Offcanvas

보안 / 오픈소스

“로그4j, 오픈소스가 문제 아니다”

2022.02.10 Michael Cooney  |  Network World
기술 업계는 작년 말 오픈소스 아파치 로그4j 소프트웨어에서 발견된 심각한 취약점이 미칠 장기적 영향을 계속해서 파악하고 있으며, 美 상원도 마찬가지다. 

사이버 스테이트크래프트 이니셔티브(Cyber Statecraft Initiative)의 책임자 트레이 허 박사는 이번 주 개최된 美 상원 국토 안보 및 정부위(US Senate Committee on Homeland Security&Government Affairs)의 청문회에서 “오픈소스는 문제가 아니다”라고 밝혔다. 그는 “소프트웨어 공급망 보안 문제는 수년 동안 사이버 정책 커뮤니티를 괴롭혀왔다”라고 말했다. 

업계 전문가들은 로그4j 결함과 그 영향을 해결하기 위해서는 장기적인 투쟁을 해야 할 것으로 예측해왔다. 이를테면 시스코 탈로스(Cisco Talos)의 보안 연구진은 앞으로 로그4j가 널리 악용될 것이며, 사용자는 영향을 받는 제품을 패치하고 가능한 한 빨리 완화 솔루션을 구현해야 한다고 권고했다. 
 
ⓒGetty Images

자바 로그 소프트웨어는 클라이언트/서버 애플리케이션 개발을 지원하는 사용하기 쉬운 공통 유틸리티로, 기업 및 소비자 서비스, 웹 사이트 및 애플리케이션에서 널리 사용된다. 이것이 악용되면 로그4j 취약점을 통해 인증되지 않은 원격 행위자가 영향을 받는 서버 시스템을 제어하고 회사 정보에 액세스하거나 DoS 공격을 발생시킬 수 있다. 상원 패널은 업계의 대응과 향후 소프트웨어 위험 노출을 막기 위한 방법을 모색하고자 전문가들을 호출했다. 로그4j는 오픈소스 소프트웨어에서 발견됐기 때문에 전문가들은 중요한 플랫폼에서 오픈소스 소프트웨어의 사용을 검토하는 데 많은 시간을 할애했다. 

위원회 의장이자 민주당 상원의원인 개리 피터스는 “12자만 입력하면 악용될 수 있는 로그4j 취약점은 오픈소스 코드, 즉 개인에 의해 개발되고 자유롭게 사용 가능한 코드에서 발견되는 취약점을 포함하여 소프트웨어 취약점이 얼마나 널리 퍼져 있는지 보여주는 한 가지 예일뿐이다”라고 언급했다. 이어서 그는 “노출된 온라인 서비스, 사이트, 기기의 양 측면에서 이 소프트웨어 취약점의 잠재적인 영향은 헤아릴 수 없을 정도로 크며, 은행 및 전력망 등의 중요 인프라부터 정부 기관까지 모든 것이 네트워크 침해에 노출돼 있다”라고 지적했다. 

하지만 시스코의 수석 부사장 겸 최고 보안 책임자 브래드 아킨은 이에 반박하면서 “일각에서 말한 것처럼 오픈소스 소프트웨어가 실패한 것이 아니라고 생각한다. 로그4j 취약점이 오픈소스 소프트웨어의 고유한 결함이나 위험 증가를 입증한다고 주장하는 건 잘못됐다”라며, “진실은 다음과 같다. 모든 소프트웨어에는 소프트웨어를 설계, 통합, 작성할 때 인간의 판단에 내재된 결함으로 인한 취약점을 포함하고 있다”라고 전했다. 

이어서 “시스코는 오픈소스 보안 프로젝트의 주요 사용자이자 적극적인 기여자다. 이는 IT 인프라의 기본 요소에서 공유되는 코드 블록의 무결성을 유지하는 데 중요하다. 그러나 오픈소스 소프트웨어가 야기하는 위험에만 협소하게 초점을 맞추면 모든 소프트웨어에 내재된 보안 위험을 해결할 수 있는 다른 중요한 영역에서 주의가 흐트러질 수 있다고 생각한다”라고 그는 덧붙였다. 

허는 이와 유사한 취약점이 앞으로도 계속해서 나타날 것이라고 말했다. “로그4j는 예외적으로 널리 사용되는 로그 프로그램이며, 이 결함을 해결하는 데 상당한 노력과 대중의 관심이 필요하다. 하지만 이번 사고가 마지막은 아닐 것”이라고 언급했다. 

허에 따르면 “오픈소스 보안을 개선하기 위한 이 연방 이니셔티브의 슬로건은 모든 개발자와 유지관리자에 걸쳐 소프트웨어 공급망 보안의 구조적 개선을 추진하기 위해 업계가 제공하지 않거나 대중의 관심이 부족한 곳에 자원을 제공하는 자금을 조달하는 것이다. 소프트웨어 공급망과 오픈소스 코드를 보호하는 것은 인프라 문제이며, 이와 동일한 장기적인 투자 모델이 적용된다.”

팔로알토 네트웍스(Palo Alto Networks)의 유닛 42(Unit 42)에서 위협 인텔리전스 부문 부국장을 맡고 있는 젠 밀러-오스본은 로그4쉘 및 향후 취약점 대응을 위해 다음의 조치를 취해야 한다고 밝혔다. 

취약점 관리 정책 컴플라이언스를 자동화해야 한다. “알려져 있는 악용된 취약점의 카탈로그를 구축 및 유지관리하는 국토 사이버 보안 및 인프라 보안국의 노고에 박수를 보낸다. 하지만 100개 이상의 연방 민간 기관에 걸친 수동 보고는 적보다 앞서지 못할 것”이라고 그는 언급했다. 

업계 전반에서 개발 보안 운영을 추진해야 한다. 밀러-오스본은 “이미 이 분야에서 인상적인 작업들이 이뤄지고 있긴 하지만 오픈소스 구성요소 액세스를 제어하기 위해 기존 개발 도구의 채택을 늘리면 커뮤니티에 도움이 될 것이다. 이러한 도구를 사용하면 모든 오픈소스 패키지의 무결성과 보안을 검사한 후 엔지이너링 팀이 제품에 사용할 수 있도록 승인할 수 있다”라고 설명했다. 

아킨은 보안 아키텍처 구현이 취약점의 영향을 제한하고, 신속한 복구 및 복원력을 지원하기 위해 시스템 내부에 필요한 분리를 만드는 데 중요하다고 말했다. 그는 “예를 들면 공격자가 취약점을 악용해 초기 액세스를 얻더라도 적절한 분할은 네트워크를 통해 측면으로 이동하는 것을 어렵게 만든다. 제로 트러스트 환경을 구현하면 네트워크에 연결하고 중요한 데이터 및 시스템에 액세스하려는 모든 시도를 검사하여 침입 및 악용으로부터 중요한 데이터와 시스템을 보호할 수 있다”라고 전했다. 

아울러 전문가들은 작년에 대통령 명령으로 발표된 보안 소프트웨어 개발 및 제로 트러스트 네트워킹 요건은 로그4쉘 취약점을 막을 수 있는지 여부에 관계없이 따라야 할 중요한 단계라고 권고했다. 

아파치 소프트웨어 재단의 회장 데이비드 날리는 “불완전한 코드의 문제는 사라지지 않을 것”이라면서, “사람이 소프트웨어를 만들고, 그 결과 버그가 계속 발생할 것이며, 최선의 노력에도 불구하고 그중 일부에는 보안 취약점이 포함될 것이다. 이게 현실이다. 계속해서 더 많이 연결되고 디지털화되면서 취약점의 수와 잠재적인 결과가 증가할 것”이라고 말했다.

이어서 그는 “쉬운 소프트웨어 보안 솔루션은 없다. 오픈소스 프로젝트, 이러한 프로젝트를 통합하는 벤더, 맞춤형 애플리케이션에서 이 소프트웨어를 사용하는 개발자, 심지어 사용자에게 중요한 서비스를 제공하기 위해 이러한 애플리케이션을 배포하는 기업까지 아우르는 심층적인 방어가 필요하다”라고 덧붙였다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.