[issue] Log4J 취약점 공격에 대한 대응방법

SeoYum·2021년 12월 28일
0
post-thumbnail

해당 영상은 유튜버이자 코딩초보자들의 선생님 '노마드코더'님의 유튜버 영상을 기반으로, 여러 뉴스들과 커뮤니티의 정보를 토대로 정리한 내용입니다. 참고 바랍니다 :) 오늘도 Happpy Coding!

intro

현 사태가 점점 더 악화될 것이라고 예상되는 이유는 너무나도 많은 대기업들과 시스템이 Log4J를 사용하고 있으며 이를 업그레이드 하는 것이 어려운 작업이기 때문이다. 현재 Log4J를 업데이트하는 중에도 취약점이 발견되는 현황이 위의 의견에 근거가 될 수 있다.

main

1. 현재 상황

Log4J 취약점이 발견된 버전은 2.14.
이후, 2.15가 출시되었고 업데이트를 진행하였지만 또 다시 취약점이 발견됩니다.
새로운 취약점은 DoS공격을 일으킬 수 있다는 것.
여기에서 DoS는 Denial of Serveice로 '서비스 거부 공격'을 뜻하는데,해당 공격이 성공적으로 실행되면 서버가 중단되고 서비스가 오프라인 상태로 바뀌게 된다고 합니다.

해당 취약점은 처음에 위험도 3.7점을 받을 정도로 이전 취약점보다 문제의 심각성을 낮게 판단되어졌으나,
다른 연구원들이 해당 취약점 또한 REC 공격이 가능함을 파악하고 3.7점에서 9점으로 위험도 점수를 조정하는 사태가 발생합니다.

2. 대응방안

이에 따른 대응방안으로

  1. 최신버전 보안업데이트 실시

  2. 공격 IP차단(웹방화벽 및 IPS 차단정책) 및 공격유형 탐지패턴 적용을 통해 보안관제 강화 실시

  3. log4j2.formatMsgNoLookups 시스템 속성을 true로 전환

    자바 실행 인자에 아래와 같이 추가합니다.

    java -Dlog4j2.formatMsgNoLookups=true -jar myapp.jar

와 같은 방안들로 해당 문제에 대응하고 있다고 한다.

느낀 점

해당 문제는 오픈소스를 사용하는 모든 개발자들에게 당면한, 해결이 어려운 문제인 것 같다. 오픈소스의 특성상, 오류 대응이라든지 기능 개선등의 긍정적인 피드백을 쉽게 주고받을 수 있지만 말 그대로 모두에게 오픈되있기 때문에 지금 문제를 해결하더라고 후에 마음먹으면 언제고 털릴 수 있는 상황이라는 것을 위의 사건에 근거해 세게 와닿았다.

이러한 error는 프로젝트의 규모가 커질수록 더욱 크게 타격을 피하지 못할 것이며, 그렇다고 클로즈드 소스가 해결책이냐고 한다면, 이도 아닐 것 같다.

앞으로도 이와 유사한 문제를 해결하기 위해서는 개인적으로 오픈소스의 개방성을 유지하되, 이를 보완하고 관리하는 기업과 단체에게 후원을 하는 문화를 원활히 시켜 오픈소스의 가치를 우리가 증진시키는 것에 있지 않을까 싶다.

profile
노트북과 눈싸움이 일상인 프론트준비생

0개의 댓글