미국 연방수사국(FBI)과 사이버보안 및 인프라 보안국(CISA)은 소프트웨어 개발자들에게 버퍼 오버플로우 취약점이 포함된 코드를 작성하지 말 것을 경고하는 공동 권고문을 발표했다. 두 기관은 이러한 결함을 ‘용납할 수 없는 실수’라고 강하게 비판했다.
이번 권고문은 두 기관이 추진 중인 ‘보안 중심 설계(Secure by Design)’ 전략의 일환으로 발표됐다. CISA와 FBI는 MS, VM웨어, 이반티(Ivanti) 등의 벤더 소프트웨어에서 이러한 취약점이 자주 발견되며, 결국 전체 시스템이 위협받는 결과로 이어진다고 강조했다.
CISA 및 FBI는 “버퍼 오버플로우 취약점이 지속적으로 발생하도록 허용하는 안전하지 않은 소프트웨어 개발 방식, 특히 메모리 안전성이 보장되지 않는 프로그래밍 언어의 사용이 국가 및 경제 안보에 심각한 위협이 된다고 본다”라고 밝혔다.
버퍼 오버플로우 취약점은 ‘용납할 수 없는 결함’
버퍼 오버플로우는 메모리 안전성과 관련된 결함으로, 프로그램이 메모리를 할당된 범위를 넘어 읽거나 쓰면서 발생한다. 이는 메모리 초기화를 제대로 수행하지 못했을 때 나타나는 대표적인 취약점이다.
두 기관은 권고문에 “CISA와 FBI는 메모리 안전 취약점이 광범위한 문제를 포함하고 있으며, 그 중 상당수는 제대로 해결하는 데 상당한 시간과 노력이 필요하다는 점을 인식하고 있다”라며 “모든 유형의 메모리 안전 취약점은 개발 과정에서 메모리 안전 언어를 사용함으로써 예방할 수 있지만, 다른 완화 방법은 특정 유형의 메모리 안전 취약점만 해결할 수 있다”고 덧붙였다.
이번 권고문에서는 버퍼 오버플로우 취약점이 널리 알려진 문제이며, 메모리 안전성이 확보된 언어를 사용하면 쉽게 예방할 수 있다는 점을 강조했다. 또한, 이 문제를 해결하는 추가적인 방법도 제시했다.
CISA는 “버퍼 오버플로우 취약점에 대한 해결책이 잘 문서화되어 있음에도 불구하고, 여전히 이러한 취약점이 빈번하게 발견된다”라며 “이러한 이유와 이러한 결함의 악용으로 인해 발생할 수 있는 피해 때문에 CISA, FBI 및 기타 기관은 버퍼 오버플로우 취약점을 ‘용서할 수 없는 결함’으로 지정했다”라고 밝혔다.
소프트웨어 제조업체는 권고문과 함께 제공된 PDF 문서에 제시된 방법을 참고해 버퍼 오버플로우 결함을 예방하고 완화해야 하며, 소프트웨어 사용자들은 보안이 강화된 제품을 요구해야 한다고 강조했다.
MS, VM웨어, 이반티의 취약점 지적
CISA와 FBI는 이번 발표에서 MS, 이반티, VM웨어, 시트릭스, 레드햇 등 주요 벤더에 영향을 미치는 버퍼 오버플로우 버그 목록을 공개했다. 이 취약점은 심각도 수준이 높음에서 치명적 수준에 이르기까지 다양하며, 일부는 이미 실제 공격에 사용되고 있다.
특히 MS 관련 취약점으로는 컨테이너 기반 환경에서 로컬 공격자가 시스템 권한을 획득할 수 있는 취약점(CVE-2025-21333)과, 윈도우 공용 로그 파일 시스템 드라이버(CLFS)에서 권한 상승이 가능해 전체 시스템 접근이 가능한 취약점(CVE-2024-49138)이 포함됐다. 후자의 경우, 이미 제로데이 공격에 악용됐으며, CVSS(공통 취약점 평가 시스템) 점수 7.8/10을 기록했다. 참고로 CVSS 점수 등급은 0점~10점으로 보안 취약점 등급을 매기며, 점수가 높을수록 위험도가 크다.
가장 심각한 취약점으로는 VM웨어 v센터(vCenter)에서 발견된 취약점(CVE-2024-38812)이 꼽혔다. 브로드컴은 해당 취약점에 대한 첫 번째 패치가 완벽한 해결책이 아니었다는 점을 인정하고, 수개월 만에 두 번째 패치를 발표해야 했다. 이 결함은 v센터 서버의 DCERPC(분산 컴퓨팅 환경/원격 프로시저 호출) 프로토콜 구현에서 발생한 힙 오버플로우 문제였다.
또한, 권고문에서 언급된 치명적인 취약점 중 하나는 이반티의 ‘커넥트 시큐어(Connect Secure)’ 제품에서 발견된 스택 오버플로우 취약점(CVE-2025-0282)이다. 해당 취약점은 올해 1월 제로데이 공격에 악용된 후 긴급 패치됐다.
전통적으로 C, C++과 같은 취약한 코딩 언어를 사용해온 주요 벤더들은 점차 러스트, 고, 스위프트, 파이썬과 같은 메모리 안전성이 보장된 언어로 전환하고 있다.
[email protected]
Read More from This Article: “버퍼 오버플로우는 ‘용서할 수 없는 실수’, 당장 고쳐야”··· FBI·CISA, 소프트웨어 업계에 경고
Source: News