역사상 최악이라고 평가됐던 ‘로그4j(Log4j)’ 사태가 1주년을 맞았다. 그 이후로 소프트웨어 세계는 이런 일이 다시는 일어나지 않도록 필사적으로 달려왔고, 소프트웨어 공급망 보안에서 빠뜨렸던 연결고리가 채워지기 시작하고 있다.   로...

2022.12.13

오픈소스가 기업에서 인기 있는 이유 중 하나는 정교한 애플리케이션 및 서비스의 개발 속도를 높이는 검증된 구성 요소를 제공하기 때문이다. 하지만 서드파티 소프트웨어 구성 요소, 패키지, 컨테이너의 편리함은 위험도 수반한다. 구축하는 애플리케이션의 보안...

2022.11.07

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다. ...

2022.06.02

美 애플리케이션 보안 전문 기업 베라코드(Veracode)의 CTO와 함께 로그4j 취약점의 여파, 오픈소스 보안 문제 인식을 높이는 방법 등을 살펴본다.  지난 2021년 12월 초 수백만 개의 애플리케이션에서 사용되는 오픈소스 자바 구성...

2022.05.26

클라우드 보안에 관한 인사이트가 있는가? 다음은 비즈니스 리더가 물어야 하고, 클라우드 보안 팀이 답해야 하는 9가지 질문이다.  사이버 보안 전문가가 클라우드 인프라와 애플리케이션을 노리는 해커를 퇴치하기 위해 필요한 지식을 얻으려면 조지...

2022.05.18

로그프레소가 로그4j 리스크 관리 전용 서비스 ‘로그프레소 워치(Logpresso Watch)’를 출시한다고 밝혔다. ‘로그프레소 워치’는 조직 내 IT 자산의 로그4j 취약점 노출된 현황과 패치 여부를 확인하고, 관리할 수 있도록 하는 서비스다. ...

2022.02.15

기술 업계는 작년 말 오픈소스 아파치 로그4j 소프트웨어에서 발견된 심각한 취약점이 미칠 장기적 영향을 계속해서 파악하고 있으며, 美 상원도 마찬가지다.  사이버 스테이트크래프트 이니셔티브(Cyber Statecraft Initiative)...

2022.02.10

로그프레소가 1월 14일 조달 총판 아이티윈과 함께 공공기관을 대상으로 ‘로그4j 취약점 대응 프로모션’을 진행한다고 밝혔다. 로그4j는 인터넷 서비스 운영과 유지 관리를 위해 서비스 동작 과정에서 일어나는 모든 기록을 관리할 수 있는 프로그램이다....

2022.01.14

이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다.  이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을...

2021.12.31

최근 Log4j라는 자바 컴포넌트에서 악용하기 쉬운 취약점이 발견되자 IT 보안 업계에 비상이 걸렸다. Log4j는 다양한 애플리케이션과 제품에 존재한다. Log4j 취약점이 알려지고 공격자가 이를 악용하기 시작한 후, 많은 IT 전문가가 Log4j ...

2021.12.22

지난 주말, 많은 개발자와 유지관리자가 앞다퉈 ‘로그4j(Log4j)’ 취약점에 대응하기 위해 나섰지만 이 문제를 바로잡기 위해 해야 할 일은 여전히 많다.  지난 주말 인터넷에 불이 났다. 긴급구조요원들은 곧장 현장으로 달려갔다. 대부분 ...

2021.12.20