로그4j(Log4j) 보안 취약점 사태

 

아파치 소프트웨어 재단의 Java 프로그래밍 언어로 제작된

Log4j 라이브러리를 사용하는 대부분의 인터넷 서비스에서

매우 중대한 보안 취약점이 발견된 사건입니다.

 

---

컴퓨터 역사상 가장 최악의 보안 사고로 보여지는 Log4j 보안 취약점 사태는 모든 서버에 영향을 미칠 수 취약점으로 분류가 되어 세계적으로 비상이 걸렸던 사태입니다.

 

Log4j는 Java 기반의 *로깅(Logging) 유틸리티입니다.

*아파치 소프트웨어 재단(Alache Software Foundation, ASF)의 프로젝트 아파치 로깅 서비스의 일부입니다. 최종 사용자가 제품의 문제나 정보를 식별하기 위해 그리고 소프트웨어 개발자가 프로그램을 개발하는 도중 *디버깅(Debug) 등을 위해 타임스탬프 등 정해진 양식에 맞추어 화면 상이나 파일로 로그를 남길 목적으로 사용됩니다.

 

대부분의 인터넷 서버에서 사용되는 이 라이브러리에서 발견된 버그는 원격코드실행 취약점이 발견 되었습니다. 문제는 Java로 개발된 서버들이 대부분 이 Log4j 라이브러리를 사용하고 있어서 그 파급력이 어마어마 했던 부분입니다. 

일반적으로 이동통신사를 비롯하여 대부분의 기업들고 정부 기관까지도 이 Log4j 라이브러리를 사용하고 있습니다.

 

2021년 11월 24일 알리바바 클라우드 보안팀에서 처음 이 문제를 발견한 것을 시작으로 2021년 12월에는 해당 라이브러리를 이용하는 모든 곳에 긴급 패치를 나서는 등 Log4j 보안 취약점 사태를 해결하려 움직였습니다.

 

이번 사태를 컴퓨터 역사상 가장 최악의 보안 사고로 보는 이유는 Log4j를 사용하고 있는 서버에 로그인한 것 만으로도 해커가 사용자의 컴퓨터를 원격 조종할 수 있기 때문입니다.

 

취약점의 이름은 로그4쉘(Log4shell) 또는 로그잼(Logjam)으로 명명 되었으며 *공통보안취약점공개항목(Common Vilnerabilities and Exposures) 번호는 CVE-2021-44228로 정해졌습니다.

 

뉴질랜드 정부는이 버그가 공개된지 몇 시간이 지나지 않아 이미 많은 공격이 이루어지고 있다고 정부 보도를 통해 발표하였습니다. 이미 해커들이 이 취약점을 무기화 하여 사용 하고 있다는 뜻입니다.

 

2022년 1월 10일(현지시간) 월스트리트저널(WSJ)에 따르면 미 사이버 보안 및 기반 시설 보안국(CISA)는 Log4j에 대한 사이버 공격에 장기적으로 대응할 계획이라고 밝혔습니다. 또한 CISA 국장은 브리핑을 통해 "Log4j가 범용 소프트웨어인만큼 잠재적인 범죄 규모가 크고 위협이 심각한 수준"이라며 "미국 내 중요 인프라를 통제하는 네트워크에 대한 장기적인 위험이 우려된다"고 설명했습니다.

 

한국의 경우 2021년 12월 15일 *한국인터넷진흥원(Korea Internet & Securtiy Agency,KISA)에서 보안공지의 내용을 추가하여 취약점을 공개하였으며 조치 방법 또한 공개했습니다.

 

 

 

 

 

---

• 로깅(Logging): 서버, 프로그램 등의 유지 관리를 목적으로 동작 상태를 기록으로 남기는 일.
• 아파치 소프트웨어 재단(Alache Software Foundation, ASF): 오픈소스 소프트웨어 프로젝트를 운영하는 비영리 단체.
• 디버깅(Debug): 컴퓨터 프로그램 개발 단계 중에 발생하는 시스템의 논리적인 오류나 비정상적 버그를 찾아내고 그 원인을 밝히고 수정하는 작업 과정을 뜻한다.
• 공통보안취약점공개항목(Common Vilnerabilities and Exposures): 국제표준 식별체계로 공개적으로 알려진 컴퓨터 보안 결함 목록이다.
• 한국인터넷진흥원(Korea Internet & Securtiy Agency,KISA): 정보통신망의 고도화 안전한 이용촉진 및 방송통신과 관련한 국제협력, 국외진출 지원의 휴율적 추진을 위한 한국 정부의 공공기관.
•  

 

참고자료

• 아파치 소프트 웨어 재단
• Log4j 보안 취약점 사태
• CVE
• CISA Log4j에 대한 브리핑