오라클이 자사 제품 '수백개'에 관련된 취약점 패치 128개를 공개한다. 자바 관련 보안업데이트도 포함한다. 지난달초 자바 취약점 공격에 대한 방어 기능을 더한 긴급패치 이후 약 40일만이다.
미국 지디넷은 16일(현지시각) 오라클이 연초 해킹에 관련해 고압적인 대응태도를 보였던 자바를 포함해 수백개 제품에 영향을 줄 보안패치 128개를 내놓기로 예고했다고 보도했다.
오라클이 예고한 보안패치에는 회사 간판제품인 데이터베이스(DB) 관련 4건도 포함돼 있다. 관리자 계정과 비밀번호 없이도 원격 접속이 가능한 취약점을 메우는 내용이다.
29건은 오라클퓨전미들웨어(OFM) 제품에 대한 것이다. 이가운데 22건은 역시 사용자 인증 없이 시스템을 공격할 수 있게 만드는 헛점을 막기 위해 나왔다.
이에 영향을 받는 구성요소로 오라클 HTTP서버, 제이로킷, 웹센터, 웹로직이 언급됐다.
오라클은 이들 제품에 대한 보안위협 경고수준을 최상위로 설정했다. 일반취약점평가시스템(CVSS)에 따르면 10점이다.
이밖에 전사적자원관리(ERP) 제품인 'E비즈니스스위트'를 위한 수정프로그램이 6건, 공급망 관련 제품스위트'를 위한 것이 3건, 피플소프트 제품을 위한 것이 11건이다.
또 썬에서 만든 여러 제품과 오라클 재무관리 소프트웨어(SW)를 위한 수십개 패치가 예고됐다. 오라클은 이 모든 패치를 일반업데이트채널을 통해 배포할 방침이다.
'치명적(critical)' 등급을 매긴 업데이트는 지난 1월 공개된 86개 패치보다 수십개 많다. 이는 오라클 제품에 미치는 파급이 크니 가능한 빨리 적용해야 한다는 뜻으로 설정되는 등급이다. 놔둘 경우 외부 공격 위협에 고스란히 노출돼 있는 상태기 때문이다.
눈에 띄는 건 자바 보안 업데이트다. 이번 패치 가운데 42건이 연초 논란이 된 자바 웹플러그인 기술에 대한 것이다.
이가운데 소프트웨어가 사용자 계정과 비밀번호를 입력받지 않고도 네트워크를 통해 원격으로 공격당할 수 있는 위험을 막는 패치는 3건뿐이다.
자바5와 이전 버전을 위한 41번 업데이트, 자바6 버전을 위한 43번 업데이트, 자바7 버전을 위한 17번 업데이트가 여기 해당된다. 자바FX2.2.7과 이전 버전도 그에 영향을 받는다.
오라클 CVSS 평가체계에 따르면 일부 10점만점을 받은 것도 있지만 일부 약점의 등급은 그 성격이 치명적이진 않고 '중요(important)'한 수준이다.
불과 몇달 전 자바 소프트웨어는 주요 기술업체들로부터 집중포화에 시달렸다. 기업을 겨냥한 일련의 해킹시도에 근본적인 위협으로 작용할 수 있다는 이유에서다.
앞서 페이스북, 애플, 트위터같은 인터넷업체와 NBC같은 언론사를 포함해 여러 기업이 자바와 관련돼 미처 조치되지 않은(제로데이) 보안취약점에 노출돼 있었다. 이는 지난 2월 공격자들이 각사 내부망에 시도한 침입을 유도했다.
당시 페이스북은 자바플러그인의 제로데이 보안취약점에 노출된 결과 내부망에 침입당한 일이 있다고 밝혔다. 애플도 지난 2월 중순 같은 일을 겪었다. 관계당국은 2개 사례를 외부에 알렸다.
초기 보고 이후 다른 기업 사례들이 알려지면서 공격배후에중국 해커들이 있다는 보도를 미국 매체 뉴욕타임스와 주요 신문사에서 전한 바 있다.
관련기사
- 오라클 해킹 대응…긴급 자바 패치 발표2013.04.17
- 자바 보안 업데이트 위장 '멀웨어' 주의2013.04.17
- [칼럼]강력한 제로데이 공습, 한국을 강타하다2013.04.17
- 자바 보안 취약점 가시화, 국내도 위험2013.04.17
공격을 받은 회사들은 자사 또는 서비스 사용자들의 신상정보가 유출당한 증거는 포착되지 않았다고 개별적으로 밝혔다.
이번에 자바플러그인 취약점 공격기법으로 알려진 '워터링홀' 기법은 iOS 개발관련 사이트를 공격해 자바플러그인을 구동하는 애플 맥북 기기를 감염시키는 방식이었다. 해당 사이트는 웹사이트 코드 안에 유해소프트웨어를 숨긴 채 운영되다가 자바웹플러그인의 취약점을 포착함으로써 직원들의 노트북에 접근하는 권한을 빼앗는다.