[긴급] 거의 모든 서버가 위험하다! 매우 치명적인 ‘로그4j’ 보안 취약점 발견

2021-12-11 21:23
  • 카카오톡
  • 네이버 블로그
  • url
자바 기반의 오픈소스 유틸리티 프로그램 로그4j에서 최고 위험도 보안 취약점 발견
오징어 게임의 수많은 패러디 게임으로 더 유명해진 ‘마인크래프트’ 에서 처음 발견
국내외 보안전문가 “최악의 시나리오 대비해야, 매우 긴 주말이 될 것” 우려
국정원·KISA 긴급 대응중...기관 및 기업의 보안담당자들 보안 패치 시급


[보안뉴스 권 준 기자] 거의 모든 서버에 영향을 미칠 수 있는 매우 심각한 제로데이 취약점이 발견돼 이번 주말 공공기관과 기업에 비상이 걸렸다. 취약점이 발견된 로그4j(Log4j) 2는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 프로그램으로, 대부분의 서버에서 광범위하게 사용되는 프로그램으로 알려졌다.


[이미지=utoimage]

국내외 보안전문가들은 널리 사용되는 Log4j 도구에서 발견된 이번 제로데이 취약점은 지난 2017년 최악의 유출사고를 겪은 에퀴팩스가 당했던 아파치 스트러츠(Apache Struts) 취약점보다 조직에 더 큰 위협이 될 수 있다고 경고하고 있다.

대부분의 자바 소프트웨어에 존재하는 로깅 프레임워크인 Log4j에서 발견된 이번 원격 코드 실행 취약점(CVE-2021-44228)을 악용할 경우 사이버 공격자들은 Log4j를 사용하고 있는 모든 애플리케이션에 임의의 코드를 실행할 수 있다.

이는 다시 말해 공격 타깃이 되는 서버나 PC의 모든 권한을 취득할 수 있다는 의미이기도 하다. 비밀번호 입력 없이 서버를 통해 내부망에 접근해 데이터를 탈취하거나 랜섬웨어 등의 악성코드를 실행시켜 돈을 요구할 수도 있다. 실제 취약한 애플리케이션에 대한 대규모 스캐닝 활동이 발견됐으며, 해당 취약점을 노린 공격 시도가 실제로 포착된 것으로 드러났다.

더욱 큰 문제는 해당 취약점을 악용해 공격을 감행하는데 별다른 기술이 필요하지 않다는 점이다. 이로 인해 해당 취약점이 고급 기술을 보유한 국가지원 해커조직과 랜섬웨어 갱단들은 물론 수많은 사이버 범죄자들이 악용할 가능성이 높다는 우려가 제기되고 있다.

해당 취약점이 가장 먼저 확인된 건 유명 온라인 게임 ‘마인크래프트’로 알려졌다. ‘마인크래프트’는 우리나라의 메가 히트 드라마인 ‘오징어 게임’의 수많은 패러디 게임이 등장하면서 더욱 유명세를 탄 온라인 게임이다.

자바 언어로 개발된 마인크래프트 버전에서 특정 채팅 메시지를 입력하면 대상 컴퓨터에서 원격으로 프로그램을 실행할 수 있었던 것으로 드러났다. 이에 마이크로소프트는 바로 업데이트를 진행하고, 업데이트를 적용한 고객은 이번 취약점으로부터 보호받을 수 있다고 공지했다.

이번 취약점과 관련해 크라우드 소싱 취약점 공개 플랫폼인 Bugcrowd의 설립자이자 CTO인 케이시 엘리스(Casey Ellis)는 “이번 취약점은 소프트웨어와 플랫폼에서 많이 사용되는 프로그램이라는 점, 취약성을 악용할 수 있는 수많은 경로가 있다는 점, 다른 것을 손상시키지 않고 패치도 어렵게 만든다는 점 등에서 최악의 시나리오가 되고 있다”고 경고하면서 “많은 사람들에게 긴 주말이 될 것”이라고 우려했다.

이번 취약점에 대해 아파치 재단은 심각도 등급을 가장 높은 10으로 지정했으며 문제를 해결하는 업데이트 버전의 Log4j 2.15.0를 출시한 상태다. 이와 함께 재단은 조직이 취약점을 통한 원격 코드 실행으로부터 보호하기 위해 구현할 수 있는 Log4j 2.10 이상 버전에 대한 완화 조치를 발표하기도 했다.

이번 취약점과 관련해서 국가정보원(이하 국정원)과 한국인터넷진흥원(KISA) 등 관계기관도 분주하게 움직이고 있다. 국정원은 인터넷 서버용 소프트웨어인 ‘로그4j(log4j)’에서 심각한 해킹을 야기할 수 있는 취약점이 발견된 것과 관련해 11일 자정 경부터 실태 파악, 정보공유, 보안패치 안내 등 선제적 조치를 취했다고 밝혔다.

국정원은 긴급 점검 결과, 현재까지 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 확인됐다면서도 피해 예방을 위해 취약점 보안패치 적용 등 보안 대책을 국가사이버위협정보공유시스템(NCTI), 인터넷용정보공유시스템(KCTI)과 사이버안보센터 홈페이지를 통해 안내했다고 밝혔다. 국정원은 향후 유관기관과 협력해 피해 차단에 만전을 기하겠다고 덧붙였다.

KISA에서도 인터넷보호나라&krCERT 등을 통해 보안 업데이트 공지문을 올리고 기업 보안담당자들에도 전파하고 있다. 취약점에 영향을 받는 버전은 Log4j 2.0-beta9에서 2.14.1까지 모든 버전에 해당된다.

해당 취약점의 해결방안은 △2.0-beta9~2.10.0 버전의 경우 JndLookup 클래스를 경로에서 제거( zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)해야 하며, △2.10~2.14.1 버전은 log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정해야 한다. 또한, 제조사인 아파치 재단 홈페이지를 통해 최신 버전(2.15.0)으로 업데이트를 적용할 필요가 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기