지난 2021년 12월, 전 세계를 공포로 몰아넣을 만한 심각한 취약점 공격 기법이 깃허브에 공개되었다. 당시 공개된 공격 기법은 Log4j라는 오픈소스 프로그램이 가지고 있는 취약점을 악용하는 것이었다.
Log4j는 아파치 재단의 무료 오픈소스 프로그램으로 자바 기반의 모든 애플리케이션에서 사용 가능하며 윈도우 환경에서도 활용되는 등 전 세계적으로 매우 폭넓게 사용되고 있다.
이러한 대중적인 프로그램에서 알려지지 않은 취약점이 발견되고, 또한 해당 취약점을 악용하는 공격 기법이 매우 빠른 시간에 세상에 공개된 것이 Log4j 사태를 매우 심각하게 만든 것이다.
해당 취약점은 공통 취약점 등급 시스템에서 10점의 크리티컬 등급으로 평가되었으며, 해커가 해당 취약점을 악용할 경우 시스템 관리자 권한을 획득할 수 있는 문제가 있었다.
취약점을 최초 발견한 것은 알리바바였다. 알리바바는 11월 24일에 최초 취약점을 발견했으며, 발견된 취약점을 아파치 재단에 통보하였다. 아파치 재단은 12월 6일에 최초 보안 업데이트를 발표했다.
취약점 공격 기법이 세상에 공개된 후 다양한 공격이 시작되었으며, 최초 공격은 MS 온라인게임(마인크래프트)에서 이루어진 것으로 알려졌다. 이 후 디도스 악성코드 및 랜섬웨어 악성코드 등을 유포하기 위한 다양한 공격이 지속되었다.
취약점 공개 후 KISA는 보호나라 등 다양한 채널을 통해 보안 업데이트를 권고하였으며, 주요 기관·기업·회원사를 대상으로 업데이트 권고 메일도 발송하는 등 국내 피해확산 방지를 위한 긴급 대응을 수행하였다.
다만, Log4j 취약점 이슈의 경우 해당 프로그램의 활용 범위가 매우 광범위하고 기업에서 프로그램의 사용 여부 식별이 쉽지 않아 보안업데이트 등을 통한 정상화까지 상당기간이 소요될 것으로 예상되었다.
국내 보안 기업 로그프레소, 이스트시큐리티, SK쉴더스 등에서 이슈 발생 직후 취약한 Log4j 프로그램 사용 여부를 쉽게 점검할 수 있는 스캐너를 신속히 개발해 무료로 배포하였으며, 이는 다양한 기업에서 매우 유용하게 활용된 것으로 알려지고 있다.
그러나 현시점에도 Log4j 관련 보안취약점이 계속 발견되는 등 장기화될 전망이 나오고 있다.
이에 KISA는 현재 Log4j 상황을 다시 한번 정리하고 주요 이슈를 도출함으로써 지속적인 대응의 필요성과 방향을 제안하기 위해 보고서를 이번에 공개한 것이다.
이번 보고서 전반부에는 Log4j 취약점에 대한 기술적인 분석내용을 상세히 다루고, 후반부에는 현 시점에서 고민해봐야 할 이슈를 정리하여 보안담당자의 대응 활동이 어떠한 방향으로 흘러가야 하는지를 제안하고 있다.
특히, 이번 이슈를 방어자 관점에서 면밀히 분석하고자 구체적인 테스트를 통해 취약점 발현 원리와 공격자들의 해당 취약점 악용 기법을 제공하고 있다.
이번 Log4j 위협대응 보고서는 KISA 자료실과 데일리시큐 자료실에서도 다운로드 가능하다.
[보안교육1시간 웨비나 사전등록]
-일시: 2022년 3월 8일 오후 2시~3시
-발표자: 엔트러스트 DPS 부문 Sales Engineer 차장 마건일
-교육이수: 1시간 보안교육 이수증 발급
-참석대상: 공공, 금융, 기업 정보보안 실무자라면 누구나 무료 참석
-웨비나 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★
