FBI·CISA, 버퍼 오버플로우 취약점에 “용납할 수 없는 결함” 경고
컨텐츠 정보
- 조회 700
본문
최근 FBI와 CISA가 공동 권고문을 통해 소프트웨어 개발자에게 버퍼 오버플로우(Buffer Overflow) 취약점이 포함된 코드를 작성하지 말 것을 경고했다. 두 기관은 이를 “용납할 수 없는” 실수라고 표현했다.
이번 권고문은 FBI와 CISIA의 ‘설계상의 보안(Secure by Design)’ 노력의 일환으로 발표됐다. 당국은 마이크로소프트, VM웨어, 이반티와 같은 업체의 소프트웨어에서 이런 취약점이 빈번하게 발견되며, 결국 시스템 전체가 위험에 처할 수 있다고 경고했다.
당국은 “CISA와 FBI는 버퍼 오버플로우 취약점이 지속되는 원인이 되는 안전하지 않은 소프트웨어 개발 프랙티스, 특히 메모리 안전성이 보장되지 않는 프로그래밍 언어의 사용이 국가 및 경제 안보에 용납할 수 없는 위험을 초래한다고 판단한다”라고 밝혔다.
버퍼 오버플로우 결함은 메모리를 올바르게 초기화하지 않아 프로그램이 할당된 경계를 넘어 메모리를 읽거나 쓰면서 발생하는 메모리 안전성 취약점이다.
버퍼 오버플로우 “용납할 수 없다”
권고문에 따르면, CISA와 FBI는 메모리 안전성 취약점이 광범위한 문제를 포함하고 있으며 그중 상당수는 제대로 해결하는 데 많은 시간과 노력이 필요하다는 점을 인식하고 있다. 이어 “모든 유형의 메모리 안전성 취약점은 메모리 안전성이 보장되는 언어를 사용해 개발하면 예방할 수 있지만, 그 외의 대응책은 특정 유형의 취약점만 완화하는 데 그칠 수 있다”라고 말했다.
이번 권고문에서는 버퍼 오버플로우 취약점이 이미 잘 알려진 문제이며, 메모리 안전성이 보장되는 언어를 사용하면 쉽게 방지할 수 있다고 지적했다. 또한 이런 취약점을 해결하는 데 도움이 되는 추가적인 기법도 함께 제시했다.
CISA는 “이미 문서화된 해결책이 있음에도 불구하고 버퍼 오버플로우 취약점은 여전히 널리 퍼져 있다. 이런 결함이 초래할 수 있는 피해를 고려할 때 CISA, FBI 및 관련 기관들은 버퍼 오버플로우 취약점을 용납할 수 없는 결함으로 규정한다”라고 강조했다.
소프트웨어 개발업체는 버퍼 오버플로우 결함을 방지하고 완화하기 위해 이번 권고문과 함께 제공된 경고 PDF에 명시된 방법을 참고할 것이 요구된다. 또한 소프트웨어 사용자들은 이런 예방 조치가 포함된 안전한 제품을 업체에 요구할 것이 권장된다.
마이크로소프트, VM웨어, 이반티 결함 지적
미 연방 기관은 마이크로소프트, 이반티, VM웨어, 시트릭스, 레드햇 등 주요 업체의 버퍼 오버플로우 취약점 목록을 공개했다. 이들 취약점은 높은 위험도에서 치명적인 수준까지 분포하며, 일부는 이미 실제 공격에 악용되고 있다.
해당 목록에는 마이크로소프트의 두 가지 취약점 CVE-2025-21333(컨테이너 기반 환경에서 로컬 공격자가 시스템 권한을 획득할 수 있는 취약점)과 CVE-2024-49138(윈도우 공통 로그 파일 시스템 드라이버(Common Log File System Driver, CLFS)에서 권한 상승을 유발해 시스템 전체 접근이 가능하게 만드는 취약점)이 포함됐다. 후자의 경우 제로데이 공격에 악용됐으며, CVSS 심각도 평가에서 7.8점(10점 만점)을 받았다.
목록에서 가장 심각한 취약점은 VM웨어 v센터(vCenter)의 결함(CVE-2024-38812)이다. 이는 브로드컴이 첫 번째 패치가 문제를 완전히 해결하지 못했다고 인정한 지 몇 달 만에 두 번째 패치가 배포됐던 취약점이다. 해당 취약점은 v센터 서버의 DCERPC(distributed computing environment/ remote procedure call) 프로토콜 구현에서 발생한 힙 오버플로우(Heap Overflow) 문제였다.
또 다른 주요 취약점으로는 이반티의 커넥트 시큐어(Connect Secure)에서 발견된 스택 오버플로우(Stack Overflow) 버그(CVE-2025-0282)가 있다. CVSS 심각도 평가에서 9점을 받았으며, 제로데이 공격에 악용된 후 올해 1월 이반티가 패치를 배포했다. 과거 C, C++ 같은 취약성이 높은 프로그래밍 언어에 의존해 온 업체들은 점차 러스트, 고, 스위프트, 파이썬 같은 메모리 안전성이 보장되는 언어로 전환하는 추세다.
dl-itworldkorea@foundryco.com
관련자료
-
링크
-
이전
-
다음
