log4j 취약점 공격 피해 주의 … 긴급 업데이트 권고 ?IT STORY

2021년 12월 10일, 아파치 로그4j 2 취약점 ‘로그4셸’이 발견돼 전 세계 사이버 보안에 비상등이 켜졌습니다 🚨

최근 몇 년간 발견된 가장 최악의 컴퓨터 취약점으로 보안 위협 수준 최고 단계인 10단계로 평가되고 있습니다.

로그4셸, 사상 최악 취약점

‘로그4셸’은 전 세계에서 널리 이용되는 Java용 오픈소스 로깅 라이브러리 아파치 로그4j(Apache Log4j)에서 12월 1일 처음 발견됐습니다.

 

로그 4j는 다른 소프트웨어보다 로그 기록을 쉽게 남길 수 있는 장점이 있어, 기업 홈페이지 운영-관리 목적으로 많이 쓰이고 있습니다. 현재 애플, 아마존, 트위터 등 거대 IT 기업 역시 로그 4j를 이용 중입니다.

 

하지만 계속해서 보안 문제가 발생하고 있습니다. 2017년, 로그4j 1버전에서 사용자 입력 처리 및 역직렬화 부분에 취약점이 발견됐습니다. 그래서 보안을 강화한 2버전이 나왔지만 더 심각한 취약점인 ‘로그4셸’이 발견된 것입니다. 대응을 위해 오픈 소스 관리재단 아파치는 로그4셸을 보완한 2.15.0 버전을 배포했습니다.

 

그러나 3일이 지난 12월 15일, 로그4j 1버전에서 또다시 새로운 취약점이 발견돼 국내외ICT업계는 물론 전 분야 기업들에 긴장감을 불러 일으키고 있습니다.



버전 2.0~2.14.1에서 발견

로그4셸은 로그4j 2.0~2.14.1 버전에서 발견됐습니다.
거대IT기업들은 대부분 이 버전들을 이용하고 있으며, 취약점을 악용하는 방법이 매우 간단해 위험성은 더욱 높아진 상태입니다. 해커는 인터넷에 접속하고 있는 모든 기기와 어플리케이션에서 비밀번호 없이 서버 내부망 데이터에 접근해 원격으로 정보 유출이 가능합니다.

 

게다가 로그4j 버전 2 라이브러리에 포함되어 있는 Apache Struts2, Apache Solr, Apache Druid, Apache Flink, Apache Swift 등 프레임워크들도 영향을 받을 수 있습니다.



로그4J버전 업데이트로 대응 가능

아직까지 로그4j 관련한 보안 사고는 없습니다.
그러나 공격이 증가하고 있어 피해 사례에 대한 우려의 목소리가 나오고 있어 긴급 업데이트가 필요합니다. 
현재 아파치 재단은 로그4셸과 추가 취약점에 대응을 위해 최신 버전 2.16.0과 2.12.2를 배포했습니다.

로그4j 1버전은 추가 업그레이드 지원이 중지되어 있어 버전 2로 변경한 후 최신 버전 업데이트 적용이 권고되고 있습니다.

 

 

해당 내용은 한국인터넷진흥원(KISA)에서 더욱 상세하게 확인 가능하며,

신규 업데이트 버전 다운로드는 아파치 홈페이지에서 가능합니다.

관련기사 더보기

개인정보 유출 사례, 미리 알고 똑똑하게 대비하자!
지식 블로그 리스트 보기