KMS테크놀로지(대표 이창표)가 국내에 공급하는 시높시스(Synopsys)사의 오픈소스 보안취약점 탐지 솔루션인 블랙덕(Black Duck)이 최근 서버에서 폭넓게 사용하는 오픈소스 로깅 라이브러리인 log4j에서 치명적인 보안 취약점(CVE-2021-44228)을 자동으로 탐지해 신속하게 대응하도록 지원한다고 밝혔다.

오픈소스 점검 및 관리도구인 블랙덕은 소프트웨어에 log4j 취약점이 포함되었는지 자동으로 탐지한다. 또한 블랙덕은 자체적인 보안취약점 데이터베이스(BDSA)를 통해서 NVD에 log4j 취약점이 CVE-2021-44228로 등록되기 전에, 취약점 정보를 제공했다.

이번 log4j 취약점 사례에 관한 자세한 내용은 KMS테크놀로지의 홈페이지 및 블로그에서 확인이 가능하며, 별도의 상담 서비스도 함께 지원한다.

Log4j는 프로그램 수행 중에 로그를 남기기 위해 사용되는 JAVA 기반 로깅 유틸리티다. 이번에 발견된 취약점은 Log4j에 존재하는 JNDI(Java Naming and Directory Interface) Injection 취약점으로 이를 악용하면 악성 코드의 원격 실행(RCE)이 가능하게 된다. (상세한 취약점 정보는 링크를 통해 확인 가능하다. https://nvd.nist.gov/vuln/detail/CVE-2021-44228)

이 취약점이 심각한 이유는 특별한 준비와 구성이 필요 없이 취약점을 악용할 수 있으며, 전세계 수많은 서버에서 사용되는 다양한 오픈소스에서 Log4j를 사용하고 있다는 점이다.

역대 비디오게임 판매량 1위인 온라인게임 마인크래프트에서 확인된 결과로는 특정 채팅 메시지를 입력하면 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 것으로 나타나 문제의 심각성이 확인되었다.

보안취약점의 정보와 위험성 평가를 제공하는 NVD(National Vulnerability Database)에서는 log4j 취약점의 점수를 가장 높은 10점을 부여한 상황이고 빠른 패치와 대응이 필요한 상황이다. 하지만 다양한 오픈소스 솔루션에서 log4j를 사용하기 때문에 확인을 위해서 사용자는 많은 시간을 소모하게 된다.

KMS테크놀로지 김상모 이사는 “모든 산업 분야에 IT 기술과 통신 기술이 적용되면서 소프트웨어 개발과 사용이 급격히 증가하고 있으며, 이에 비례하여 어플리케이션의 보안 취약점이 증가하고 있다. 시높시스의 블랙덕은 log4j 취약점이 포함되었는지 자동으로 탐지하여 신속하게 대응할 수 있도록 돕는다. 국내 고객 지원을 위해 상담 서비스도 제공한다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★