배시버그(Bash Bug) 및 대응 방안

■ 미국 CERT는 9월 25일(현지시간) 전 세계 기관·기업의 보안 전문가들을 대상으로 ‘배시 버그’(Bashbug) 또는 ‘셸쇼크’ (Shellshock)로 불리는 보안 결함에 대비하라고 강력히 경고함.

- 배시(Bourne Again Shell, Bash)는 유닉스·리눅스 계열에서 사용자 명령어를 분석하여 운영체제(OS)의 커널로 전달해주는 기본 쉘프로그램임

※ CERT(Computer Emergency Response Team): 컴퓨터 해킹사고가 빈발함에 따라 컴퓨터 통신망을 해커로부터 보호하기 위해 결성된 통신보안 전문가그룹이며, 한국에도 CERT 코리아가 있음

※ 쉘 프로그램이란, 예를들면 예전 DOS에서 ① 사용자가 DIR을 입력하면 ② DOS의 쉘 프로그램은 DIR을 DOS 운영체제가 알수 있는 기계어로 분석하여 ③ DOS 운영체제로 전달하여, ④ 최종적으로는 화면에 파일 목록이 나오게 해주는 역할을 함

■ 배시 4.3버전에서 발견된 이 버그는 해커가 원격에서 접속, 시스템에 명령어를 날려 변화를 가할 수 있도록 하며, 서버에 대한 접근제어나 원격으로 악성코드가 동작되게 할 수 있음

■ 리눅스 컴퓨터를 부팅 하고, bash 쉘 프로그램에서 버전을 확인함

- ① 현재의 bash 버전을 확인함(rpm -qa | grep bash). 아래의 예처럼 bash 버전이 4.3 이하, 즉 현재 4.1.2 이므로 보안 업데이트가 필요한 상태임을 확인함

# rpm -qa | grep bash 
    bash-4.1.2-9.el6_2.x86_64

- ② 쉘 프로그램 취약점을 확인하는 명령어(env x='() { :;}; echo vulnerable' bash -c 'echo this is a test' )를 입력 하였을 경우, "vulnerable" 문구가 나오면 보안 위험 상태임

# env x='() { :;}; echo vulnerable' bash -c 'echo this is a test'     
vulnerable   
this is a test

■ (패치 적용) 현재 대상 운영제체의 패치가 각 배포판 패치서버에 모두 업데이트 되었으며, KISA에서 각 기관에 적극적으로 알리고 있음
  (예) KISA에서는 9월 26일 오후, NIPA 정보서비스팀에 패치 업데이트 요청함

- Debian: 
      https://www.debian.org/security/2014/dsa-3035
- Ubuntu/Mint: 
      http://www.ubuntu.com/usn/usn-2363-1/
      http://www.ubuntu.com/usn/usn-2363-2/
- Redhat: 
      https://rhn.redhat.com/errata/RHSA-2014-1306.html
- CentOS: 
      http://lists.centos.org/pipermail/centos/2014-September/146154.html

■ (홍보) 미래창조과학부, KISA, NIPA 등의 기관 홈페이지등을 통하여 배시버그(Bash Bug) 및 대응방안을 지속적으로 게시함

- 특히, KISA에서는 배시버그 확인 및 패치를 구할수 있는방법 ·패치 적용절차등에 대한 TF 운영 필요

■ (지원과제에 대한 권고 및 확인) NIPA, KISA 등에서 지원하는 지원사업 수행 기관에 안내하여 개발 시 해당 취약점에 대비하여 개발 할 것을 권고 및 중간점검 시 확인

- 대상과제: 공개SW개발지원사업 등