XZ Utils 백도어 공급망 공격으로 수년 전 유사한 취약점 사건 발견

최근 XZ Utils의 백도어 가 공개되면서 오픈 소스 Android 앱 저장소인 F-Droid의 개발자는 과거 사건에 대한 추억을 떠올렸습니다. PostgreSQL 관리자 Andres Freund는 3월 말 Liblzma(XZ Utils) 데이터 압축 라이브러리에서 발견된 백도어에 대해 경고를 표시했습니다. 이 라이브러리는 개발자가 광범위하게 사용하며 다양한 Linux 배포판에 사전 설치되어 제공됩니다. 처음에는 SSH 인증 우회를 가능하게 하는 것으로 생각되었지만, 추가 조사를 통해 CVE-2024-3094 취약점으로 지정된 원격 코드 실행을 실제로 촉진하는 것으로 나타났습니다.

오픈 소스 소프트웨어에 대한 공급망 공격은 드문 일이 아니지만, 이 사건을 차별화하는 점은 몇 년에 걸쳐 지속된다는 점입니다. F-Droid 관리자인 Hans-Christoph Steiner는 2020년에 비슷한 사건을 회상했습니다. 이 경우 SQL 주입 취약점을 삽입하려는 시도가 있었지만 좌절되었습니다. 두 사건의 유사점은 무작위 계정이 악성 코드를 포함시키도록 압력을 가했다는 점입니다.

Steiner는 제출자의 계정이 후속 삭제된 점을 고려할 때 취약점을 삽입하려는 시도가 의도적인 것이라고 믿고 있습니다. XZ Utils의 경우, 백도어는 정교한 위협 행위자가 만든 가상의 신원일 수 있는 Jia Tan 또는 JiaT75라는 개인에 의해 발생했습니다. Jia Tan의 프로젝트 참여는 2021년 10월에 시작되어 점차적으로 2023년 중반까지 상당한 기여로 확대되어 백도어에 대비할 가능성이 있습니다.

백도어는 결국 2024년 2월에 추가되었으며, 한 달 후 Freund에 의해 발견되어 널리 배포되었습니다. XZ Utils의 주요 개발자인 Collin이 이 문제에 대해 조사를 진행하고 있습니다. 소프트웨어 공급망 보안 전문가인 댄 로렌크(Dan Lorenc)는 2022년 팟캐스트에서 이러한 장기적인 공격에 대해 경고하면서 정부 해킹팀이 연루되었을 수 있음을 시사했습니다.

남아 있는 질문은 동일하거나 다른 위협 행위자가 조율한 유사한 사건이 미래에 표면화될 것인지 여부입니다. Collin이 조사를 더 깊이 조사함에 따라 더 많은 세부 정보가 공개되어 XZ Utils 백도어의 범위와 의미를 밝힐 것으로 예상됩니다.