오픈소스 코드 및 패키지 위협하는 철자 오류
OSS
게시글 작성 시각 2016-08-08 21:12:45
2016년 8월 8일 (월)
ⓒ 보안뉴스
[보안뉴스 문가용] 개발자들이 보안에 더욱 유의해야 할 이유가 한 가지 더 생겼다. 바로 눈에 거의 띄지 않는 철자오류를 통한 공격인 타이포스쿼팅(typosquatting)이 코드 리포지토리를 겨냥할 가능성이 높아지고 있기 때문이다.
이 현상을 이해하려면 먼저 타이포스쿼팅이 무엇인지 알아야 한다. 정식 주소 및 표현에 의도적인 철자오류를 일으켜 눈속임을 하는 것으로, 얼른 봤을 때 비슷한 글자로 대체하거나 사소한 부분의 철자 순서를 바꾸거나, 반복되는 단어를 한 개 정도 빼놓는 것을 말한다. 리포지토리는 유용한 오픈소스 코드들이 저장되어 있는 공간이다.
최근 정보 시스템을 전공하고 있는 니콜라이 샤셰르(Nikolai Tschacher)라는 대학원생이 학위논문을 위해 타이포스쿼팅과 관련된 실험을 진행했다. 몇몇 코드 레지스트리에 패키지를 추가하되 몇몇 패키지 이름의 철자를 일부러 틀리게 한 것이다. 얼마 후 1만 7천여대의 컴퓨터에서 진짜 패키지가 아니라 이 철자 틀린 가짜 패키지가 실행되었다. 게다가 이 중 7천 5백여대에서는 관리자 권한 내에서 스크립트가 실행되었다.
(생략)
[원문출처 : http://www.boannews.com/media/view.asp?idx=51475&kind=4]
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 327227 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 316948 | 2020-10-27 |
5553 | 현대차, 美서 카플레이·안드로이드 오토 적용 확대 | 3568 | 2016-08-09 |
5552 | “서로 다른 배포판의 소프트웨어를 동시에 사용” 베드록 리눅스의 도전 | 3820 | 2016-08-09 |
5551 | 글로벌 ICT기업의 인공지능 경쟁 트렌드 3가지...클라우드·오픈소스·스타트업 인수 | 3497 | 2016-08-09 |
5550 | 애플, 머신러닝 업체 투리 인수…인공지능 인재 확보? | 3600 | 2016-08-09 |
5549 | KB캐피탈, 국내 금융업계 최초 머신러닝 활용 `심사시스템` | 3599 | 2016-08-09 |
5548 | "새 설계하거나 변경한 SW, 저작권 대안으로 고려" | 3759 | 2016-08-09 |
5547 | 퀄컴 칩 기반 안드로이드 기기에 취약점 발견… 패치 제대로 안 돼 | 3573 | 2016-08-09 |
5546 | KT, 한국형 클라우드 PaaS ‘파스타’ 도입 검토 | 4118 | 2016-08-09 |
5545 | 오픈소스 코드 및 패키지 위협하는 철자 오류 | 3580 | 2016-08-08 |
5544 | 구글, 48V 전원 서버 랙 디자인 공개 | 3508 | 2016-08-08 |
0개 댓글