KDE, 데이터 손실 사고 이후 글로벌 테마로 위험 경고
Linux용 인기 데스크톱 환경인 플라즈마의 개발사인 KDE는 글로벌 테마 설치와 관련하여 사용자들에게 경고를 보냈습니다. 이러한 테마를 통해 데스크톱을 사용자 지정할 수 있지만, 최근 발생한 사건으로 인해 공식 KDE 스토어를 포함한 글로벌 테마와 관련된 잠재적인 보안 위험이 부각되고 있습니다.
문제의 핵심은 글로벌 테마와 플러그인이 임의의 코드를 실행할 수 있는 기능에 있습니다. 주로 실행 가능한 배시 스크립트를 통해 구현되는 이 기능은 바탕화면, 잠금 화면, 아이콘, 색 구성표 등 데스크톱의 시각적 및 기능적 측면을 변경하는 데 필요합니다. 그러나 테마에 악성 코드가 포함될 경우 취약점이 발생하기도 합니다.
KDE는 제출된 모든 테마에 악의적인 의도가 있는지 철저하게 검사할 수 있는 리소스가 부족하다는 점을 인정합니다. 이는 KDE 스토어 내에서 엄격한 검사가 이루어지지 않는 것과 맞물려 사용자가 자신도 모르게 유해한 명령을 실행하는 테마를 설치할 수 있는 환경을 조성합니다.
이전 보고서에서는 전체 드라이브에서 파일을 지우는 "rm -rf"와 같은 명령을 배포하는 악성 테마로 인한 데이터 손실 사례를 강조한 바 있습니다. 문제가 된 테마는 스토어에서 제거되었지만, 검토되지 않은 테마에도 유사한 위협이 숨어 있을 수 있습니다.
KDE의 소프트웨어 엔지니어이자 프로젝트 리더인 데이비드 에드먼드슨은 플라즈마 확장에 대한 보안 기대치에 대한 명확한 커뮤니케이션의 필요성을 강조했습니다. 또한 사용자 안전을 강화하기 위해 샌드박스 지원 개선과 함께 스토어 내에 큐레이션 및 감사 프로세스를 도입할 계획에 대해서도 설명했습니다.
결론
이러한 우려를 해결하기 위해 KDE는 사용자가 의심스러운 소프트웨어를 신고할 것을 권장하며 스토어 내 큐레이션 프로세스를 강화하기 위해 적극적으로 노력하고 있습니다. KDE 외부의 소스 또는 해당 배포 제공업체에서 소프트웨어를 설치할 때는 주의를 기울이는 것이 좋습니다. KDE 내 시스템 설정은 이미 검토되지 않은 테마의 잠재적 위험에 대한 경고를 표시하여 데스크톱 환경을 사용자 지정할 때 주의를 기울여야 함을 강조하고 있습니다.
이 글의 출처는 BleepingComputer의 기사입니다.