무슨 일이 있었죠?
모든 인터넷 서버에서 광범위하게 사용되는 소프트웨어에 치명적 보안 취약점이 발견되었는데요.
문제가 지적된 소프트웨어는 오픈소스 로깅 라이브러리 로그4j(log4j)이라고 합니다.
과학기술정보통신부(장관 임혜숙)가 Apache Log4j 2 서비스에 대한 보안 취약점이 발견됨에 따라 긴급 보안 업데이트를 권고했습니다.
전 세계 보안 업계가 발칵 뒤집혔고 게임이나 클라우드 서버를 운영하는 정보기술(IT) 기업은 물론, 웹사이트 운영 회사, 심지어 정부 기관까지 이 소프트웨어를 활용하고 있어 심각한 해킹 위험에 노출될 수 있다는 우려가 제기되었습니다. 12월 10일 국내에 알려진 이 이슈는 주말이 끼여있어 빠른 대처가 쉽지 않은 실정입니다.
로그4j? Log4j? 로그4셸?
어떻게 취약한데?
Log4j란 기업 홈페이지 등 인터넷 서비스 운영 / 관리 목적의 로그기록을 남기기 위해 사용하는 프로그램으로 사실상 거의 모든 서버가 이 라이브러리를 사용한다고 합니다. 업데이트를 수행하지 않을 경우, 취약점을 악용해 공격자가 원격에서 공격코드를 실행시킬 수 있어 심각한 피해를 입을 수 있는데요.
로그4셸이라고도 불리는 이 취약점을 공격하면 아래와 같이 가능해진다고 합니다.
- 해커들이 목표 대상 컴퓨터의 모든 권한을 취득할 수 있음
- 비밀번호도 없이 서버를 통해 내부망에 접근해 데이터를 약탈할 수 있음
- 악성 프로그램을 심어 실행, 자료 삭제가 가능해짐
아파치 소프트웨어 재단은 로그4셸 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 ‘10단계’라고 평가하였고 이미 해커들에게 무기화되었다고 합니다. 따라서 Log4j를 이용하는 경우 신속하게 업데이트를 적용해야 한다고 합니다.
최초의 발견은 마인크래프트
로그4셸 취약점은 역대 비디오 게임 판매량 1위인 온라인게임 ‘마인크래프트’에서 처음 확인되었습니다. 자바(Java) 언어로 개발된 마인크래프트 버전에서 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면, 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 것으로 나타났는데요. 마인크래프트를 보유하고 있는 마이크로소프트는 즉시 업데이트를 적용하고 “업데이트를 적용한 고객들은 보호받을 수 있다”라고 합니다.
빠른 보안 업데이트가 필요!
과기정통부는 보호나라 홈페이지를 통해 즉시 보안 업데이트를 당부하였고(12.11), 기반시설, ISMS 인증기업(758개사), CISO(23,835명), C-TAS(328개사), 클라우드 보안인증 기업(36개사), 웹호스팅사(477개사), IDC (16곳) 등을 대상으로 긴급 전파하였고 해당 서버를 사용하는 기업들에게도 신속한 조치를 강조했다고 합니다.
해당 글은 아래 기사를 바탕으로 작성하였습니다.
https://www.edaily.co.kr/news/read?newsId=01203766629277864&mediaCodeNo=257&OutLnkChk=Y
[긴급] 인터넷 로그기록 프로그램 ‘아파치 Log4j 2’ 보안패치 권고
과학기술정보통신부(장관 임혜숙)가 Apache Log4j 2 서비스에 대한 보안취약점이 발견됨에 따라 긴급 보안업데이트를 권고했다.공격자가 관련 취약점을 악요하면 악성코드 감염 등의 피해를 발생
www.edaily.co.kr
https://news.v.daum.net/v/20211211181030002
"컴퓨터 사상 최악의 취약점 발견됐다".. 전세계 보안업계 '발칵'
거의 모든 인터넷 서버에서 광범위하게 사용되는 소프트웨어에 치명적 보안 취약점이 발견돼 전 세계 사이버 보안 업계가 발칵 뒤집혔다. 게임이나 클라우드 서버를 운영하는 정보기술(IT) 기업
news.v.daum.net
'TalkAbout > IT' 카테고리의 다른 글
| 플로우 차트 의미와 종류 (2) | 2021.12.15 |
|---|---|
| 컬러(색채)의미와 정보 디자인 (0) | 2021.12.13 |
| 게임 업계에서 핫한 NFT! NFT란 무엇인가? (0) | 2021.12.10 |
| 데이터 시각화 의미와 종류 (0) | 2021.12.09 |
| 웹 3.0 시대란 무엇일까? (0) | 2021.12.08 |
댓글