S2W가 제시하는 로그4j 보안 취약점 대응 방안은?

입력 : 2021-12-16 10:24

CVE-2021-44228, 서버의 종류와 상관없이 log4j를 사용하는 모든 서버 및 서비스에 영향 미쳐
log4j 구버전(1.x) 사용하면 안전하다는 이야기는 잘못된 사실...반드시 최신 버전으로 패치해야

[보안뉴스 원병철 기자] 데이터 인텔리전스 기업인 S2W(대표 서상덕)는 Logs of Log4shell(CVE-2021–44228) 분석 보고서를 발표하고, Log4j 대응 방안을 소개했다.


S2W 곽경주 이사는 “자사 CTI 그룹 분석에 따르면, Log4j 취약점을 이용한 크립토마이너, 봇넷, 랜섬웨어 등의 악성코드 유포가 활발히 이뤄지고 있고, 현재 패치 되지 않은 시스템을 대상으로 한 무차별적인 공격은 이미 시작된 상태”라고 말하며, “CVE-2021-44228은 아파치 서버뿐만 아니라, 서버의 종류와 상관없이 log4j를 사용하는 모든 서버 및 서비스에 영향을 미친다”고 우려를 표했다.

S2W는 Log4j을 비롯한 전반적인 보안 취약점 대응을 위해 사내 오픈소스 사용 현황 파악이 필요하다고 지적했다. 이후 내부에서 사용하는 오픈소스와 관련된 취약점이 공개됐을 경우, 자동화된 알림을 줄 수 있는 시스템 역시 필요하다. 보안 위협으로 인해 전체 시스템에 대한 동시다발적 조치가 어려울 경우, 우선순위에 따른 순차적 조치가 필요하며 이를 위해서는 대고객용 시스템, 외부에서 접속 가능한 직원용 업무 사이트 등 내부 자산에 대한 용도별 분류와 사용 중인 서비스에 대한 파악이 선행되어야 한다. 또한, 평소에 국내외 컨퍼런스 및 보안 벤더들의 취약점, 악성코드 관련된 보고서와 인텔리전스를 주기적으로 확인하고 내재화하는 작업을 지속적으로 진행해야 한다고 강조했다.

S2W의 ‘Logs of Log4shell(CVE-2021–44228) 보고서’는 로그프레소에서 자체 제작한 취약점 스캐너와 같이 내부에서 인프라들의 취약점을 점검할 수 있는 도구, 원격에서 다수의 사이트에 대한 취약 여부를 점검할 수 있는 도구 등 최근에 빠르게 제작되고 있는 국내외 다양한 log4j 취약점 탐지 및 도구들을 엄선해 소개하고 있다.

S2W는 △Tomcat △Minecraft △Redis △Apache Struts △Apache Solr △Apache Druid △Apache Flink △Apache Dubbo △ElasticSearch △Flume △Logstash △Kafka △Spring-Boot-starter-log4j2 등을 포함해 150여개 이상의 서비스가 CVE-2021-44228 취약점에 영향을 받는 서비스라며 각별한 주의가 필요하다고 강조했다.

S2W는 자사 고객들을 위한 별도 정보 전달 채널인 ‘S2Gether’에서 취약점 인지 이후 현재까지 신속하게 관련 정보를 공유하고 있다. 또한, S2W의 CTI 솔루션인 ‘자비스(Xarvis)’에는 다양한 채널에서 수집되는 이번 취약점 관련 정보를 업데이트하고 있고, 관련 IoC(침해지표) 역시 지속적으로 게시하고 있다.

‘Logs of Log4shell(CVE-2021–44228) 보고서’의 주요 내용은 다음과 같다.
- 소프트웨어 취약점은 언제든 발생할 수 있으며, log4j와 같이 널리 사용되는 오픈소스를 활용할 경우, 향후 취약점 발생 및 그에 따른 대응을 위한 사전 준비가 필요하다.
- 내부 자산에서 사용하는 서비스 등에 대한 주기적인 자산 식별이 필요하다.
- 취약점을 악용해 유포되는 악성코드 및 공격도 빠르게 확산 중이다.
- 취약점을 활용한 Mirai, Kinsing, Muhstik 악성코드 유포 사례가 보고되고 있으며, 이 외에도 단순 공격 시도가 지속적으로 발생하고 있다.
- 다크웹 상에서도 log4j 취약점 관련 게시글이 등장해 확산 중이다.
- Tencent Cloud, Alibaba Cloud의 유출 정보를 업로드 한 공격자가 중국 관련 기업을 공격할 때 log4j 취약점을 수차례 사용했다는 내용을 다크웹 포럼 상에서 언급했다.

S2W가 발표한 log4j 취약점 대응 방안은 다음과 같다.
1. log4j를 최신 버전으로 업데이트해야 한다.
- 다운로드 주소: https://logging.apache.org/log4j/2.x/download.html
2. 2.10.0 이상의 버전에서는 formatMsgNoLookups 속성을 True로 설정해야 한다.
- 실행 명령어: echo “export LOG4J_FORMAT_MSG_NO_LOOKUPS=true” >> /etc/profile.d/blockzero.sh
3. 2.10.0 미만 버전은 로그 문자열 패턴 변경 또는 JndiLookup 클래스를 경로에서 제거해야 한다.
- 실행 명령어: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

S2W 오펜시브 리서쳐 이대진 연구원은 “log4j의 구버전(1.x)을 사용하면 안전하다는 일부의 얘기는 잘못된 사실이며, 1.2 버전에서도 이번 log4shell과 유사한 형태의 취약점이 발견되어 조치해야 한다는 공식 발표가 있었다. 또한, log4j 1.x 버전은 지원이 종료된 버전으로 다수의 취약점이 발견되더라도 더 이상 패치가 나오지 않을 예정이므로 가장 최신 버전으로 업데이트 할 것을 권장한다”고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 3

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...