이번 xz-utils 백도어 사태는 오랜 시간동안 공들여서 조직적으로 이뤄낸 것 같네요
폭설고양이

Lv.1 폭설고양이 (172.♡.211.232)

2024년 4월 1일 AM 02:57 · 수정됨(10:15)

조회 3,011 공감 0

https://boehs.org/node/everything-i-know-about-the-xz-backdoor



이번 xz-utils 취약점 사태의 히스토리를 실시간? 으로 정리하는 페이지인데 대강 요약하자면


그 문제의 백도어 코드를 커밋한 JiaT75 라는 계정에게 코드 유지보수 권한을 주거나 투표 권한을 주도록 압력을 넣은 최소 5명(?) 이상의 가담자가 있나봅니다;


(JiaT75가 코드 메인터넌스 권한을 얻고 팀 내에서의 자리가 확고해짐이 확인되자 그 5명 이상의 계정들은 더 이상 어떤 활동도 없다고...)


그것도 2021년부터 시작한 3년에 걸친 물밑 작업도 함께...


꽤 오랜 시간 치밀하게 작업하고 여기에 운도 좀 따라줘서 개발팀이 완전 놀아난게 아닐까 싶네요-_ -

댓글 (8)

  • 달짝지근

    달짝지근 Lv.1

    24.04.01 · 172.♡.223.25

    헐.. 도데체 이유가 뭘까요
  • 폭설고양이

    폭설고양이 Lv.1 → 달짝지근 작성자

    24.04.01 · 172.♡.207.16

    저도 그게 궁금하더라구요. 지금까지 밝혀진 들인 시간이나 수고만 봐도 평범한(?) 크래킹 시도는 아닌 것 같습니다.
  • 샤이엔 Lv.1

    24.04.01 · 172.♡.134.2

    한편으로 전 세계의 산업에 치명적일 수 있었던 일인데 생각보다 이 게시판은 조용하네요. 의외입니다.

    어떤 특정 방식으로 암호화 방식으로 암호화된 메시지를 보내면 그 메시지가 sshd에서 system() 시스템 콜로 보내지면서 실행되게 했다고 하더라고요.
    https://bsky.app/profile/did:plc:x2nsupeeo52oznrmplwapppl/post/3kowjkx2njy2b

    이게 늦게 발견 되었다면 ssh포트를 열어놓은 많은 인터넷 서비스가 어떤 특정 조직의 컨트롤 아래로 들어가는 건 시간문제였을 겁니다.

    제가 지금 가진 의문은 두 가지 입니다. 1) 도대체 Jia Tan의 뒤에 있는 조직은 무엇인가. 2) 비슷한 작업이 성공적으로 완료되었거나 진행중인 것이 있는가.

    먼저 첫 번째 Jia Tan의 정체에 대해서: Jia Tan이란 이름은 만다린어와 광동어가 합쳐진 이름으로 보여서 실제 중국에선 보기 힘든 이름이라고 하네요. 그렇다고 중국이 하지 않았다고 단정하진 못하지만, 만약 중국에서 했다면 정말 머리를 잘 썼다고 봐야할 것 같네요.

    Debian, Fedora와 Ubuntu에 넣으려고 한 걸 보아서는 아마 불특정 다수의 타겟을 대상으로 한 듯 합니다. 물론 타겟을 위한 사전작업이었을 수 있고요. 배포를 서두른 걸 보면 이 공격이 발견되는 건 시간문제라고 봤던 것 같고요. 공격 발견이 시간문제임을 아는 것 역시 얼마나 이 공격자들이 고도로 발달되어있는 조직인지를 보여준다고 생각합니다.

    개인적으로 이 정도로 고도화된 작업을 장기간에 할 수 있는 조직은 몇몇 국가의 지원을 받는 조직 말고는 없지 않을까 싶습니다. 언어학적인 분석(Linguistic analysis, 코드와 이메일 등을 모두 포함해)과 다른 포렌식 분석을 통해서 누가 이 뒤에 있는지 알아냈으면 하는 바램입니다. 저는 Jia Tan이란 이름을 고른 것으로 보아 영어를 모국어로 쓰지 않는 나라가 아닌가 싶은데요, 어디인지 정말 궁금합니다.

    두 번째, xz말고 다른 패키지에 이미 비슷한 백도어를 넣었거나 넣을 준비가 된 곳이 있을까? 누군가 해커뉴스의 답글에 그런 얘기를 했더라고요. 자주쓰는 패키지일 수록 아마 보는 눈이 많아서 어려웠을 것이라고요. xz 정도면 sshd에서는 쓰이면서 많은 다른 패키지에서는 쓰이지 않기에 아마 타겟으로 선정된 것이 아닌가라고 하더라고요. 그리고 사실 많은 자연법칙에 해당되는 멱급수 법칙(power law)를 생각하면 비슷하게 sshd만큼 크리티컬한 패키지에서 쓰이면서 다른 패키지에서는 많이 쓰이지 않는 비슷한 상황의 패키지가 많지 않을까 싶습니다.

    아마 한두달 후면 이와 비슷한 방식의 공격이 있었는지 큰 회사나 보안회사들에서 분석하고 리포트를 내놓으리라 생각합니다. 여기서 만약에 이미 성공한 예가 있었다고 나오는 경우 그 여파는 어마어마하리라고 생각합니다. Spectre/Meltdown때 처럼 아마 우리가 그 사실을 알기 전에 미스테리한 시그널들이 오픈소스 이곳저곳에서 나오겠지요.

    이미 xz는 더이상 오픈소스에서 신뢰를 잃어버린 듯 하고요, 앞으로 이를 대체할 패키지가 무엇이 될지, 또 오픈소스 커뮤니티가 메인테이너들의 장기적 정신건강의 문제, 신뢰 문제를 어떻게 해결할 수 있을지도 궁금합니다. 결국 큰 회사들의 지원을 통해서만 오픈소스가 살아남게 될 것인가, 그렇다면 오픈소스가 큰 회사들의 이해관계에 의해서 좌지우지되는 건 아닐까, 회사들은 그렇다고 자원봉사자들에 비해 믿을만 한가. 등등, 수많은 과제를 던져주는 사건입니다.
  • coldsalt

    coldsalt Lv.1 → 샤이엔

    24.04.01 · 162.♡.91.82

    이거 정말 큰 건인데.... 누군가 새소게로 옮겨주시면 좋겠네요.
  • 샤이엔 Lv.1 → coldsalt

    24.04.01 · 172.♡.135.34

    전 세계의 IT 인프라의 근간을 뒤흔들기 직전에 우연히 간신히 재난을 피했는데 이렇게 평화로운듯 지나간다니... 우리가 몰랐던 일촉즉발의 위기는 또 얼마나 많았을까요
  • 폭설고양이

    폭설고양이 Lv.1 → 샤이엔 작성자

    24.04.01 · 162.♡.186.133

    Git 커밋 로그에 남은 이름에 중국 광둥어 발음표기가 있어서 중국발이 아닌가 하는 의견이 있긴 합니다. (다만 이 정도 수고면 그게 맞는 이름인지도 모르겠지만...) 취약점도 문제지만 끝에 언급하신대로 오픈소스 기여 시스템을 전반적으로 다시 한번 돌아봐야 하지 않나 싶기도 해요.
  • 샤이엔 Lv.1

    24.04.01 · 172.♡.135.68

    원래 maintainer였던 Lasse Collin이란 사람도 역시 의심되긴 하는데, 한편으로 Jia Tan에 전적으로 이용당한 경우라면 이 사람을 주변에서 많이 돌볼 필요가 있지 않나 싶습니다.
  • 폭설고양이

    폭설고양이 Lv.1 → 샤이엔 작성자

    24.04.01 · 162.♡.90.145

    2022년 6월 쯤 Lasse Collin이 작성한 메일링 리스트를 보면 예전부터 자신의 멘탈에 문제가 있었었다고 언급해왔던 모양입니다. https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html Jia tan은 이걸 노리고 진짜 다수의 협력자거나 아니면 일인다역 다중이로 다른 사람들인 척 접근한게 아닐까 싶기도...

댓글을 작성하려면 이 필요합니다.