Home > Àüü±â»ç

[±ä±Þ] °ÅÀÇ ¸ðµç ¼­¹ö°¡ À§ÇèÇÏ´Ù! ¸Å¿ì Ä¡¸íÀûÀÎ ¡®·Î±×4j¡¯ º¸¾È Ãë¾àÁ¡ ¹ß°ß

ÀÔ·Â : 2021-12-11 21:23
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
ÀÚ¹Ù ±â¹ÝÀÇ ¿ÀǼҽº À¯Æ¿¸®Æ¼ ÇÁ·Î±×·¥ ·Î±×4j¿¡¼­ ÃÖ°í À§Çèµµ º¸¾È Ãë¾àÁ¡ ¹ß°ß
¿À¡¾î °ÔÀÓÀÇ ¼ö¸¹Àº Æз¯µð °ÔÀÓÀ¸·Î ´õ À¯¸íÇØÁø ¡®¸¶ÀÎÅ©·¡ÇÁÆ®¡¯ ¿¡¼­ óÀ½ ¹ß°ß
±¹³»¿Ü º¸¾ÈÀü¹®°¡ ¡°ÃÖ¾ÇÀÇ ½Ã³ª¸®¿À ´ëºñÇؾß, ¸Å¿ì ±ä ÁÖ¸»ÀÌ µÉ °Í¡± ¿ì·Á
±¹Á¤¿ø¡¤KISA ±ä±Þ ´ëÀÀÁß...±â°ü ¹× ±â¾÷ÀÇ º¸¾È´ã´çÀÚµé º¸¾È ÆÐÄ¡ ½Ã±Þ


[º¸¾È´º½º ±Ç ÁØ ±âÀÚ] °ÅÀÇ ¸ðµç ¼­¹ö¿¡ ¿µÇâÀ» ¹ÌÄ¥ ¼ö ÀÖ´Â ¸Å¿ì ½É°¢ÇÑ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÌ ¹ß°ßµÅ À̹ø ÁÖ¸» °ø°ø±â°ü°ú ±â¾÷¿¡ ºñ»óÀÌ °É·È´Ù. Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ ·Î±×4j(Log4j) 2´Â ÇÁ·Î±×·¥ ÀÛ¼º Áß ·Î±×¸¦ ³²±â±â À§ÇØ »ç¿ëµÇ´Â ÀÚ¹Ù ±â¹ÝÀÇ ¿ÀǼҽº À¯Æ¿¸®Æ¼ ÇÁ·Î±×·¥À¸·Î, ´ëºÎºÐÀÇ ¼­¹ö¿¡¼­ ±¤¹üÀ§ÇÏ°Ô »ç¿ëµÇ´Â ÇÁ·Î±×·¥À¸·Î ¾Ë·ÁÁ³´Ù.

[À̹ÌÁö=utoimage]


±¹³»¿Ü º¸¾ÈÀü¹®°¡µéÀº ³Î¸® »ç¿ëµÇ´Â Log4j µµ±¸¿¡¼­ ¹ß°ßµÈ À̹ø Á¦·Îµ¥ÀÌ Ãë¾àÁ¡Àº Áö³­ 2017³â ÃÖ¾ÇÀÇ À¯Ãâ»ç°í¸¦ °ÞÀº ¿¡ÄûÆѽº°¡ ´çÇß´ø ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷(Apache Struts) Ãë¾àÁ¡º¸´Ù Á¶Á÷¿¡ ´õ Å« À§ÇùÀÌ µÉ ¼ö ÀÖ´Ù°í °æ°íÇÏ°í ÀÖ´Ù.

´ëºÎºÐÀÇ ÀÚ¹Ù ¼ÒÇÁÆ®¿þ¾î¿¡ Á¸ÀçÇÏ´Â ·Î±ë ÇÁ·¹ÀÓ¿öÅ©ÀÎ Log4j¿¡¼­ ¹ß°ßµÈ À̹ø ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡(CVE-2021-44228)À» ¾Ç¿ëÇÒ °æ¿ì »çÀ̹ö °ø°ÝÀÚµéÀº Log4j¸¦ »ç¿ëÇÏ°í ÀÖ´Â ¸ðµç ¾ÖÇø®ÄÉÀ̼ǿ¡ ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ´Ù.

ÀÌ´Â ´Ù½Ã ¸»ÇØ °ø°Ý Ÿ±êÀÌ µÇ´Â ¼­¹ö³ª PCÀÇ ¸ðµç ±ÇÇÑÀ» ÃëµæÇÒ ¼ö ÀÖ´Ù´Â ÀǹÌÀ̱⵵ ÇÏ´Ù. ºñ¹Ð¹øÈ£ ÀÔ·Â ¾øÀÌ ¼­¹ö¸¦ ÅëÇØ ³»ºÎ¸Á¿¡ Á¢±ÙÇØ µ¥ÀÌÅ͸¦ Å»ÃëÇϰųª ·£¼¶¿þ¾î µîÀÇ ¾Ç¼ºÄڵ带 ½ÇÇà½ÃÄÑ µ·À» ¿ä±¸ÇÒ ¼öµµ ÀÖ´Ù. ½ÇÁ¦ Ãë¾àÇÑ ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ ´ë±Ô¸ð ½ºÄ³´× È°µ¿ÀÌ ¹ß°ßµÆÀ¸¸ç, ÇØ´ç Ãë¾àÁ¡À» ³ë¸° °ø°Ý ½Ãµµ°¡ ½ÇÁ¦·Î Æ÷ÂøµÈ °ÍÀ¸·Î µå·¯³µ´Ù.

´õ¿í Å« ¹®Á¦´Â ÇØ´ç Ãë¾àÁ¡À» ¾Ç¿ëÇØ °ø°ÝÀ» °¨ÇàÇϴµ¥ º°´Ù¸¥ ±â¼úÀÌ ÇÊ¿äÇÏÁö ¾Ê´Ù´Â Á¡ÀÌ´Ù. ÀÌ·Î ÀÎÇØ ÇØ´ç Ãë¾àÁ¡ÀÌ °í±Þ ±â¼úÀ» º¸À¯ÇÑ ±¹°¡Áö¿ø ÇØÄ¿Á¶Á÷°ú ·£¼¶¿þ¾î °»´ÜµéÀº ¹°·Ð ¼ö¸¹Àº »çÀ̹ö ¹üÁËÀÚµéÀÌ ¾Ç¿ëÇÒ °¡´É¼ºÀÌ ³ô´Ù´Â ¿ì·Á°¡ Á¦±âµÇ°í ÀÖ´Ù.

ÇØ´ç Ãë¾àÁ¡ÀÌ °¡Àå ¸ÕÀú È®ÀÎµÈ °Ç À¯¸í ¿Â¶óÀÎ °ÔÀÓ ¡®¸¶ÀÎÅ©·¡ÇÁÆ®¡¯·Î ¾Ë·ÁÁ³´Ù. ¡®¸¶ÀÎÅ©·¡ÇÁÆ®¡¯´Â ¿ì¸®³ª¶óÀÇ ¸Þ°¡ È÷Æ® µå¶ó¸¶ÀÎ ¡®¿À¡¾î °ÔÀÓ¡¯ÀÇ ¼ö¸¹Àº Æз¯µð °ÔÀÓÀÌ µîÀåÇϸ鼭 ´õ¿í À¯¸í¼¼¸¦ ź ¿Â¶óÀÎ °ÔÀÓÀÌ´Ù.

ÀÚ¹Ù ¾ð¾î·Î °³¹ßµÈ ¸¶ÀÎÅ©·¡ÇÁÆ® ¹öÀü¿¡¼­ ƯÁ¤ äÆà ¸Þ½ÃÁö¸¦ ÀÔ·ÂÇÏ¸é ´ë»ó ÄÄÇ»ÅÍ¿¡¼­ ¿ø°ÝÀ¸·Î ÇÁ·Î±×·¥À» ½ÇÇàÇÒ ¼ö ÀÖ¾ú´ø °ÍÀ¸·Î µå·¯³µ´Ù. ÀÌ¿¡ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®´Â ¹Ù·Î ¾÷µ¥ÀÌÆ®¸¦ ÁøÇàÇÏ°í, ¾÷µ¥ÀÌÆ®¸¦ Àû¿ëÇÑ °í°´Àº À̹ø Ãë¾àÁ¡À¸·ÎºÎÅÍ º¸È£¹ÞÀ» ¼ö ÀÖ´Ù°í °øÁöÇß´Ù.

À̹ø Ãë¾àÁ¡°ú °ü·ÃÇØ Å©¶ó¿ìµå ¼Ò½Ì Ãë¾àÁ¡ °ø°³ Ç÷§ÆûÀÎ BugcrowdÀÇ ¼³¸³ÀÚÀÌÀÚ CTOÀÎ ÄÉÀ̽à ¿¤¸®½º(Casey Ellis)´Â ¡°À̹ø Ãë¾àÁ¡Àº ¼ÒÇÁÆ®¿þ¾î¿Í Ç÷§Æû¿¡¼­ ¸¹ÀÌ »ç¿ëµÇ´Â ÇÁ·Î±×·¥À̶ó´Â Á¡, Ãë¾à¼ºÀ» ¾Ç¿ëÇÒ ¼ö ÀÖ´Â ¼ö¸¹Àº °æ·Î°¡ ÀÖ´Ù´Â Á¡, ´Ù¸¥ °ÍÀ» ¼Õ»ó½ÃÅ°Áö ¾Ê°í ÆÐÄ¡µµ ¾î·Æ°Ô ¸¸µç´Ù´Â Á¡ µî¿¡¼­ ÃÖ¾ÇÀÇ ½Ã³ª¸®¿À°¡ µÇ°í ÀÖ´Ù¡±°í °æ°íÇϸ鼭 ¡°¸¹Àº »ç¶÷µé¿¡°Ô ±ä ÁÖ¸»ÀÌ µÉ °Í¡±À̶ó°í ¿ì·ÁÇß´Ù.

À̹ø Ãë¾àÁ¡¿¡ ´ëÇØ ¾ÆÆÄÄ¡ Àç´ÜÀº ½É°¢µµ µî±ÞÀ» °¡Àå ³ôÀº 10À¸·Î ÁöÁ¤ÇßÀ¸¸ç ¹®Á¦¸¦ ÇØ°áÇÏ´Â ¾÷µ¥ÀÌÆ® ¹öÀüÀÇ Log4j 2.15.0¸¦ Ãâ½ÃÇÑ »óÅ´Ù. ÀÌ¿Í ÇÔ²² Àç´ÜÀº Á¶Á÷ÀÌ Ãë¾àÁ¡À» ÅëÇÑ ¿ø°Ý ÄÚµå ½ÇÇàÀ¸·ÎºÎÅÍ º¸È£Çϱâ À§ÇØ ±¸ÇöÇÒ ¼ö ÀÖ´Â Log4j 2.10 ÀÌ»ó ¹öÀü¿¡ ´ëÇÑ ¿ÏÈ­ Á¶Ä¡¸¦ ¹ßÇ¥Çϱ⵵ Çß´Ù.

À̹ø Ãë¾àÁ¡°ú °ü·ÃÇؼ­ ±¹°¡Á¤º¸¿ø(ÀÌÇÏ ±¹Á¤¿ø)°ú Çѱ¹ÀÎÅͳÝÁøÈï¿ø(KISA) µî °ü°è±â°üµµ ºÐÁÖÇÏ°Ô ¿òÁ÷ÀÌ°í ÀÖ´Ù. ±¹Á¤¿øÀº ÀÎÅÍ³Ý ¼­¹ö¿ë ¼ÒÇÁÆ®¿þ¾îÀÎ ¡®·Î±×4j(log4j)¡¯¿¡¼­ ½É°¢ÇÑ ÇØÅ·À» ¾ß±âÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ °Í°ú °ü·ÃÇØ 11ÀÏ ÀÚÁ¤ °æºÎÅÍ ½ÇÅ ÆľÇ, Á¤º¸°øÀ¯, º¸¾ÈÆÐÄ¡ ¾È³» µî ¼±Á¦Àû Á¶Ä¡¸¦ ÃëÇß´Ù°í ¹àÇû´Ù.

±¹Á¤¿øÀº ±ä±Þ Á¡°Ë °á°ú, ÇöÀç±îÁö ±¹°¡¡¤°ø°ø±â°ü ´ë»ó °ü·Ã ÇØÅ· ÇÇÇØ »ç·Ê´Â ¾ø´Â °ÍÀ¸·Î È®Àεƴٸ鼭µµ ÇÇÇØ ¿¹¹æÀ» À§ÇØ Ãë¾àÁ¡ º¸¾ÈÆÐÄ¡ Àû¿ë µî º¸¾È ´ëÃ¥À» ±¹°¡»çÀ̹öÀ§ÇùÁ¤º¸°øÀ¯½Ã½ºÅÛ(NCTI), ÀÎÅͳݿëÁ¤º¸°øÀ¯½Ã½ºÅÛ(KCTI)°ú »çÀ̹ö¾Èº¸¼¾ÅÍ È¨ÆäÀÌÁö¸¦ ÅëÇØ ¾È³»Çß´Ù°í ¹àÇû´Ù. ±¹Á¤¿øÀº ÇâÈÄ À¯°ü±â°ü°ú Çù·ÂÇØ ÇÇÇØ Â÷´Ü¿¡ ¸¸ÀüÀ» ±âÇÏ°Ú´Ù°í µ¡ºÙ¿´´Ù.

KISA¿¡¼­µµ ÀÎÅͳݺ¸È£³ª¶ó&krCERT µîÀ» ÅëÇØ º¸¾È ¾÷µ¥ÀÌÆ® °øÁö¹®À» ¿Ã¸®°í ±â¾÷ º¸¾È´ã´çÀڵ鿡µµ ÀüÆÄÇÏ°í ÀÖ´Ù. Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹Þ´Â ¹öÀüÀº Log4j 2.0-beta9¿¡¼­ 2.14.1±îÁö ¸ðµç ¹öÀü¿¡ ÇØ´çµÈ´Ù.

ÇØ´ç Ãë¾àÁ¡ÀÇ ÇØ°á¹æ¾ÈÀº ¡â2.0-beta9~2.10.0 ¹öÀüÀÇ °æ¿ì JndLookup Ŭ·¡½º¸¦ °æ·Î¿¡¼­ Á¦°Å( zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)ÇØ¾ß Çϸç, ¡â2.10~2.14.1 ¹öÀüÀº log4j2.formatMsgNoLookups ¶Ç´Â LOG4J_FORMAT_MSG_NO_LOOKUPS ȯ°æº¯¼ö¸¦ true·Î ¼³Á¤ÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ, Á¦Á¶»çÀÎ ¾ÆÆÄÄ¡ Àç´Ü ȨÆäÀÌÁö¸¦ ÅëÇØ ÃֽŠ¹öÀü(2.15.0)À¸·Î ¾÷µ¥ÀÌÆ®¸¦ Àû¿ëÇÒ ÇÊ¿ä°¡ ÀÖ´Ù.
[±Ç ÁØ ±âÀÚ(editor@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)