댓글 0
기사입력 : 2021.12.15 10:17
[시큐리티팩트=김상규 기자] LG CNS, 팔로알토 네트웍스, KMS테크놀로지가 전세계 기업을 공포에 휩싸이게 한 아파치 로그4j 2 해결에 나서고 있다.
로그4j는 프로그램 개발 유틸리티다. 개발자는 로그4j로 프로그램 작동 기록(로그)을 기록보관소(라이브러리)에 남기도록 하는 기능을 탑재할 수 있다. 최근 외부 침입자가 로그4j를 통해 서버 관리자 권한을 탈취할 수 있는 보안 취약점이 포착됐다.
침입자가 로그4j를 공격해 계정과 비밀번호 입력 없이 서버 관리자 권한을 획득할 수 있는 것이다. 이를 통해 침입자는 서버에 악성코드를 몰래 심거나, 원하는 정보를 유출하고, 중요 데이터를 마음대로 삭제할 수 있다.
로그4j는 온라인 쇼핑몰부터 금융 서비스, 사내 인트라넷에 이르기까지 국내외 시스템에 폭넓게 적용된 것으로 추산된다. 즉각적이고 지속적인 보안 대책이 필요한 이유다.
LG CNS는 로그4j 헬프데스크를 오픈하고 고객사에 공격자 의심 IP 차단, 로그4j 패치, 웹 애플리케이션 방화벽(WAF) 설정 등 대응 가이드를 배포했다. 보안, 클라우드, 아키텍처, 솔루션 등 사내 DX(디지털전환) 전문조직을 총동원한 비상 근무체제에 돌입했다.
보안 전문가는 물론, 개발과 인프라 등 유관 영역 전문가들이 전진 배치됐다. 향후 LG CNS는 로그4j 사태가 국가적 IT 재난으로 확산될 경우, 고객사가 아니더라도 도움이 필요한 기업에 헬프데스크 지원도 검토하고 있다.
배민 LG CNS DT(Digital Technology)사업부 보안사업담당 상무는 “LG CNS 고객이라면 로그4j 걱정 없이 IT 시스템을 운영할 수 있도록 통합 지원책을 선제적으로 제공하고 있다”고 강조했다.
팔로알토 네트웍스는 아파치 로그4j 2의 보안 취약점에 대응해 자사의 차세대 방화벽 및 클라우드 솔루션을 통해 보호 조치를 강화했다.
아파치의 공식 패치가 공개됨에 따라 처음에는 2.15.0-rc1에서 CVE-2021-44228의 취약점이 수정된 것으로 보고되었지만, 그 후 해당 패치를 우회하는 방법이 발견됐다. 새로 배포된 2.15.0-rc2에서는 이 취약점으로부터 사용자를 보호할 수 있다.
팔로알토 네트웍스 차세대 방화벽 사용 고객 및 선제 방어(Threat Prevention) 구독 고객은 Threat ID를 통해 이 취약점과 관련된 세션을 자동으로 차단할 수 있다.
보안 운영 자동화 플랫폼 ‘코어텍스 XSOAR(Cortex XSOAR)’에서는 자동으로 취약점을 감지하고 완화 조치가 실행된다. XSOAR 마켓플레이스에서 "CVE-2021-44228 - Log4j RCE"팩을 다운로드 받을 수 있다.
프리즈마 클라우드 컴퓨트 디펜더(Prisma Cloud Compute Defender) 에이전트는 CI(Continuous Integration) 프로젝트, 컨테이너 이미지 또는 호스트 시스템이 2.14.1 이전 버전의 취약한 Log4j 패키지 또는 JAR 파일을 보유하고 있는지 여부를 감지한다.
이희만 팔로알토 네트웍스 코리아 대표는 "취약점의 심각성을 고려했을 때 빠른 패치가 요구되지만, 여전히 온프레미스 및 클라우드 환경 전체에 아직 패치를 적용하지 않은 서버가 존재하는 것으로 파악된다”고 말하며 “팔로알토 네트웍스는 차세대 방화벽과 코어텍스 플랫폼, 프리즈마 클라우드를 통해 광범위한 모니터링과 촘촘한 대응 체계를 제공하고 있다”고 말했다.
KMS테크놀로지 또한 국내에 공급하는 시높시스(Synopsys)사의 오픈소스 보안취약점 탐지 솔루션인 블랙덕(Black Duck)이 최근 서버에서 폭 넓게 사용하는 오픈소스 로깅 라이브러리인 'log4j’에서 치명적인 보안 취약점(CVE-2021-44228)을 자동으로 탐지하여 신속하게 대응하도록 지원한다.
블랙덕은 소프트웨어에 log4j 취약점이 포함되었는지 자동으로 탐지한다. 자체적인 보안취약점 데이터베이스를 통해서 NVD(National Vulnerability Database)에 log4j 취약점이 CVE-2021-44228로 등록되기 전에 취약점 정보를 제공하고 있다.
