"모든 서버 해킹 노출"... Log4j 취약점 발견으로 비상

10일(현지시간) AP통신에 따르면, 서버 환경에서 로그 기록을 위해 사용하는 오픈소스인 Log4J에서 치명적 보안 취약점이 발견되면서 전 세계 사이버 보안 업계가 발칵 뒤집혔다고 보도하였습니다. Log4J(로그4j)는 오픈소스 로깅 라이브러리로 다양한 소프트웨어에서 로그를 기록하기 위해 광범위하게 사용되는 사실상 표준 로그 프로그램입니다.

 

보도에 따르면 발견된 취약점을 공격하면, 해커들이 서버의 모든 권한을 취득할 수 있으며 비밀번호도 없이 서버를 통해 내부망에 접근해 데이터를 약탈하거나 악성 프로그램을 심어 실행시키고, 자료를 삭제할 수도 있다고 합니다.

 

보안업계에서는 '로그4셸'이라는 별칭으로 부르고 있는 이 취약점은 마인크래프트라는 게임에서 처음 확인됐으며 특정 채팅 메세지를 입력하는 것으로 취약점을 이용해 마인크래프트가 실행되는 컴퓨터를 해킹할 수 있었다고 합니다.

 

Log4J 오픈소스 프로젝트를 지원·관리하는 아파치 소프트웨어 재단은 이 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 '10단계'라고 평가했습니다. 워낙에 광범위하게 사용되는 라이브러리이기 때문에 보안 전문가들은 최근 10년간 가장 치명적이고 거대한 취약점으로 역사상 최악의 보안 결함으로 발전될 것을 우려하였으며 조치를 서두르도록 권고했습니다.

 

다행히 국내 금융권과 주요 시설은 당장 피해를 받을 것으로 보이지는 않습니다. 대형 금융권과 주요 보안 시설들은 방화벽과 IPS 등에 대해 국내 관제서비스를 받고 있으며 관제서비스 업체들은 이번 Log4J 취약점의 해킹 패턴을 1차 업데이트를 하였으며(12/10일), 2차 업데이트는 12일 새벽 1시경에 일괄 진행 중으로 알려졌습니다. 이로 인해 외부 공격은 다소 방어가 가능할 것으로 보입니다. 다만 관제서비스를 받지 못하는 내부 서버는 사용 중인 Log4J 2를 보안 업데이트를 해야 합니다.

 

관제서비스와 별개로 서버내 로그4j (log4j) 보안 업데이트는 해야 하므로 관련 관리자들은 서두르시기 바랍니다.

 

 

로그4j 취약점 사태에 대한 한국경제TV 기사

 

https://news.naver.com/main/read.naver?mode=LSD&mid=sec&sid1=105&oid=215&aid=0001002941 

"모든 서버 위험"…치명적 보안 취약점 발견 '업계 발칵'

 

 

 

Apache 재단의 보안 취약점 안내

 

https://logging.apache.org/log4j/2.x/security.html

Log4j – Apache Log4j Security Vulnerabilities

 

 

 

KISA 인터넷보호나라 & KrCERT의 Log4J 2 보안 업데이트 권고

 

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389 

KISA 인터넷 보호나라&KrCERT

 

이상입니다.