사용되는 전자정부프레임워크도 스프링 기반으로 만들어졌다.

연구원들은 아파치 톰캣 서버에서 공통 설정을 사용해 스프링 애플리케이션을 배포한 경우, 해커가 스프링4셸 취약점을 악용해 원격코드를 실행할 수 있다는 사실을 확인했다. 이 취약점은 자바개발키트(JDK) 버전9 이상에 영향을 미치는 것으로 알려졌다. 취약점 표준코드인 CVE 식별자는 아직 할당되지 않았다.

스프링 프로젝틀르 관리하고 있는 아파치 재단은 스프링 취약점 존재를 확인하거나 부인하지 않았다. 이에 아직 취약점에 대한 패치도 없는 상태다.

프레토리언은 이 취약점에 대한 임시 완화 조치로, 데이터 바인더(DataBinder)에서 특정 패턴을 허용하지 않는 기능을 활용해, 컨트롤러어드바이스(ControllerAdvice) 구성 요소(컨트롤러 간에 공유되는 스프링 구성 요소)를 생성하고 거부 목록에 위험한 패턴을 추가할 것을 권장했다. (☞예시 보기)

프레토리언의 리차드 포드 최고기술책임자(CTO)는 "(스프링 프레임워크를 사용한) 설치가 원격실행 공격에 취약하지 않은지 확실히 하기 위해 스프링4셸에 대한 광범위한 패치가 필요할 수 있다"고 전망했다.

그는 취약점의 영향에 대해 "현시점에서 간단하게 악용될 수 있는 것으로 보이는 만큼, 영향이 광범위한 편이다"고 설명했다. 또 "아직 (비취약 구성에서) 작동하는 RCE 코드는 확인하지 못했지만, 비취약 구성을 실행하는 경우에도 패치를 권장한다"고 덧붙였다.

스프링4셸과 별개로 최근 스프링 프레임워크에서 두 개의 취약점이 발견돼 이미 패치가 이뤄진 바 있다. 일각에서 스프링4셸이 이 두 취약점 중 하나가 아니냐는 혼동도 있었지만, 프레토리언과 플래시포인트 연구원들은 '핸드-온 리서치'를 통해 스프링4셸이 별개의 RCE 취약점이라는 점을 입증했다.