구글 클라우드 플랫폼의 일부인 구글 앱 엔진이 구동되는 자바 환경에서 여러 보안 취약점이 발견됐다.
구글 앱 엔진은 클라우드 기반 플랫폼 서비스(PaaS)로 다양한 프로그래밍 언어나 프레임워크를 사용해 맞춤형 프로그램을 만들 수 있게 돕는다. 많은 사용자들이 자바 환경에서 프로그램을 구축하기 때문에 발견된 취약점들이 미치는 영향이 크다.
8일(현지시간) 미국 지디넷에 따르면 폴란드 소재 보안 스타트업인 시큐리티익스플로레이션 소속 연구원들은 자바 가상머신(VM)에 적용된 보안 샌드박스를 우회하고, 악성코드를 원격으로 삽입하는 등 총 30가지에 달하는 취약점들을 발견했다고 밝혔다.
관련기사
- 소니, 이번엔 PSN 해킹으로 말썽2014.12.09
- 소니 해킹 단체 "테러 영화 상영 중단하라"2014.12.09
- DoS 공격 유발하는 오픈VPN 취약점 패치2014.12.09
- 韓연구원, 최신 iOS 해킹하고 상금 '대박'2014.12.09
구글 앱 엔진은 자바 JRE 스탠다드 에디션(SE)에서 'JRE 클래스 화이트리스트'라 불리는 부분을 통해서만 접속이 가능하다. 연구원들은 화이트리스트에 등록되지 않고서도 전체 JRE에 우회접속할 수 있는 방법을 알아냈다.
이런 내용을 통보 받은 구글측 은 취약점에 대한 보고서를 매우 심각하게 보고 있다고 밝혔다. 그러나 이 스타트업이 갖고 있었던 구글 앱 엔진 접속용 계정이 만료되면서 추가적인 연구는 진행되지 않고 있다.
