Offcanvas

��������� ������

역대급 보안구멍 ‘로그4j’ 막아라···개발자들의 고군분투기

지난 주말, 많은 개발자와 유지관리자가 앞다퉈 ‘로그4j(Log4j)’ 취약점에 대응하기 위해 나섰지만 이 문제를 바로잡기 위해 해야 할 일은 여전히 많다.  지난 주말 인터넷에 불이 났다. 긴급구조요원들은 곧장 현장으로 달려갔다. 대부분 무급 유지관리자 또는 개발자가 여가 시간에 취약점을 패치했고, 지침을 발행했으며, 혼란 속에서 절실하게 필요했던 명확성을 제공했다.    12월 9일 아파치 재단(Apache Foundation)은 거의 모든 자바 애플리케이션에 사용되는 오픈소스 로깅 프레임워크 ‘로그4j(Log4j)’에서 발견된 치명적인 제로데이 취약점 ‘로그4셸(Log4Shell)’에 관한 긴급 업데이트를 발표했다.  CVE-2021-44228로 식별된 이 버그를 통해 공격자는 로그4j 라이브러리를 사용하여 로그 메시지를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다. 이는 CVSS 점수에서 가장 높은 심각도를 일컫는 10점을 받았다.  클라우드플레어(Cloudflare)의 CTO 존 그레이엄은 “허트블리드(Heartbleed)와 쉘쇼크(ShellShock) 이후로 인터넷에서 가장 심각한 취약점일 가능성이 크다”라고 말했다. 심지어 마인크래프트(Minecraft)도 안전하지 않았다. 최초 대응자 여러 개발자와 유지관리자가 주말 동안 최대한 많은 자바 애플리케이션을 패치하기 위해 즉시 출동했다. 첫 번째 방어선은 비영리 아파치 소프트웨어 재단의 로깅 서비스팀에서 유지관리하는 로그4j 자체였다. 아파치의 로깅 서비스팀은 전 세계의 거의 모든 시간대에 분산된 16명의 자원봉사자로 구성돼 있다. 소프트웨어 엔지니어 겸 아파치 로깅 서비스 프로젝트 관리 위원회(Project Management Committee; PMC)의 회원인 개리 그레고리는 “여가 시간에 소프트웨어를 작성하고 퍼즐을 푸는 것을 좋아하기 때문에 이 일을 한다”라고 언급했다.  PMC의 주된 의사소통 채널은 이메일이며,...

로그4j 로그포셸 자바 보안 취약점 보안 위협 아파치 재단 제로데이 취약점 자바 애플리케이션 핫패치

2021.12.20

지난 주말, 많은 개발자와 유지관리자가 앞다퉈 ‘로그4j(Log4j)’ 취약점에 대응하기 위해 나섰지만 이 문제를 바로잡기 위해 해야 할 일은 여전히 많다.  지난 주말 인터넷에 불이 났다. 긴급구조요원들은 곧장 현장으로 달려갔다. 대부분 무급 유지관리자 또는 개발자가 여가 시간에 취약점을 패치했고, 지침을 발행했으며, 혼란 속에서 절실하게 필요했던 명확성을 제공했다.    12월 9일 아파치 재단(Apache Foundation)은 거의 모든 자바 애플리케이션에 사용되는 오픈소스 로깅 프레임워크 ‘로그4j(Log4j)’에서 발견된 치명적인 제로데이 취약점 ‘로그4셸(Log4Shell)’에 관한 긴급 업데이트를 발표했다.  CVE-2021-44228로 식별된 이 버그를 통해 공격자는 로그4j 라이브러리를 사용하여 로그 메시지를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다. 이는 CVSS 점수에서 가장 높은 심각도를 일컫는 10점을 받았다.  클라우드플레어(Cloudflare)의 CTO 존 그레이엄은 “허트블리드(Heartbleed)와 쉘쇼크(ShellShock) 이후로 인터넷에서 가장 심각한 취약점일 가능성이 크다”라고 말했다. 심지어 마인크래프트(Minecraft)도 안전하지 않았다. 최초 대응자 여러 개발자와 유지관리자가 주말 동안 최대한 많은 자바 애플리케이션을 패치하기 위해 즉시 출동했다. 첫 번째 방어선은 비영리 아파치 소프트웨어 재단의 로깅 서비스팀에서 유지관리하는 로그4j 자체였다. 아파치의 로깅 서비스팀은 전 세계의 거의 모든 시간대에 분산된 16명의 자원봉사자로 구성돼 있다. 소프트웨어 엔지니어 겸 아파치 로깅 서비스 프로젝트 관리 위원회(Project Management Committee; PMC)의 회원인 개리 그레고리는 “여가 시간에 소프트웨어를 작성하고 퍼즐을 푸는 것을 좋아하기 때문에 이 일을 한다”라고 언급했다.  PMC의 주된 의사소통 채널은 이메일이며,...

2021.12.20

페이스북, IT업체 종속 탈피 선언… 오픈 컴퓨트 프로젝트 발표

페이스북이 IT업체의 종속되는 것을 탈피하고자 ‘오픈 컴퓨트 프로젝트(Open Compute Project; OPC)’를 발표했다. 페이스북은 OPC를 통해 IT공급업체들간의 ‘불필요한 차별화 요소’를 줄여 IT비용도 절감할 것으로 기대하고 있다. 지난 10월 27일 기자회견을 통해 페이스북은 “독립 재단 형태의 OCP를 추진해 향후 데이터센터 장비 시장을 표준화하고자 하며, 그렇게 함으로써 비용과 IT업체 종속성을 낮추고자 한다”라고 밝혔다. 초창기 구글의 주요 투자자였던 썬마이크로시스템즈의 공동창립자이자 OCP 이사회 임원인 안드레아스 베히톨스하임은 “그 동안 이 업계에서는 시스템 수준의 표준화가 이뤄지지 않았다. 업체마다 독특한 섀시(chassis)를 사용하거나 사용자들이 장비에 다른 업체의 기어를 혼합해서 사용할 수 없도록 고유한 구성 요소를 고집했다”라며 서버 업체들이 만들어낸 ‘불필요한 차별화’를 통렬히 비판했다. OCP에는 인텔, 델, 랙스페이스(Rackspace), 레드햇을 비롯한 다수의 IT 기업 출신 임원진들이 이사진에 합류했다. 페이스북은 데이터센터 효율성과 관련해 베스트 프랙티스를 공유할 목적으로 지난 4월에 처음으로 OPC를 추진하기 시작했다. 이 프로젝트를 만든 페이스북 엔지니어인 프랑크 프랑코브스키는 “OCP는 아파치 소프트웨어 파운데이션(Apache Software Foundation; ASF)을 본떠 만들어졌으며 제3의 독립 SW 업체가 개발한 프로젝트들을 후원하고 관리할 것”이라고 밝혔다. OCP는 ASF와 달리 소프트웨어 대신 오픈소스 하드웨어 프로젝트들에 집중할 방침이다. “오늘날 오픈소스는 단순히 소프트웨어만을 설명하는 무언가가 아니라 하드웨어를 설명하는 하나의 방식이기도 하다”라고 프랑코브스키는 전했다. 재단의 매니저들에 따르면, 현재 데이터센터 ...

스토리지 오픈소스 페이스북 서버 아파치 재단 오픈 컴퓨트 프로젝트 OCP 종속

2011.11.01

페이스북이 IT업체의 종속되는 것을 탈피하고자 ‘오픈 컴퓨트 프로젝트(Open Compute Project; OPC)’를 발표했다. 페이스북은 OPC를 통해 IT공급업체들간의 ‘불필요한 차별화 요소’를 줄여 IT비용도 절감할 것으로 기대하고 있다. 지난 10월 27일 기자회견을 통해 페이스북은 “독립 재단 형태의 OCP를 추진해 향후 데이터센터 장비 시장을 표준화하고자 하며, 그렇게 함으로써 비용과 IT업체 종속성을 낮추고자 한다”라고 밝혔다. 초창기 구글의 주요 투자자였던 썬마이크로시스템즈의 공동창립자이자 OCP 이사회 임원인 안드레아스 베히톨스하임은 “그 동안 이 업계에서는 시스템 수준의 표준화가 이뤄지지 않았다. 업체마다 독특한 섀시(chassis)를 사용하거나 사용자들이 장비에 다른 업체의 기어를 혼합해서 사용할 수 없도록 고유한 구성 요소를 고집했다”라며 서버 업체들이 만들어낸 ‘불필요한 차별화’를 통렬히 비판했다. OCP에는 인텔, 델, 랙스페이스(Rackspace), 레드햇을 비롯한 다수의 IT 기업 출신 임원진들이 이사진에 합류했다. 페이스북은 데이터센터 효율성과 관련해 베스트 프랙티스를 공유할 목적으로 지난 4월에 처음으로 OPC를 추진하기 시작했다. 이 프로젝트를 만든 페이스북 엔지니어인 프랑크 프랑코브스키는 “OCP는 아파치 소프트웨어 파운데이션(Apache Software Foundation; ASF)을 본떠 만들어졌으며 제3의 독립 SW 업체가 개발한 프로젝트들을 후원하고 관리할 것”이라고 밝혔다. OCP는 ASF와 달리 소프트웨어 대신 오픈소스 하드웨어 프로젝트들에 집중할 방침이다. “오늘날 오픈소스는 단순히 소프트웨어만을 설명하는 무언가가 아니라 하드웨어를 설명하는 하나의 방식이기도 하다”라고 프랑코브스키는 전했다. 재단의 매니저들에 따르면, 현재 데이터센터 ...

2011.11.01

아파치 TomEE, 자바 EE6 호환 인증 획득

아파치 소프트웨어 재단의 엔터프라이즈 자바 아파치 톰캣 스택은 사무용 자바 EE6 웹 프로필 사양과 호환이 가능하다는 인증을 획득했다.   아파치 TomEE는 자바 커뮤니티 프로세스를 거쳐 오라클에 의해 인증받았다. 스택은 웹 애플리케이션을 배포하는데 사용될 수 있다. 아파치 측은 "스택을 사용하는 개발자들은 자바EE 호환 솔루션을 통해 이동성이 보장된다"고.   스택의 구성 요소는 여러 아파치 프로젝트와 함께 톰캣 자바EE 서블릿 모듈을 포함한다. 아파치 프로젝트에는 자바 CDI(Java Context and Dependency Injection) 기능을 위한 오픈EJB(Enterprise JavaBeans), 데이터 액세스를 위한 OpenJPA(Java Persistence API), 그리고 웹 애플리케이션 서버 단을 위한 마이페이스 등과 같은 프로젝트가 있다.     아파치 OpenEJB 부사장 데이비드 브레빈스는 자바원 컨퍼런스에서 가진 인터뷰에서 "이 스택은 톰캣 사용자를 위해 그들의 스택을 위한 소프트웨어는 아주 최소한으로 필요할 뿐만아니라 추가적인 불필요한 소프트웨어를 설치할 필요가 없게끔 준비됐다"고 밝혔다.   브레빈스는 "아파치 OpenEJB는 그들을 위해 또다른 선택을 제공하기를 원한다. 그것이 향후 미래 시장의 수요에 대한 톰캣이 초점을 맞춘 방향"이라고 설명했다.     브레빈스는 "스택에 CDI를 포함했다는 의미는 CDI와 유사한 기능을 제공하고 있는 일부 스프링 프레임워크에서 TomEE 대체를 가져올 수 있다"며, "스프링이 표준 구현으로 가는 것을 결정할 만한 이들에게 만족할만한 것이라고 생각한다. 스프링은 독자적인 프레임워크"라고.   TomEE에 대한 아파치의 승인 획득은 오픈소스 조직의 경험과 필드에서의 사용제한 분쟁으로 인해 몇년간 인증을 얻지 ...

오픈소스 인증 아파치 재단 자바 EE6

2011.10.10

아파치 소프트웨어 재단의 엔터프라이즈 자바 아파치 톰캣 스택은 사무용 자바 EE6 웹 프로필 사양과 호환이 가능하다는 인증을 획득했다.   아파치 TomEE는 자바 커뮤니티 프로세스를 거쳐 오라클에 의해 인증받았다. 스택은 웹 애플리케이션을 배포하는데 사용될 수 있다. 아파치 측은 "스택을 사용하는 개발자들은 자바EE 호환 솔루션을 통해 이동성이 보장된다"고.   스택의 구성 요소는 여러 아파치 프로젝트와 함께 톰캣 자바EE 서블릿 모듈을 포함한다. 아파치 프로젝트에는 자바 CDI(Java Context and Dependency Injection) 기능을 위한 오픈EJB(Enterprise JavaBeans), 데이터 액세스를 위한 OpenJPA(Java Persistence API), 그리고 웹 애플리케이션 서버 단을 위한 마이페이스 등과 같은 프로젝트가 있다.     아파치 OpenEJB 부사장 데이비드 브레빈스는 자바원 컨퍼런스에서 가진 인터뷰에서 "이 스택은 톰캣 사용자를 위해 그들의 스택을 위한 소프트웨어는 아주 최소한으로 필요할 뿐만아니라 추가적인 불필요한 소프트웨어를 설치할 필요가 없게끔 준비됐다"고 밝혔다.   브레빈스는 "아파치 OpenEJB는 그들을 위해 또다른 선택을 제공하기를 원한다. 그것이 향후 미래 시장의 수요에 대한 톰캣이 초점을 맞춘 방향"이라고 설명했다.     브레빈스는 "스택에 CDI를 포함했다는 의미는 CDI와 유사한 기능을 제공하고 있는 일부 스프링 프레임워크에서 TomEE 대체를 가져올 수 있다"며, "스프링이 표준 구현으로 가는 것을 결정할 만한 이들에게 만족할만한 것이라고 생각한다. 스프링은 독자적인 프레임워크"라고.   TomEE에 대한 아파치의 승인 획득은 오픈소스 조직의 경험과 필드에서의 사용제한 분쟁으로 인해 몇년간 인증을 얻지 ...

2011.10.10

NSA, 빅 데이터 위한 라벨 기반 SW를 아파치 재단에 전달

미국 국가안전국(National Security Agency)이 새로운 라벨 기반 데이터 저장 소프트웨어를 아파치 소프트웨어 재단에 전했다. NSA는 다른 기업들도 이 소프트웨어를 정보보호 시스템에서 사용해 개발에 도움이 될 것으로 기대한다고 전했다. 아쿠물로(Accumulo)라고 이름을 붙인 이 소프트웨어는 의미 있고 매우 자세한 라벨을 사용하고 있다. 이 라벨은 데이터 저장소에 있는 각각의 셀에 태그를 붙일 수 있으며 이 각각의 셀에 보안 정책을 적용할 수 있다. 예를 들어, 외부 서버가 어떤 셀들에는 접근할 수 있지만 다른 셀들에 대해서는 접근하지 못하도록 할 수 있다.   구글의 빅 테이블(Big Table) 디자인을 기반으로 한 아쿠물로는 단일 키(simple key)/가치 키(Value key) 보관소다. 이 보관소는 키와 함께 제공하는 시스템이 그 키와 관련 있는 모든 데이터를 보관했다가 사용자에게 제공해줄 것이다. NSA는 “디자인을 선별해서 사용할 수 있도록 아쿠물로는 여러 서버로 운영된다. 또한 빅 데이터 시스템을 관리하기 위한 다양한 선택사양들을 제시해 준다”라고 말했다. “아쿠물로의 라벨 접근 자체가 완성된 보안 솔루션을 제공하지 않는다. 아쿠물로는 데이터 각각의 조각에 자동으로 라벨을 붙이는 메커니즘이며 이를 직접 확인할 수 있다”라고 NSA는 아파치 제안서에서 밝혔다. 다른 개발자들이 아쿠쿨로를 활용해 기능을 향상시키면, 이를 회사, 정부 기관 및 엄격한 보안 정책을 준수해야 하는 기관이나 기업들의 데이터 보관소에도 제공할 수 있다”라고 NSA는 덧붙였다. ciokr@idg.co.kr

대용량 데이터 태그 빅 데이터 라벨 태깅 NSA 아파치 재단

2011.09.27

미국 국가안전국(National Security Agency)이 새로운 라벨 기반 데이터 저장 소프트웨어를 아파치 소프트웨어 재단에 전했다. NSA는 다른 기업들도 이 소프트웨어를 정보보호 시스템에서 사용해 개발에 도움이 될 것으로 기대한다고 전했다. 아쿠물로(Accumulo)라고 이름을 붙인 이 소프트웨어는 의미 있고 매우 자세한 라벨을 사용하고 있다. 이 라벨은 데이터 저장소에 있는 각각의 셀에 태그를 붙일 수 있으며 이 각각의 셀에 보안 정책을 적용할 수 있다. 예를 들어, 외부 서버가 어떤 셀들에는 접근할 수 있지만 다른 셀들에 대해서는 접근하지 못하도록 할 수 있다.   구글의 빅 테이블(Big Table) 디자인을 기반으로 한 아쿠물로는 단일 키(simple key)/가치 키(Value key) 보관소다. 이 보관소는 키와 함께 제공하는 시스템이 그 키와 관련 있는 모든 데이터를 보관했다가 사용자에게 제공해줄 것이다. NSA는 “디자인을 선별해서 사용할 수 있도록 아쿠물로는 여러 서버로 운영된다. 또한 빅 데이터 시스템을 관리하기 위한 다양한 선택사양들을 제시해 준다”라고 말했다. “아쿠물로의 라벨 접근 자체가 완성된 보안 솔루션을 제공하지 않는다. 아쿠물로는 데이터 각각의 조각에 자동으로 라벨을 붙이는 메커니즘이며 이를 직접 확인할 수 있다”라고 NSA는 아파치 제안서에서 밝혔다. 다른 개발자들이 아쿠쿨로를 활용해 기능을 향상시키면, 이를 회사, 정부 기관 및 엄격한 보안 정책을 준수해야 하는 기관이나 기업들의 데이터 보관소에도 제공할 수 있다”라고 NSA는 덧붙였다. ciokr@idg.co.kr

2011.09.27

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8