에스에스알 ‘SolidStep CVE 솔루션’, Log4j 같은 CVE 취약점 자동 진단한다

입력 : 2021-12-14 14:11

기존 SolidStep 도입 고객들, 별도의 에이전트 추가 없이 SolidStep CVE 연동 가능

[보안뉴스 원병철 기자] 지난 11일 아파치(Apache) 소프트웨어 재단의 오픈소스 자바(Java) 로깅 프레임워크인 ‘Log4j’ 라이브러리에서 심각한 보안 취약점(CVE-2021-44228)이 발견돼 국정원은 긴급 보안 권고문을 내리고 상황 파악과 차단에 주력하며 대응에 나섰다. 위험도 10.0의 매우 심각한 수준의 취약점으로 분류된 CVE-2021-44228(원격코드 실행)은 해커가 Log4j 취약버전 대상으로 악성페이로드 전송시, 원격코드 실행이 가능해 심각한 피해를 야기할 수 있는 만큼, 보안 업데이트 등 관련 조치를 빠르게 수행해야 한다.

보안 취약점 진단 자동화 솔루션 개발사인 에스에스알(대표 고필주)은 해당 취약점과 같은 CVE 취약점을 자동으로 체크해 자산위험에 노출되었는지 수시로 진단하고 빠르게 조치할 수 있는 CVE 취약점 진단 자동화 솔루션 ‘SolidStep CVE(솔리드스텝 CVE)’ 최신 버전으로 발빠른 대응에 나선다고 14일 밝혔다.

SolidStep CVE는 CVE 취약점 진단부터 권고, 조치 결과 확인, 보고까지 모든 과정을 체계적으로 원스톱 관리할 수 있는 솔루션이다. 특히 최신 발표되는 CVE 취약점 정보를 주기적으로 반영해 취약점들을 지속적으로 점검하고 분석하여 피해 사고를 사전에 예방할 수 있기 때문에, 이번 로그4j 취약점과 같이 긴급 보안 취약점이 발견되는 즉시 빠르게 진단해 조치할 수 있으며 향후 유사 CVE 취약점에 대해서도 능동적인 대응이 가능하다.

CVE 취약점은 CCE 취약점과 다르게 하루에도 수십 개씩 발견되고 있으며, 이를 악용한 새로운 해킹 공격도 지속적으로 증가하고 있다. 게다가 아직까지 국내에서는 CVE 취약점에 대한 강제성이 미비하고 솔루션을 도입하려고 해도 외산 솔루션에 의존하는 실정이다.

보안 컨설팅의 노하우와 검증된 기술력을 집약해 보안 취약점 진단 자동화 솔루션을 직접 개발한 에스에스알은 이러한 국내 시장에 맞는 CVE 취약점 진단 솔루션의 필요성을 직시해 SolidStep V2.5를 업그레이드하면서 진단 유형을 세분화한 SolidStep CVE 최신 버전을 제공하고 있다.

기존 SolidStep을 도입한 고객들은 별도의 에이전트 추가 없이 SolidStep CVE 연동만으로 Log4j 취약점과 같이 MITRE 및 KISA에서 제공하는 CVE 취약점들을 자동으로 점검하여 선제 대응할 수 있도록 지원한다.

SolidStep CVE는 인프라 취약점 진단 자동화 솔루션인 SolidStep CCE와 동일하게 사용자 편의성을 높인 Web UI 방식으로 자산그룹 관리, 상세 진단 결과 가이드, 진단 결과에 대한 조치관리 및 이력관리 기능을 적용함은 물론 국내외 보안 컴플라이언스를 모두 완벽하게 준수한다.

뿐만 아니라 고객 맞춤 진단을 위해 에이전트 방식, 원격 진단(Agentless) 방식, 수동 진단 방식을 지원함으로써 진단의 정확도를 높였으며, 보유 자산 안의 모든 소프트웨어 및 사양, 최신 패치 반영 여부 등을 쉽고 빠르게 원클릭 전수 진단할 수 있어 보다 안전한 자산 및 인벤토리까지 체계적 관리가 가능한 특징을 가지고 있다.

고필주 에스에스알 대표이사는 “에스에스알은 IT 인프라부터 어플리케이션까지 모든 IT 자산의 취약점 진단이 가능한 보안 취약점 진단 솔루션 라인업을 보유하고 있으며, 최고의 보안 전문가들이 끊임없이 보안 트렌드에 맞는 기능 개발에 최선을 다하고 있다”며, “이번 Log4j와 같은 치명적이고 긴급한 취약점으로 인한 피해를 사전에 방지하고, 고객의 보안 사각지대를 줄일 수 있는 대한민국 대표 보안 솔루션이 되도록 더욱 노력하겠다”고 말했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 3

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...