Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다. 우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠...
2022.07.15
오픈소스 소프트웨어는 대다수 애플리케이션에서 큰 비중을 차지하지만, 개발자와 보안 부서에는 보안 관련 과제를 던지는 존재다. 이번주 공개된 2종의 보고서에는 오픈소스 소프트웨어의 과제를 ‘시프트 레프트’ 전략을 확대 적용하면서 극복할 수 있다는 내용이...
2022.06.27
기술 업계는 작년 말 오픈소스 아파치 로그4j 소프트웨어에서 발견된 심각한 취약점이 미칠 장기적 영향을 계속해서 파악하고 있으며, 美 상원도 마찬가지다. 사이버 스테이트크래프트 이니셔티브(Cyber Statecraft Initiative)...
2022.02.10
한 CISO가 보낸 문자 메시지는 간단했다. “나는 다시는 보안 운영 업무를 맡지 않을 겁니다.” 보안팀들이 Log4j에 대응하느라 분투했던 12월, 제프 폴라드의 스마트폰에 도착한 문자 메시지였다. 포레스터 리서치의 부사장 겸 수석 분석가 폴라드는...
2022.02.09
한 CISO가 보낸 문자 메시지는 간단했다. “나는 다시는 보안 운영 업무를 맡지 않을 겁니다.” 보안팀들이 Log4j에 대응하느라 분투했던 12월, 제프 폴라드의 스마트폰에 도착한 문자 메시지였다. 포레스터 리서치의 부사장 겸 수석 분석가 폴라드는...
2022.02.09
이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다. 이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을...
2021.12.31
최근 Log4j라는 자바 컴포넌트에서 악용하기 쉬운 취약점이 발견되자 IT 보안 업계에 비상이 걸렸다. Log4j는 다양한 애플리케이션과 제품에 존재한다. Log4j 취약점이 알려지고 공격자가 이를 악용하기 시작한 후, 많은 IT 전문가가 Log4j ...
2021.12.22
최근 Log4j라는 자바 컴포넌트에서 악용하기 쉬운 취약점이 발견되자 IT 보안 업계에 비상이 걸렸다. Log4j는 다양한 애플리케이션과 제품에 존재한다. Log4j 취약점이 알려지고 공격자가 이를 악용하기 시작한 후, 많은 IT 전문가가 Log4j ...
2021.12.22
Log4j라는 로깅 소프트웨어 취약점을 다룬 기사가 지난주 인터넷을 뒤흔들었다. Log4j는 많은 서드파티 애플리케이션이 사용하는 자바 기반 로깅 라이브러리로, 아파치 로깅 서비스(Apache Logging Services)의 일부이기도 하다. 직접 ...
2021.12.20
Log4j라는 로깅 소프트웨어 취약점을 다룬 기사가 지난주 인터넷을 뒤흔들었다. Log4j는 많은 서드파티 애플리케이션이 사용하는 자바 기반 로깅 라이브러리로, 아파치 로깅 서비스(Apache Logging Services)의 일부이기도 하다. 직접 ...
2021.12.20
널리 사용되는 ‘Log4j’ 라이브러리에 버그가 있으면 공격자는 Log4j를 사용하여 로그를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다. 아파치 재단이 거의 모든 자바 애플리케이션에 포함된 로깅 도구 Log4j의 치명적인 제로...
2021.12.14