Offcanvas

CSO / How To / 보안 / 애플리케이션

중소기업이 Log4j 취약점에 대응하는 방법

2021.12.20 Susan Bradley  |  CSO
Log4j라는 로깅 소프트웨어 취약점을 다룬 기사가 지난주 인터넷을 뒤흔들었다. Log4j는 많은 서드파티 애플리케이션이 사용하는 자바 기반 로깅 라이브러리로, 아파치 로깅 서비스(Apache Logging Services)의 일부이기도 하다. 직접 내부 애플리케이션 코딩을 처리하는 대기업의 경우, 직원 중 이 소프트웨어를 사용한 사실을 인지한 코더가 이미 완화 조치에 나섰을 것이다. 내부 애플리케이션의 경우에는 Log4j 소프트웨어를 최신 버전으로 업데이트해야 한다.

반면, 컨설턴트와 중소기업은 Log4j 취약점의 영향을 받는 소프트웨어가 설치된 사실을 모를 수 있다. 보안업체 헌트리스(Huntress)에서 취약성 여부를 판단할 자원을 갖춘 내부 전담 부서가 컨설턴트와 소기업을 위한 자원을 마련해 공개했다.
 

Log4J 취약성 테스트 도구

헌트리스는 내부 애플리케이션의 취약성 여부를 쉽게 테스트할 수 있는 테스트 도구도 제공한다. 테스트 도구로 생성된 고유 문자열을 사용자 이름, 비밀번호 등 입력이 필요한 위치에 넣으면, 헌트리스 사이트의 테스트 페이지에서 애플리케이션 취약성 여부를 검토할 수 있다. 외부 유출의 증거가 없는 내부 애플리케이션이라면 Log4j 공격에서 안전하다고 보면 된다.

이 테스트는 소유권 또는 계약상 통제권을 직접 소유한 애플리케이션 및 자원에서만 수행해야 한다. 법적 권리가 없는 애플리케이션을 테스트하면 통상적인 인터넷 서비스 제공업체 약관에 위반된다. 헌트리스는 블로그에서 공격자가 이미 이 방식으로 주로 경량 디렉터리 액세스 프로토콜(Lightweight Directory Access Protocol, LDAP) 질의를 사용한 시스템 진입을 시도하고 있다고 지적하면서 요청을 생성한 후 사용자에게 알려주는 도구를 제공한다. Log4Shell 사이트의 페이로드를 잘라내 애플리케이션에 붙여넣기만 하면 된다. 헌트리스의 존 해먼드는 취약점의 작동 방식을 보여주는 동영상도 공개했다.
 
ⓒ Getty Images Bank
 

로깅이 포함된 애플리케이션 먼저 테스트할 것

NCC그룹은 각자 이용하는 소프트웨어 애플리케이션과 업체에 취약점 위험이 없는지 검토할 것을 추천했다. 로깅이 포함된 애플리케이션부터 먼저 테스트하되, 어떤 애플리케이션이 LDAP에 의존하는지 살펴야 한다. LDAP는 TCP/IP 스택 상위 계층에서 실행되며, 인터넷 디렉터리 연결, 검색, 수정에 사용되는 매커니즘을 제공한다. 마이크로소프트에 따르면 “악용 위험의 흔한 패턴은 로그 내 사용자 이름, 조회인 또는 사용자 에이전트 문자열 처리 목적으로 설계된 코드가 있는 웹 애플리케이션 등”이다.
 

Log4j 완화에 대한 마이크로소프트의 조언

마이크로소프트에 따르면 윈도우 또는 리눅스 장치에서 마이크로소프트 디펜더(Microsoft Defender) 바이러스 백신을 사용하면 악용을 예방할 수 있다. 최신 악용 프로그램은 코발트 스트라이크 비콘(Cobalt Strike Beacon) 로더는 물론, 시스템 비트코인 마이닝 소프트웨어를 삽입하려는 시도를 하고 있다. 마이크로소프트는 방화벽 로그에 LDAP 질의는 물론 수상한 명령이 없는지 검토할 것도 추천한다.

윈도우는 태생적으로 Log4j 악용에 취약하지 않기 때문에 공격의 증거는 윈도우 이벤트 로그에서 찾지 말고, 일반적으로 Log4j 로깅 루틴이 위치한, 직접 구입했거나 개발한 애플리케이션에서 찾아야 한다.

마이크로소프트는 보급, 연식, 또는 신뢰 목록 기준을 충족하지 않는 실행 파일은 공격 표면 축소 규칙을 설정해 실행을 차단할 것을 추천했다. 그래야 안전한 상태에서 네트워크 위험 여부를 조사할 수 있다.
 

아웃바운드 트래픽을 주시할 것

내부에서 시작되어 외부로 나가는 아웃바운드 트래픽 모니터링에 사용할 수 있는 도구와 옵션을 검토해야 한다. 팬데믹 이전 대부분의 회사에서 사용된 전통적인 네트워크는 바깥에 방화벽이 있어서 아웃바운드 트래픽 검토에 활용할 수 있었다. 지금은 지리적으로 분산된 워크스테이션의 아웃바운드 연결을 검토할 클라우드 기반 도구가 필요하다. 백신 또는 모니터링 도구 업체에 문의하여 네트워크 내 머신 원격 모니터링 솔루션을 추가해야 할 수도 있다.

사용자 도메인/네트워크에서 나온 연결이 현재 공격 대상으로 파악된 URL의 웹사이트로 향하는지를 검토해야 한다. 이상적인 방법은 아예 그러한 연결을 차단할 방법을 모색하는 것이다.

NCC그룹은 공격에 사용된 도메인과 IP 주소를 파악해 목록으로 정리해 두었다. 이 목록은 앞으로 더 길어질 것이 확실하므로 예의주시해야 한다. 아울러 서버에 요청하는 취약한 시스템이 없는지 환경을 검토할 수 있도록 방화벽 업체에게 쿼리를 추천받아야 한다. 보안 공지와 목록은 깃허브에서도 찾 수 있다.

Log4j와 같은 사건은 다시 발생할 것이다. 분석과 질의를 수행할 수 있는 인력과 자원이 있는지 검토해야 한다. 유사한 방식의 공격을 받을 가능성 여부를 평가할 인력이 없다면, 아웃바운드 연결을 추적해 정보를 알려줄 모니터링 도구와 클라우드 서비스를 추가하는 방안을 고려해야 한다.

소기업이나 컨설턴트는 비즈니스용 마이크로소프트 디펜더 또는 마이크로소프트 라이트하우스(Microsoft Lighthouse)를 추가하는 방안을 고려할 수 있다. 비즈니스용 마이크로소프트 디펜더는 유사 공격을 모니터링하는 플랫폼으로서 현재 일반 사전 공개 단계에 있다. 마이크로소프트 라이트하우스는 여러 조직에서 Log4j와 유사한 방식의 공격을 모니터링할 수 있는 콘솔이다. editor@itworld.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.