요약 : 보안 외신 핵리드에 의하면 10년 넘은 취약점이 이제야 발견됐다고 한다. 심지어 심각도 점수가 9.9점일 정도로 위험한 취약점인데 아무도 모른 채 10년을 지낸 것이라고 한다. GNU 및 리눅스 시스템에 영향을 주는 취약점인데 아직 분석이 한창 진행 중에 있어 세부 내용은 다음 주 중에 공개될 것으로 예상된다. 현재까지는 ‘원격 코드 실행 공격이 가능하다’는 것 정도만 알려져 있다. 여러 리눅스 배포판의 운영자들이 어떤 조사 결과를 내놓느냐에 따라 사상 최악의 취약점이 되기에 충분할 수도 있다고 보안 전문가들은 우려하고 있다. 10년이나 모른 채 살아왔으니 이미 IT 시스템 구석구석에 취약점이 존재하고 있을 가능성이 다분하기 때문이다. 그렇다는 건 찾아내 패치하는 작업에만 긴 시간이 걸릴 수 있다는 뜻이 된다.
[이미지 = gettyimagesbank]
배경 : 2021년 말에 발견된 로그4셸(Log4Shell) 취약점의 경우, 가장 많은 보안 전문가들이 ‘사상 최악’으로 꼽는 취약점으로 남아 있다. 로그4j(Log4j)라는 요소에서 발견된 것인데, 문제는 그 로그4j라는 요소가 사실상 사이버 공간 모든 곳에 사용되고 있었다는 것이다. 심지어 그 로그4j를 기반으로 개발되거나, 로그4j와 연계된 소프트웨어가 셀 수 없이 많고, 다시 그 소프트웨어들을 바탕으로 만들어진 애플리케이션도 많은 상황이다. 다시 말해 로그4셸을 전부 찾아내는 것부터가 불가능에 가까운 일이라는 것으로, 이러한 요인 때문에 로그4셸은 지금까지도 해결이 요원한 최악의 취약점으로 불리고 있다.
말말말 : “결과가 나오는 동안 보안 담당자들은 자기가 소속된 조직에 어떤 리눅스 및 GNU 요소들이 사용되고 있는지 파악해 두는 게 안전할 거라고 봅니다.” -핵리드-
[국제부 문가용 기자(globoan@boannews.com)]
[이미지 = gettyimagesbank]
배경 : 2021년 말에 발견된 로그4셸(Log4Shell) 취약점의 경우, 가장 많은 보안 전문가들이 ‘사상 최악’으로 꼽는 취약점으로 남아 있다. 로그4j(Log4j)라는 요소에서 발견된 것인데, 문제는 그 로그4j라는 요소가 사실상 사이버 공간 모든 곳에 사용되고 있었다는 것이다. 심지어 그 로그4j를 기반으로 개발되거나, 로그4j와 연계된 소프트웨어가 셀 수 없이 많고, 다시 그 소프트웨어들을 바탕으로 만들어진 애플리케이션도 많은 상황이다. 다시 말해 로그4셸을 전부 찾아내는 것부터가 불가능에 가까운 일이라는 것으로, 이러한 요인 때문에 로그4셸은 지금까지도 해결이 요원한 최악의 취약점으로 불리고 있다.
말말말 : “결과가 나오는 동안 보안 담당자들은 자기가 소속된 조직에 어떤 리눅스 및 GNU 요소들이 사용되고 있는지 파악해 두는 게 안전할 거라고 봅니다.” -핵리드-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
