Offcanvas

Log4j

'보안도 왼쪽으로'··· 오픈소스 SW 보안과 시프트레프트 전략의 상관관계

오픈소스 소프트웨어는 대다수 애플리케이션에서 큰 비중을 차지하지만, 개발자와 보안 부서에는 보안 관련 과제를 던지는 존재다. 이번주 공개된 2종의 보고서에는 오픈소스 소프트웨어의 과제를 ‘시프트 레프트’ 전략을 확대 적용하면서 극복할 수 있다는 내용이 실려 주목을 끈다. 개발자 보안 업체인 스니크(Snyk)와 리눅스 재단은 ‘오픈소스 보안 현황(The State of Open Source Security)’ 보고서에서 10곳 중 4곳 이상의 기업(41%)이 오픈소스 보안에 확신이 없다고 지적했다. 또한 지난 3년 간 오픈소스 프로젝트에서의 취약점 수정 기간이 꾸준히 늘어 2018년(49일)보다 2021년(110일)에는 2배가 넘었다고 발표했다.     오픈소스에 대한 논쟁 : 생산성 vs. 보안 550명 이상의 응답자를 확보한 이번 보고서는 애플리케이션 개발 프로젝트의 취약점이 평균 49개, 일명 오픈소스 코드라고 칭하는 직접 의존성이 평균 80개라고 밝혔다. 그러나 오픈소스 소프트웨어 개발 또는 사용에 대한 보안 정책을 마련한 기업은 절반에 약간 못 미치는 49%였다. 규모를 중대형 기업으로 좁혀보면 이 수치는 27%에 지나지 않는다. 스니크 개발 관계 이사인 매트 저비스는 발표문에서 “오늘날 소프트웨어 개발사는 자체적인 공급망을 보유하고 있다. 자동차 부품을 조립하는 것처럼 자사만의 독특한 코드로 기존 오픈소스 구성요소를 이어서 코드를 조립한다. 생산성과 혁신을 대폭 개선할 수는 있지만 그만큼 보안 위험이 커진다는 단점이 있다”라고 지적했다.   "시프트 레프트로 취약점 조기 발견할 수 있어" 애플리케이션 자동화 테스트 업체 시프트 레프트(ShiftLeft) 역시 '애플리케이션 보안 발전(AppSec  Progress)' 보고서를 발행하면서 오픈소스 소프트웨어 보안 역시 시프트 레프트 전략, 또는 소프트웨어 개발 생명주기 시작을 조기에 앞당기는 것으로 보완할 수 있다고 주장했다. 보고서는 시프트레프트의 코어(Cor...

오픈소스소프트웨어 오픈소스 보안 Log4j 시프트레프트 보안테스트

2022.06.27

오픈소스 소프트웨어는 대다수 애플리케이션에서 큰 비중을 차지하지만, 개발자와 보안 부서에는 보안 관련 과제를 던지는 존재다. 이번주 공개된 2종의 보고서에는 오픈소스 소프트웨어의 과제를 ‘시프트 레프트’ 전략을 확대 적용하면서 극복할 수 있다는 내용이 실려 주목을 끈다. 개발자 보안 업체인 스니크(Snyk)와 리눅스 재단은 ‘오픈소스 보안 현황(The State of Open Source Security)’ 보고서에서 10곳 중 4곳 이상의 기업(41%)이 오픈소스 보안에 확신이 없다고 지적했다. 또한 지난 3년 간 오픈소스 프로젝트에서의 취약점 수정 기간이 꾸준히 늘어 2018년(49일)보다 2021년(110일)에는 2배가 넘었다고 발표했다.     오픈소스에 대한 논쟁 : 생산성 vs. 보안 550명 이상의 응답자를 확보한 이번 보고서는 애플리케이션 개발 프로젝트의 취약점이 평균 49개, 일명 오픈소스 코드라고 칭하는 직접 의존성이 평균 80개라고 밝혔다. 그러나 오픈소스 소프트웨어 개발 또는 사용에 대한 보안 정책을 마련한 기업은 절반에 약간 못 미치는 49%였다. 규모를 중대형 기업으로 좁혀보면 이 수치는 27%에 지나지 않는다. 스니크 개발 관계 이사인 매트 저비스는 발표문에서 “오늘날 소프트웨어 개발사는 자체적인 공급망을 보유하고 있다. 자동차 부품을 조립하는 것처럼 자사만의 독특한 코드로 기존 오픈소스 구성요소를 이어서 코드를 조립한다. 생산성과 혁신을 대폭 개선할 수는 있지만 그만큼 보안 위험이 커진다는 단점이 있다”라고 지적했다.   "시프트 레프트로 취약점 조기 발견할 수 있어" 애플리케이션 자동화 테스트 업체 시프트 레프트(ShiftLeft) 역시 '애플리케이션 보안 발전(AppSec  Progress)' 보고서를 발행하면서 오픈소스 소프트웨어 보안 역시 시프트 레프트 전략, 또는 소프트웨어 개발 생명주기 시작을 조기에 앞당기는 것으로 보완할 수 있다고 주장했다. 보고서는 시프트레프트의 코어(Cor...

2022.06.27

“로그4j, 오픈소스가 문제 아니다”

기술 업계는 작년 말 오픈소스 아파치 로그4j 소프트웨어에서 발견된 심각한 취약점이 미칠 장기적 영향을 계속해서 파악하고 있으며, 美 상원도 마찬가지다.  사이버 스테이트크래프트 이니셔티브(Cyber Statecraft Initiative)의 책임자 트레이 허 박사는 이번 주 개최된 美 상원 국토 안보 및 정부위(US Senate Committee on Homeland Security&Government Affairs)의 청문회에서 “오픈소스는 문제가 아니다”라고 밝혔다. 그는 “소프트웨어 공급망 보안 문제는 수년 동안 사이버 정책 커뮤니티를 괴롭혀왔다”라고 말했다.  업계 전문가들은 로그4j 결함과 그 영향을 해결하기 위해서는 장기적인 투쟁을 해야 할 것으로 예측해왔다. 이를테면 시스코 탈로스(Cisco Talos)의 보안 연구진은 앞으로 로그4j가 널리 악용될 것이며, 사용자는 영향을 받는 제품을 패치하고 가능한 한 빨리 완화 솔루션을 구현해야 한다고 권고했다.    자바 로그 소프트웨어는 클라이언트/서버 애플리케이션 개발을 지원하는 사용하기 쉬운 공통 유틸리티로, 기업 및 소비자 서비스, 웹 사이트 및 애플리케이션에서 널리 사용된다. 이것이 악용되면 로그4j 취약점을 통해 인증되지 않은 원격 행위자가 영향을 받는 서버 시스템을 제어하고 회사 정보에 액세스하거나 DoS 공격을 발생시킬 수 있다. 상원 패널은 업계의 대응과 향후 소프트웨어 위험 노출을 막기 위한 방법을 모색하고자 전문가들을 호출했다. 로그4j는 오픈소스 소프트웨어에서 발견됐기 때문에 전문가들은 중요한 플랫폼에서 오픈소스 소프트웨어의 사용을 검토하는 데 많은 시간을 할애했다.  위원회 의장이자 민주당 상원의원인 개리 피터스는 “12자만 입력하면 악용될 수 있는 로그4j 취약점은 오픈소스 코드, 즉 개인에 의해 개발되고 자유롭게 사용 가능한 코드에서 발견되는 취약점을 포함하여 소프트웨어 취약점이 얼마나 널리 퍼져 있는지 보여주는 한 가...

로그4j Log4j 로그4셸 오픈소스 아파치 시스코 팔로알토 자바 취약점

2022.02.10

기술 업계는 작년 말 오픈소스 아파치 로그4j 소프트웨어에서 발견된 심각한 취약점이 미칠 장기적 영향을 계속해서 파악하고 있으며, 美 상원도 마찬가지다.  사이버 스테이트크래프트 이니셔티브(Cyber Statecraft Initiative)의 책임자 트레이 허 박사는 이번 주 개최된 美 상원 국토 안보 및 정부위(US Senate Committee on Homeland Security&Government Affairs)의 청문회에서 “오픈소스는 문제가 아니다”라고 밝혔다. 그는 “소프트웨어 공급망 보안 문제는 수년 동안 사이버 정책 커뮤니티를 괴롭혀왔다”라고 말했다.  업계 전문가들은 로그4j 결함과 그 영향을 해결하기 위해서는 장기적인 투쟁을 해야 할 것으로 예측해왔다. 이를테면 시스코 탈로스(Cisco Talos)의 보안 연구진은 앞으로 로그4j가 널리 악용될 것이며, 사용자는 영향을 받는 제품을 패치하고 가능한 한 빨리 완화 솔루션을 구현해야 한다고 권고했다.    자바 로그 소프트웨어는 클라이언트/서버 애플리케이션 개발을 지원하는 사용하기 쉬운 공통 유틸리티로, 기업 및 소비자 서비스, 웹 사이트 및 애플리케이션에서 널리 사용된다. 이것이 악용되면 로그4j 취약점을 통해 인증되지 않은 원격 행위자가 영향을 받는 서버 시스템을 제어하고 회사 정보에 액세스하거나 DoS 공격을 발생시킬 수 있다. 상원 패널은 업계의 대응과 향후 소프트웨어 위험 노출을 막기 위한 방법을 모색하고자 전문가들을 호출했다. 로그4j는 오픈소스 소프트웨어에서 발견됐기 때문에 전문가들은 중요한 플랫폼에서 오픈소스 소프트웨어의 사용을 검토하는 데 많은 시간을 할애했다.  위원회 의장이자 민주당 상원의원인 개리 피터스는 “12자만 입력하면 악용될 수 있는 로그4j 취약점은 오픈소스 코드, 즉 개인에 의해 개발되고 자유롭게 사용 가능한 코드에서 발견되는 취약점을 포함하여 소프트웨어 취약점이 얼마나 널리 퍼져 있는지 보여주는 한 가...

2022.02.10

CISO들이 지쳐 나가떨어지고 있다

한 CISO가 보낸 문자 메시지는 간단했다. “나는 다시는 보안 운영 업무를 맡지 않을 겁니다.” 보안팀들이 Log4j에 대응하느라 분투했던 12월, 제프 폴라드의 스마트폰에 도착한 문자 메시지였다. 포레스터 리서치의 부사장 겸 수석 분석가 폴라드는 “그는 오랫동안 재직한 능력 있는 CISO였다. 그는 보안팀이 해야만 하는 엄청나게 힘든 작업에 관해 이야기하고 있었다. 마치 ‘나는 여기까지다’라고 말하는 것처럼 보였다”라고 말했다.   -> 블로그 | 지금 당신의 IT 직원들에게 친절해야 할 이유 대부분의 임직원은 한 번쯤 ‘나는 여기까지이다’라는 느낌(I’m done feeling)을 받은 적이 있다. 연구에 따르면 많은 사람들이 팬데믹과 이로 인한 혼란 때문에 압도감과 피로감을 느끼고 있다. CISO들도 이런 압박을 느끼고 있다. 보안 소프트웨어 기업 테시안(Tessian)의 ‘잃어버린 시간’ 보고서를 살펴본다. 미국과 영국에 있는 300명의 CISO들을 대상으로 조사한 결과를 담은 이 보고서에 따르면 CISO들이 매주 평균적으로 계약한 것보다 11시간 이상을 근무하고 있으며 10%는 주당 20~24시간을 추가적으로 근무하고 있는 것으로 나타났다.  또한 42%는 추수감사절 또는 크리스마스 등의 공휴일에도 일했고, 40%는 일 때문에 가족 휴가를 가지 못했으며, CISO 중 59%는 업무 시간이 끝난 후 업무 생각을 떨쳐 버리기 위해 분투하고 있다고 말했다. IT자문 및 서비스 제공기업 데프트(Deft)의 CISO 토마스 존슨은 “CISO 번아웃은 분명 문제이다. 우리는 인재 부족, 재택근무, 국내뿐만이 아니라 국제적인 위협의 증가 등이 발생하고 있는 전례 없는 시대에 살고 있기 때문에 과거보다 더 큰 문제가 되고 있다. 이 모든 것이 보안 영역이 기학급수적으로 확대되고 있다는 점과 연관되어 있다”라고 말했다. 번아웃 수준에 도달한 (CISO를 포함한) 임직원에게는 개인적인 수준에서 문제가 발생할 수 있다. CISO로...

CISO 번아웃 Log4j 탈진

2022.02.09

한 CISO가 보낸 문자 메시지는 간단했다. “나는 다시는 보안 운영 업무를 맡지 않을 겁니다.” 보안팀들이 Log4j에 대응하느라 분투했던 12월, 제프 폴라드의 스마트폰에 도착한 문자 메시지였다. 포레스터 리서치의 부사장 겸 수석 분석가 폴라드는 “그는 오랫동안 재직한 능력 있는 CISO였다. 그는 보안팀이 해야만 하는 엄청나게 힘든 작업에 관해 이야기하고 있었다. 마치 ‘나는 여기까지다’라고 말하는 것처럼 보였다”라고 말했다.   -> 블로그 | 지금 당신의 IT 직원들에게 친절해야 할 이유 대부분의 임직원은 한 번쯤 ‘나는 여기까지이다’라는 느낌(I’m done feeling)을 받은 적이 있다. 연구에 따르면 많은 사람들이 팬데믹과 이로 인한 혼란 때문에 압도감과 피로감을 느끼고 있다. CISO들도 이런 압박을 느끼고 있다. 보안 소프트웨어 기업 테시안(Tessian)의 ‘잃어버린 시간’ 보고서를 살펴본다. 미국과 영국에 있는 300명의 CISO들을 대상으로 조사한 결과를 담은 이 보고서에 따르면 CISO들이 매주 평균적으로 계약한 것보다 11시간 이상을 근무하고 있으며 10%는 주당 20~24시간을 추가적으로 근무하고 있는 것으로 나타났다.  또한 42%는 추수감사절 또는 크리스마스 등의 공휴일에도 일했고, 40%는 일 때문에 가족 휴가를 가지 못했으며, CISO 중 59%는 업무 시간이 끝난 후 업무 생각을 떨쳐 버리기 위해 분투하고 있다고 말했다. IT자문 및 서비스 제공기업 데프트(Deft)의 CISO 토마스 존슨은 “CISO 번아웃은 분명 문제이다. 우리는 인재 부족, 재택근무, 국내뿐만이 아니라 국제적인 위협의 증가 등이 발생하고 있는 전례 없는 시대에 살고 있기 때문에 과거보다 더 큰 문제가 되고 있다. 이 모든 것이 보안 영역이 기학급수적으로 확대되고 있다는 점과 연관되어 있다”라고 말했다. 번아웃 수준에 도달한 (CISO를 포함한) 임직원에게는 개인적인 수준에서 문제가 발생할 수 있다. CISO로...

2022.02.09

‘로그4j’ 사태, 아직 끝나지 않았다··· 앱 개발자가 해야 할 3가지

이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다.  이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을 발견했다. 이 코드는 마인크래프트(Minecraft)부터 스팀(Steam), 아이클라우드(iCloud), 포티넷(Fortinet), 레드햇(Red Hat)까지 모든 소비자 및 기업 시스템에서 널리 사용되고 있다. 한 전문가는 수백만 개의 엔드포인트가 위험에 처할 수 있다고 추정했다.   로그4j는 솔라윈즈와 카세야 등 일련의 소프트웨어 공급망 공격 중 가장 최근에 발생한 일이다. 로그4j 취약점이 밝혀진 이후 많은 보안업체 및 애널리스트가 무엇을 해야 하는지 여러 정보를 공개했다. 이를테면 거진 최후의 날에 가까운 시나리오를 게시한 사람도 있었고, 덜 심각하게 전망하는 사람도 있었다.  체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)에 따르면 고객층의 절반가량에서 취약점 공격이 발견됐다. 콘트라스트 시큐리티(Contrast Security)는 자바 애플리케이션의 58%에 취약한 버전이 존재하지만 실제로 로그4j를 사용하는 경우는 37%에 불과한 것으로 조사됐다고 전했다.  4가지 문제는 CVE-2021-44228, CVE-2021-45046, CVE-2021-4104, CVE-2021-45105다. 美 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA)은 영향을 받은 애플리케이션 목록과 다양한 벤더 블로그 링크를 포함한 웹 페이지를 공개하고 지속적으로 업데이트하고 있다.  이 문제는 원격 코드 실행을 허용하는 JDNI(Java Naming and Directory Interface) 및 JM어펜더(JMSAppender) 이벤트 메시지와 같은 로깅...

로그4j Log4j 자바 보안 취약점 취약점 공격 익스플로잇 WAF 애플리케이션 보안

2021.12.31

이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다.  이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을 발견했다. 이 코드는 마인크래프트(Minecraft)부터 스팀(Steam), 아이클라우드(iCloud), 포티넷(Fortinet), 레드햇(Red Hat)까지 모든 소비자 및 기업 시스템에서 널리 사용되고 있다. 한 전문가는 수백만 개의 엔드포인트가 위험에 처할 수 있다고 추정했다.   로그4j는 솔라윈즈와 카세야 등 일련의 소프트웨어 공급망 공격 중 가장 최근에 발생한 일이다. 로그4j 취약점이 밝혀진 이후 많은 보안업체 및 애널리스트가 무엇을 해야 하는지 여러 정보를 공개했다. 이를테면 거진 최후의 날에 가까운 시나리오를 게시한 사람도 있었고, 덜 심각하게 전망하는 사람도 있었다.  체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)에 따르면 고객층의 절반가량에서 취약점 공격이 발견됐다. 콘트라스트 시큐리티(Contrast Security)는 자바 애플리케이션의 58%에 취약한 버전이 존재하지만 실제로 로그4j를 사용하는 경우는 37%에 불과한 것으로 조사됐다고 전했다.  4가지 문제는 CVE-2021-44228, CVE-2021-45046, CVE-2021-4104, CVE-2021-45105다. 美 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA)은 영향을 받은 애플리케이션 목록과 다양한 벤더 블로그 링크를 포함한 웹 페이지를 공개하고 지속적으로 업데이트하고 있다.  이 문제는 원격 코드 실행을 허용하는 JDNI(Java Naming and Directory Interface) 및 JM어펜더(JMSAppender) 이벤트 메시지와 같은 로깅...

2021.12.31

다 모았다··· '로그4j 취약점' 완화법 총정리

최근 Log4j라는 자바 컴포넌트에서 악용하기 쉬운 취약점이 발견되자 IT 보안 업계에 비상이 걸렸다. Log4j는 다양한 애플리케이션과 제품에 존재한다. Log4j 취약점이 알려지고 공격자가 이를 악용하기 시작한 후, 많은 IT 전문가가 Log4j 취약점 연구에 몰두한 결과 추가 보안 문제를 발견했고, 공격을 막을 수 있는 몇 가지 완화책을 제안했다. 기업 IT팀은 자사의 애플리케이션, 서버, 네트워크 보호에 적합한 완화책을 찾느라 분주하다.    지금까지 발견된 취약점은 원격 코드 실행 취약점인 CVE-2021-44228(Log4Shell이라고도 알려졌다)과 서비스 거부 공격 취약점인 CVE-2021-45046 및 CVE-2021-45105다. 우선 영향을 받은 컴포넌트를 최신 버전으로 업데이트하는 것이 현재까지 식별된 취약점을 완화하는 최고의 방법이다. 자바 8 및 이후 버전은 2.17.0이 최신 버전이다. 하지만 패치를 즉각 적용하는 것은 말처럼 쉽지 않다. 서드파티 솔루션 업체의 패키징 제품에 Log4j 취약 버전이 포함되어 있다면, 전체 제품을 모두 업데이트하지 않는 이상 취약점을 해결할 수 없기 때문이다. 각 솔루션 업체가 업데이트를 배포해야 없앨 수 있다.  핵심 비즈니스 서버 및 애플리케이션이라면 즉시 재시작하는 것도 쉽지 않다. 애플리케이션은 컨테이너에서 실행할 수 있지만, 이런 경우에는 새 컨테이너 이미지를 제작해야 한다. 대부분 취약점과 마찬가지로 대안적 완화책은 보안팀에 유용하지만, 대안적 완화책의 한계와 일부 완화책으로 인해 형성될 수 있는 잘못된 안전감을 이해하는 것이 중요하다.  JndiLookup 클래스 제거 Log4j 취약점은 Log4j가 자바 기능인 JNDI(Java Naming and Directory Interface)를 사용하는 방식 때문에 발생한다. JNDI는 런타임 실행 중 추가 자바 객체의 로딩을 허용하도록 설계됐다. 여러 프로토콜에 걸친 원격 네이밍 서비스에서 자바 ...

Log4j 로그4j 보안 취약점

2021.12.22

최근 Log4j라는 자바 컴포넌트에서 악용하기 쉬운 취약점이 발견되자 IT 보안 업계에 비상이 걸렸다. Log4j는 다양한 애플리케이션과 제품에 존재한다. Log4j 취약점이 알려지고 공격자가 이를 악용하기 시작한 후, 많은 IT 전문가가 Log4j 취약점 연구에 몰두한 결과 추가 보안 문제를 발견했고, 공격을 막을 수 있는 몇 가지 완화책을 제안했다. 기업 IT팀은 자사의 애플리케이션, 서버, 네트워크 보호에 적합한 완화책을 찾느라 분주하다.    지금까지 발견된 취약점은 원격 코드 실행 취약점인 CVE-2021-44228(Log4Shell이라고도 알려졌다)과 서비스 거부 공격 취약점인 CVE-2021-45046 및 CVE-2021-45105다. 우선 영향을 받은 컴포넌트를 최신 버전으로 업데이트하는 것이 현재까지 식별된 취약점을 완화하는 최고의 방법이다. 자바 8 및 이후 버전은 2.17.0이 최신 버전이다. 하지만 패치를 즉각 적용하는 것은 말처럼 쉽지 않다. 서드파티 솔루션 업체의 패키징 제품에 Log4j 취약 버전이 포함되어 있다면, 전체 제품을 모두 업데이트하지 않는 이상 취약점을 해결할 수 없기 때문이다. 각 솔루션 업체가 업데이트를 배포해야 없앨 수 있다.  핵심 비즈니스 서버 및 애플리케이션이라면 즉시 재시작하는 것도 쉽지 않다. 애플리케이션은 컨테이너에서 실행할 수 있지만, 이런 경우에는 새 컨테이너 이미지를 제작해야 한다. 대부분 취약점과 마찬가지로 대안적 완화책은 보안팀에 유용하지만, 대안적 완화책의 한계와 일부 완화책으로 인해 형성될 수 있는 잘못된 안전감을 이해하는 것이 중요하다.  JndiLookup 클래스 제거 Log4j 취약점은 Log4j가 자바 기능인 JNDI(Java Naming and Directory Interface)를 사용하는 방식 때문에 발생한다. JNDI는 런타임 실행 중 추가 자바 객체의 로딩을 허용하도록 설계됐다. 여러 프로토콜에 걸친 원격 네이밍 서비스에서 자바 ...

2021.12.22

중소기업이 Log4j 취약점에 대응하는 방법

Log4j라는 로깅 소프트웨어 취약점을 다룬 기사가 지난주 인터넷을 뒤흔들었다. Log4j는 많은 서드파티 애플리케이션이 사용하는 자바 기반 로깅 라이브러리로, 아파치 로깅 서비스(Apache Logging Services)의 일부이기도 하다. 직접 내부 애플리케이션 코딩을 처리하는 대기업의 경우, 직원 중 이 소프트웨어를 사용한 사실을 인지한 코더가 이미 완화 조치에 나섰을 것이다. 내부 애플리케이션의 경우에는 Log4j 소프트웨어를 최신 버전으로 업데이트해야 한다. 반면, 컨설턴트와 중소기업은 Log4j 취약점의 영향을 받는 소프트웨어가 설치된 사실을 모를 수 있다. 보안업체 헌트리스(Huntress)에서 취약성 여부를 판단할 자원을 갖춘 내부 전담 부서가 컨설턴트와 소기업을 위한 자원을 마련해 공개했다.   Log4J 취약성 테스트 도구 헌트리스는 내부 애플리케이션의 취약성 여부를 쉽게 테스트할 수 있는 테스트 도구도 제공한다. 테스트 도구로 생성된 고유 문자열을 사용자 이름, 비밀번호 등 입력이 필요한 위치에 넣으면, 헌트리스 사이트의 테스트 페이지에서 애플리케이션 취약성 여부를 검토할 수 있다. 외부 유출의 증거가 없는 내부 애플리케이션이라면 Log4j 공격에서 안전하다고 보면 된다. 이 테스트는 소유권 또는 계약상 통제권을 직접 소유한 애플리케이션 및 자원에서만 수행해야 한다. 법적 권리가 없는 애플리케이션을 테스트하면 통상적인 인터넷 서비스 제공업체 약관에 위반된다. 헌트리스는 블로그에서 공격자가 이미 이 방식으로 주로 경량 디렉터리 액세스 프로토콜(Lightweight Directory Access Protocol, LDAP) 질의를 사용한 시스템 진입을 시도하고 있다고 지적하면서 요청을 생성한 후 사용자에게 알려주는 도구를 제공한다. Log4Shell 사이트의 페이로드를 잘라내 애플리케이션에 붙여넣기만 하면 된다. 헌트리스의 존 해먼드는 취약점의 작동 방식을 보여주는 동영상도 공개했다.     로깅이 포함된 애...

Log4j 취약점

2021.12.20

Log4j라는 로깅 소프트웨어 취약점을 다룬 기사가 지난주 인터넷을 뒤흔들었다. Log4j는 많은 서드파티 애플리케이션이 사용하는 자바 기반 로깅 라이브러리로, 아파치 로깅 서비스(Apache Logging Services)의 일부이기도 하다. 직접 내부 애플리케이션 코딩을 처리하는 대기업의 경우, 직원 중 이 소프트웨어를 사용한 사실을 인지한 코더가 이미 완화 조치에 나섰을 것이다. 내부 애플리케이션의 경우에는 Log4j 소프트웨어를 최신 버전으로 업데이트해야 한다. 반면, 컨설턴트와 중소기업은 Log4j 취약점의 영향을 받는 소프트웨어가 설치된 사실을 모를 수 있다. 보안업체 헌트리스(Huntress)에서 취약성 여부를 판단할 자원을 갖춘 내부 전담 부서가 컨설턴트와 소기업을 위한 자원을 마련해 공개했다.   Log4J 취약성 테스트 도구 헌트리스는 내부 애플리케이션의 취약성 여부를 쉽게 테스트할 수 있는 테스트 도구도 제공한다. 테스트 도구로 생성된 고유 문자열을 사용자 이름, 비밀번호 등 입력이 필요한 위치에 넣으면, 헌트리스 사이트의 테스트 페이지에서 애플리케이션 취약성 여부를 검토할 수 있다. 외부 유출의 증거가 없는 내부 애플리케이션이라면 Log4j 공격에서 안전하다고 보면 된다. 이 테스트는 소유권 또는 계약상 통제권을 직접 소유한 애플리케이션 및 자원에서만 수행해야 한다. 법적 권리가 없는 애플리케이션을 테스트하면 통상적인 인터넷 서비스 제공업체 약관에 위반된다. 헌트리스는 블로그에서 공격자가 이미 이 방식으로 주로 경량 디렉터리 액세스 프로토콜(Lightweight Directory Access Protocol, LDAP) 질의를 사용한 시스템 진입을 시도하고 있다고 지적하면서 요청을 생성한 후 사용자에게 알려주는 도구를 제공한다. Log4Shell 사이트의 페이로드를 잘라내 애플리케이션에 붙여넣기만 하면 된다. 헌트리스의 존 해먼드는 취약점의 작동 방식을 보여주는 동영상도 공개했다.     로깅이 포함된 애...

2021.12.20

기고ㅣ애플리케이션에서 ‘Log4j’ 취약점을 탐지하는 방법

널리 사용되는 ‘Log4j’ 라이브러리에 버그가 있으면 공격자는 Log4j를 사용하여 로그를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다.  아파치 재단이 거의 모든 자바 애플리케이션에 포함된 로깅 도구 Log4j의 치명적인 제로데이 취약점에 관한 긴급 업데이트를 발표했다. 이는 ‘Log4Shell’로 명명됐으며, 식별자는 CVE-2021-44228이다.  이 취약점은 Log4j 라이브러리의 버그를 통해 발생하는데, 이를 통해 공격자는 Log4j를 사용하여 로그 메시지를 작성하는 시스템에서 임의의 코드를 실행할 수 있다. 따라서 Log4j를 포함하는 애플리케이션 사용자라면 누구나 즉시 주의를 기울여야 한다.    Log4Shell을 해결해야 하는 이유 Log4j는 많은 자바 애플리케이션에서 사용되는 라이브러리다. 현재 가장 널리 쓰이는 자바 라이브러리이기도 하다. 대부분의 자바 애플리케이션은 데이터를 기록하며, Log4j가 주로 활용된다.   여기서 문제는 Log4j를 찾는 것이다. 자바 패키징의 작동 방식 때문에 Log4j가 애플리케이션의 어딘가 숨어 있을 수 있고, 심지어는 그 사실을 모르고 있을 가능성이 크다.  자바 생태계에서 종속성은 자바 라이브러리로 사용할 수 있는 패키지인 JAR(Java archive) 파일로 배포된다. 메이븐(Maven), 그래들(Gradle) 등 일반적으로 사용되는 도구는 자바 애플리케이션을 빌드할 때 JAR 파일을 자동으로 추가할 수 있다. JAR이 종속성을 충족하기 위해 다른 JAR을 포함할 수도 있다.  즉, 취약점이 애플리케이션에서 여러 수준 아래에 숨겨질 수 있다. 어떤 경우에는 하나의 종속성이 수백 개의 다른 종속성을 가져와 (이를) 찾기 훨씬 더 어려울 수 있다.  기본적으로 자바 세계에서는 JAR에 중첩된 JAR에 JAR이 중첩될 수 있다. 이는 모든 것을 조사해야 하는 수많은 계층을 만든다. 이에 따라 Log4j가 ...

자바 취약점 버그 Log4j Log4Shell

2021.12.14

널리 사용되는 ‘Log4j’ 라이브러리에 버그가 있으면 공격자는 Log4j를 사용하여 로그를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다.  아파치 재단이 거의 모든 자바 애플리케이션에 포함된 로깅 도구 Log4j의 치명적인 제로데이 취약점에 관한 긴급 업데이트를 발표했다. 이는 ‘Log4Shell’로 명명됐으며, 식별자는 CVE-2021-44228이다.  이 취약점은 Log4j 라이브러리의 버그를 통해 발생하는데, 이를 통해 공격자는 Log4j를 사용하여 로그 메시지를 작성하는 시스템에서 임의의 코드를 실행할 수 있다. 따라서 Log4j를 포함하는 애플리케이션 사용자라면 누구나 즉시 주의를 기울여야 한다.    Log4Shell을 해결해야 하는 이유 Log4j는 많은 자바 애플리케이션에서 사용되는 라이브러리다. 현재 가장 널리 쓰이는 자바 라이브러리이기도 하다. 대부분의 자바 애플리케이션은 데이터를 기록하며, Log4j가 주로 활용된다.   여기서 문제는 Log4j를 찾는 것이다. 자바 패키징의 작동 방식 때문에 Log4j가 애플리케이션의 어딘가 숨어 있을 수 있고, 심지어는 그 사실을 모르고 있을 가능성이 크다.  자바 생태계에서 종속성은 자바 라이브러리로 사용할 수 있는 패키지인 JAR(Java archive) 파일로 배포된다. 메이븐(Maven), 그래들(Gradle) 등 일반적으로 사용되는 도구는 자바 애플리케이션을 빌드할 때 JAR 파일을 자동으로 추가할 수 있다. JAR이 종속성을 충족하기 위해 다른 JAR을 포함할 수도 있다.  즉, 취약점이 애플리케이션에서 여러 수준 아래에 숨겨질 수 있다. 어떤 경우에는 하나의 종속성이 수백 개의 다른 종속성을 가져와 (이를) 찾기 훨씬 더 어려울 수 있다.  기본적으로 자바 세계에서는 JAR에 중첩된 JAR에 JAR이 중첩될 수 있다. 이는 모든 것을 조사해야 하는 수많은 계층을 만든다. 이에 따라 Log4j가 ...

2021.12.14

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6