지금으로부터 1년 전인 2021년 12월, 전 세계 사이버 보안 업계를 뒤흔든 취약점 하나가 발표되었습니다. 'Log4j'로 알려진 이 취약점은 유비쿼터스 오픈 소스 로깅 라이브러리인 Apache Log4j에서 발견되었으며, 소비자 및 기업 플랫폼에서 부터 중요한 인프라 및 사물 인터넷 장치에 이르기까지 광범위한 애플리케이션과 서비스에 널리 사용되고 있었기 때문에 그 피해 규모 및 잠재적인 위험이 굉장히 컸습니다. 심지어 인터넷 역사상 최악의 버그 중 하나로 평가될 정도였는데요, 여러분은 이러한 Log4j 취약점이 여전히 널리 퍼져 있으며 현재까지도 악용되고 있다는게 믿겨지시나요?
Apache에서 작년 12월 초에 Log4j 취약점을 공개한 이후 전 세계적으로 집중적인 대응이 있었고 지난 1년 간의 누적 패치가 있었기 때문에 그 이후 많은 기업에서 Log4j에 더 이상 예전과 같은 경각심을 가지지 않고 있는 것이 안타까운 현실입니다. 그러나 최근 한 연구를 통해 Log4j가 여전히 전 세계적으로 많은 시스템에 존재하며 공격자들이 앞으로도 수년 동안 이 취약점을 악용할 가능성이 크다는 것이 밝혀진 것이죠.
Log4j 취약점이란? 왜 위험한가요?
Log4j 외에도 해마다 긴급하게 해결해야 하는 많은 치명적인 취약점이 발견되고 있습니다. 그렇다면 왜 전세계는 이 Log4j 취약점에 주목을 했던 걸까요? 이에 대한 대답에 앞서, 우선 Log4j 라이브러리가 어떤 소프트웨어인지에 대해 주목하여 볼 필요가 있습니다.
Log4j는 Java 기반 프로그램을 개발할 때 로그의 기록 기능을 지원하는 Apache의 오픈소스 소프트웨어 라이브러리입니다. 이렇게 시스템 운영 혹은 관리에 기록을 남기는 행위를 ‘로깅’이라고 하고, 로깅을 통해 남겨진 기록이 ‘로그’라고 합니다.
이때 공격자는 개발자가 로깅 유틸리티를 사용하여 애플리케이션의 작업을 로깅할 때, 시스템에 특수한 코드 문자열을 기록하여 대상을 제어할 권한을 획득하고 그 결과 멀웨어를 설치하거나 악성 스니펫을 주입하는 등 여러 디지털 공격을 수행할 수 있습니다. 그 결과 Log4j를 통해 공격자는 너무나도 쉽게 시스템 전체를 공격할 수 있었습니다. 그래서 전 세계가 Log4j 취약점에 주목을 한 것이죠.
Log4j와 소프트웨어 공급망 보안
Log4j 취약점 이후 전 세계적으로 소프트웨어 공급망 보안에 대한 필요성이 대두되었습니다. 왜냐하면 소프트웨어 공급망 구성 요소 중 하나만 취약해도 해당 공급망 구성 요소를 사용하는 모든 소프트웨어가 잠재적으로 위험할 수 있기 때문입니다. 이러한 위험은 해커가 멀웨어, 백도어 또는 기타 악성 코드를 삽입하여 구성 요소 및 연결된 전체 공급망을 손상시킬 수 있기 때문에 Log4j 취약점이 발표되었을 때 각 기업마다 시스템 내 소프트웨어에 Log4j가 포함되어 있는지 확인해야 했습니다.
하지만 당시 기업은 시스템에서 사용하는 모든 소프트웨어에 대한 자세한 정보가 없었기 때문에 취약한 코드를 식별하고 패치하기가 어려웠습니다. 또한 시스템 내 모든 소프트웨어 목록을 가지고 있더라도 해당 프로그램에는 구매자가 알 수 없는 다른 소프트웨어 구성 요소, 특히 Log4j와 같은 오픈 소스 라이브러리 및 유틸리티가 여전히 포함될 수 있었기 때문에 많은 기업들은 패닉에 빠졌던 것이죠.
이에 2021년 美 바이 든 행정부가 발표한 국가 사이버안보 강화를 위한 행정 명령에서는 소프트웨어 공급망 보안 강화를 위한 지침 중 일부로 SBOM(소프트웨어 자재 명세서)가 제시되었습니다. SBOM은 복잡한 소프트웨어 공급망을 보호하는 데에 있어 효과적인 전략이 될 수 있는데요, 좋아하는 식료품을 살 때 어떠한 재료로 만들어져 있는지 구매 전에 직접 보고 확인할 수 있는 것처럼, 소프트웨어 애플리케이션의 구성 요소들을 전부 확인할 수 있게 해 주는 것이 SBOM이기 때문입니다. 공급망에 어떤 재료들이 개입되는지 확인할 수 있으니, 공급망 공격의 위험성이 크게 줄어드는 것이죠.
향후 10년간 Log4j 취약점이 위험할 것이다?
현재 Log4j 취약점은 향후 10년 동안 공격에 악용될 것이라고 예측되고 있습니다. 왜냐하면 Log4j의 개발사인 Apache는 작년 12월 Log4j 취약점 상황을 발표하면서 이에 대한 패치를 준비를 서둘러 시작했으나 패치가 여러 반복을 통해 배포되었고 그 결과 혼란이 가중되었기 때문입니다.
2주라는 짧은 시간 안에 패치가 이루어졌기 때문에 Apache의 대응이 나빴다고는 할 수 없지만 현재 사용되고 있는 Log4j의 약 60%가 패치된 버전이고 40%가 여전히 취약한 버전이라는 것이 굉장히 우려되는 사항입니다.
시사점
윈도우 사용자의 마지막 10%가 윈도우 XP에서 벗어나는 데 몇 년이 걸렸는지 생각해 보십시오. Log4j 취약점 사건에 대한 전 세계적으로 빠른 속도의 대응과 보도가 있었지만 오픈 소스의 개발 속도는 훨씬 더 빨라졌기 때문에 이러한 상황이 계속 발생할 것임을 알 수 있습니다. 따라서 Log4j 취약점에 대한 경각심을 놓치면 안됩니다. 취약점에 대한 예방과 완화의 균형을 찾고 가능한 한 발생 빈도를 줄이려는 노력을 계속해야 할 것입니다.
위드네트웍스
위드네트웍스는 지난 10여년 간 매지니드 보안 시장의 선도 주자로서 축적된 노하우와 인프라를 기반으로 Global New Technology 기반의보안 솔루션을 개발할 뿐 아니라 클라우드, 5G, 와이파이 등 디지털 트랜스포메이션의 기반이 되는 인프라를 구축하여 4차 산업 혁명을 선도하고 있습니다.
또한 다양한 보안 전문 기술/컨설팅 노하우 및 지능형 보안 플랫폼을 통하여 고객사 환경에 최적화된 정보 보안 및 IT 인프라를 구축하고 있습니다. 여러분의 비즈니스를 안정적으로 운영하기 위한 도움과 다가올 보안 이슈에 대응하기 위해 도움이 필요하시다면 언제든지 자유롭게 연락해주세요!
위드네트웍스는 여러분의 비즈니스를 응원합니다!
<참고내용: "A Year Later, That Brutal Log4j Vulnerability Is Still Lurking", WIRED, 2022.12>
'보안 Issue' 카테고리의 다른 글
| 구글링으로 소프트웨어를 다운 받는 것이 위험한 이유(feat. 멀버타이징) - 위드네트웍스 (0) | 2023.02.13 |
|---|---|
| 피싱 공격에 활용되는 AI 챗봇 '챗GPT' - 위드네트웍스 (0) | 2023.01.19 |
| 우크라이나-러시아의 사이버 전쟁이 국경을 넘어가고 있다!– 위드네트웍스 (0) | 2022.03.03 |
| 크리덴셜 스터핑 공격에 대비되어 있습니까? - 위드네트웍스 (0) | 2021.05.31 |
| 아마존 사이드워크! 인터넷 연결을 편리하고 위험하게 ?! - 위드네트웍스 (0) | 2021.05.24 |
