2024-03-29 00:25 (금)
아크로니스, Log4j 보안 취약점 대응 방안 발표
상태바
아크로니스, Log4j 보안 취약점 대응 방안 발표
  • 길민권 기자
  • 승인 2021.12.15 21:32
이 기사를 공유합니다

아크로니스(지사장 고목동)가 오늘, Log4j 대응 방안을 발표했다.

케빈 리드(Kevin Reed) 아크로니스 CISO는 "현재 인터넷 전체가 검색되고 있다. 적어도 두 개의 봇넷이 미처리된 취약성을 검색하고 있으며 앞으로 더 많은 것을 볼 수 있을 것이다. 금요일 이전에는 한 자릿수로 공격 시도를 탐지했지만, 주말 동안 전 세계적으로 300배 증가했다. 이들 중 어떤 것이 표적형 공격인지 말하기는 어렵다. 현재로서는 누구도 추적할 수 없다"라고 말했다.

칸디드 뷔스트(Candid Wuest) 아크로니스 사이버 보호 리서치 부사장은 "Log4j코드 실행(RCE)을 가능하게 한다. WannaCry에서 사용하는 EternalBlue 또는 ShellShock Bash 취약성과 비교된다. 이를 매우 심각하게 만드는 것은 원격 활용이 얼마나 간단할 뿐만 아니라 수많은 응용 프로그램들이 이를 사용하고 있느냐 하는 것이다. 또한 업데이트 가능한 취약한 소프트웨어 하나뿐 아니라 수많은 애플리케이션에 포함된 라이브러리이기 때문에 패치 적용에도 시간이 더 오래 걸린다. 기업들이 분석을 완료함에 따라 영향을 받는 애플리케이션의 목록은 계속 증가하고 있다. 이미 영향을 받는 애플리케이션에는 Steam, Minecraft, Blender, LinkedIn, VMware 등이 있다. 그 영향은 서비스 중단에서부터 악성 프로그램을 실행하고 모든 고객 데이터를 완전히 도용하는 데 이르기까지 다양할 수 있다. 이러한 공격은 향후 공격을 위해 새로운 컴퓨터가 봇넷에 추가되는 등 데이터 침해의 급증으로 이어질 수 있다. 많은 조직에서 현재 사용 중인 소프트웨어가 log4shell 취약성에 노출되어 있는지 확인하기 위해 초과 작업을 수행하고 있다. VMWare, WebEx 및 PulseSecure VPN과 같은 소프트웨어가 영향을 받으므로 다운타임과 운영 중단이 발생하고 완화 작업이 수행될 수 있다. 이 취약성은 이미 며칠 동안 악용되었으므로 보안 팀은 공격자가 백도어를 설치한 적이 있는지 분석해야 한다. 공격은 암호화폐 채굴기 같은 것에서부터 조직 전체를 위태롭게 할 수 있는 백도어, 랜섬웨어까지 다양했다. Log4j는 데이터 로깅(예-텍스트 파일)을 처리하기 위해 다른 응용 프로그램에 추가되는 Apache Java 라이브러리다. 사용이 간편해 수천 개의 응용 프로그램이 사용하고 있기 때문에 널리 사용되고 있다. 응용 프로그램에서 JNDI(Java Naming and Directory Interface)를 통해 동적 값을 로드할 수 있기 때문에 log4shell 취약성(CVE-2021-44228)이 작동한다. 이 데이터는 제대로 검증되지 않았으며 원격 공격자가 임의 명령을 전송하여 시스템에서 실행될 수 있다. 최악의 경우 백도어가 설치되어 공격자에게 전체 시스템 액세스 권한을 부여할 수 있다"“라고 말했다.

◇ Log4j 대처 방안

Log4j의 Log4shell 취약성은 2.0-beta9에서 2.14.1에 이르는 거의 모든 Apache Log4j 버전에 영향을 미친다. 시스템을 보호하는 가장 쉽고 효과적인 방법은 문제의 공격 가능한 동작이 기본적으로 비활성화되어 있는 최신 Log4j 업데이트(현재 Apache Logging Services를 통해 사용 가능한 버전 2.15.0)를 즉시 설치하는 것이다.

미국 사이버보안 및 인프라 보안국(CISA)의 젠 이스털리(Jen Easterly) 국장은 지난 주말 성명에서 "증가하는 위협 행위자들이 광범위하게 이용하고 있는 이 취약점은 광범위한 사용을 고려할 때 네트워크 방어자들에게 긴급한 도전을 안겨주고 있다"라며 "공급업체 커뮤니티는 이 소프트웨어를 사용하여 다양한 제품을 즉시 식별, 완화 및 패치해야 한다"라고 말했다.

어떤 이유로든 현재 모든 관련 시스템을 업데이트할 수 없는 경우 다음과 같은 몇 가지 단기 완화 옵션을 사용할 수 있다.

▴Log4j 버전 2.10–2.14.1을 실행하는 관리자의 경우 log4j2.formatMsgNoLookups 시스템 속성 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경 변수를 true로 설정하여 메시지 조회 대체를 비활성화한다.

▴Log4j 버전 2.0-beta9–2.10.0을 실행하는 관리자의 경우 클래스 경로에서 JndiLookup 클래스를 제거한다.

▴잠재적으로 영향을 받는 서버의 DNS 쿼리는 물론 모든 아웃바운드 연결을 차단하거나 모니터링한다.

현재 Acronis의 솔루션은 비정상적인 구성을 제외하고 이 익스플로잇에 거의 노출되지 않은 것으로 보인다. 그러나 고객은 예방 조치로 아웃바운드 연결을 차단하거나 모니터링하는 것이 좋다.

자세한 내용은 보안 권고(Acronis Advisory Database)를 참조하면 된다.

◇ 취약점 평가 및 패치 관리를 통해 안전하게 보호

이 Apache Log4j 공격으로 인한 위협은 심각하며 최근 몇 년 동안 가장 심각할 수 있지만 완전히 새로운 것은 아니다.

주요 비즈니스 애플리케이션에 영향을 미치는 새로운 취약성이 매일 발견되고 있으므로 보안 격차를 감지하고 해결할 수 있는 확실한 계획을 세우는 것이 매우 중요하다.

공격자는 자동화 수준이 높아짐에 따라 발견된 약점을 악용하는 데 시간을 낭비하지 않는다. Log4j는 매우 다양한 애플리케이션에 내장되어 있기 때문에(각각 별도의 업데이트가 필요함) 취약한 솔루션에 의존하는 기업은 문제 해결 프로세스가 느려 더 오랜 기간 노출될 수 있다.

Acronis Cyber Protect Cloud는 간단하고 빠르고 신뢰할 수 있는 취약점 평가 및 패치 관리 기능을 지원한다. 이 솔루션은 중요 업데이트가 출시되는 즉시 자동으로 검색하고 설치하여 제로 데이 악용에 대한 노출 시간을 최소화함으로써 최첨단 사이버 위협으로부터 시스템과 데이터를 안전하게 보호하고 IT 리소스 할당을 최소화한다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★