서버 치명적 보안 문제 발생시킨 '로그4j ' 보안 허점

 

대부분의 인터넷 서버에 사용되는 소프트웨어에서 최악의 보안 허점이 발견되었습니다. 전 세계의 서버업체와 기업, 공공기관 등이 치명적인 보안 허점인 로그4j와 관련해 보안 점검에 들어갔습니다. 서버 치명적 보안 문제 발생시킨 '로그4j' 보안 허점 알아보겠습니다.

 

​

​

 

로그4j(Log4j) 보안 문제

 

대부분의 서버에서 사용되는 자바 기반의 오픈소스 유틸리티 프로그램인 로그4j(Log4j)와 관련된 보안 이슈가 전 세계의 서버 관리자와 기업, 공공기관을 긴장시키고 있습니다. 최악의 보안 문제로 불리는 이번 로그4j(Log4j) 취약점은 대부분의 서버에 영향을 줄 수 있는 상황이라 더욱 문제가 심각합니다. 

 

애플, 아마존, 클라우드플레어, 트위터 등의 거대 IT기업에서도 로그4j(Log4j)를 이용하고 있고 국내의 공공기관 등도 이를 사용하고 있습니다. 

 

문제가 되는 소프트웨어 로그4j(Log4j)는 로깅 라이브러리 오픈 소스로 서버, 프로그램 등이 유지 관리를 목적으로 동작 상태를 기록으로 남기는 일을 합니다. 취약점의 이름은 로그4쉘 Log4shell 또는 로그잼 Logjam으로 명명되었으며 공통 보안 취약점 공개항목 CVE 번호는 CVE-2021-44228입니다.

 

​

​

 

마인크래프트에서 처음 발견된 로그4j(Log4j) 보안 허점

 

로그4j(Log4j)의 취약점은 온라인 게임인 마인크래프트에서 처음으로 발견되었습니다. 마인크래프트는 자바(Java)언어를 이용해 개발되었는데 특정 채팅 메시지를 입력하면 대상이 되는 컴퓨터에서 원격으로 프로그램을 실행할 수 있는 문제였습니다. 마인크래프트의 보안 문제는 마이크로소프트에서 바로 업데이트를 실행해 이후 취약점을 보완했습니다.

 

첫 발견은 마인크래프트였지만 대부분의 서버에서 로그4j 2.0 베타 9 버전 ~ 2.14.1 버전을 사용할 경우 이러한 보안 허점에 노출되어 있다고 합니다. 최악의 보안 허점이라고 불리는 이유는 다음과 같습니다.

 

​

 

• 소프트웨어와 플랫폼에서 많이 이용되는 프로그램에서 발생한 점.
• 애플리케이션이 특정 문자열을 로그에 기록하는 것으로 취약점이 악용될 수 있음.
• 대상 컴퓨터의 모든 권한을 취득할 수 있다.
• 비밀번호 없이 서버를 이용해 내부망에 접근이 가능하다.
• 악성 프로그램을 실행.
• 자료의 삭제도 가능.
• 취약성을 이용할 경로가 많음.
• 다른 것을 손상시키지 않고 패치도 어려움.

취약점을 이용해 별다른 기술 없이 간단하게 보안을 뚫고 접근이 가능해 고급 기술을 가진 해커조직, 랜섬웨어 갱단, 국가지원 해커들이 이를 악용할 가능성이 높아 매우 큰 문제가 됩니다. 이러한 위험성으로 이번 로그4j(Log4j) 취약점에 대해서 이를 개발한 아파치 재단은 심각도 등급을 최고 등급인 10으로 지정했습니다. 

 

로그4j(Log4j) 취약점 해결 방안

 

 

아파치 재단은 문제를 해결하는 업데이트 버전의 로그4j(Log4j) 2.15.0버전을 출시했습니다. 새로운 버전으로 업데이트하거나 다음의 방법으로 취약점을 해결할 수 있습니다.

• 2.0 베타 9~2.10.0 버전 : JndLookup 클래스를 경로에서 제거( zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)
• 2.10~2.14.1 버전 : log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정.
• 제조사인 아파치 재단 홈페이지를 통해 최신 버전(2.15.0)으로 업데이트를 적용.

이상으로 서버 치명적 보안 문제 발생시킨 '로그4j ' 보안 허점에 관해 알아보았습니다. 관련된 보안 관리자와 기업, 정부 등이 발 빠르게 나서 이번 로그4j(Log4j)에서 발견된 취약점으로 인한 피해가 발생되지 않도록 만전을 기해야 하겠습니다.