최악의 보안취약점 Log4j란? Log4j 취약점 알아보기
- IT정보/유용한 IT 정보
- 2021. 12. 17. 11:58
안녕하세요 오늘도 휴잉의 블로그를 찾아주신 여러분 감사드려요. 오늘 제가 포스팅할 내용은 최근 IT업계에서 종사하시는 분들이나 서버 혹은 유지 보수하시는 분들이라면 알고 계실 최악의 취약점 log4 j 취약점에 대해 포스팅해보려고 해요. Apache 소프트웨어 재단의 자사의 Log4 j 2에서 발행하는 취약점으로 많은 엔지니어분들이 현재 지금 이 순간도 보안 취약점을 제거하려고 힘쓰고 있는데요. 그중 하나가 바로 저예요^^. 현재 제가 유지 보수하는 장비의 경우 모든 패치 및 취약점 제거가 완료된 상태인데, 최근 보안 이슈 중 핵 이슈인 만큼 Log4j가 무엇인지 어떻게 취약점이 발견되었고 조치할 수 있는 방법 피해범위에 대해 여러분들께 설명드릴게요.
최악의 보안취약점 Log4 j란? Log4j 취약점 알아보기
사실 IT업계종사하시는 분들이 아니라면 Log4j취약점에 대해 생소하실 수도 있을 텐데 혹시나 뉴스를 보다 궁금하신 분들이 계실 것 같아 간략하게 포스팅해보도록 할게요.
1. Log4j 란?
Log4j란? Log For Java라는 말로 jakarta-project에서 Java를 위한 프로젝트 중 하나예요. Log4j는 프로그램을 작성하는 중 로그를 남기기 위해 사용되는 Java 기반 로깅 유틸리티라고 생각하시면 돼요. Apache재단이 개발한 것으로 서버 관리에 필수적으로 무료로 제공되는 오픈소스여서 애플과 아마존 같은 세계 주요 기업과 정부기관에서 사용 중이에요.
Log4 j 구조
| Logger | 로깅 메세지를 Appender에 전달 Log4j의 중심 개발자가 직접 로그 출력 여부 조정 Logger는 로그레벨을 가지고 있고, 로그의 출력 여부는 로그문의 레벨과 로거의 레벨을 가지고 결정 |
| Appender | 로그의 췰력위치를 결정 Log4j API문서의 XXXAppender로 끝나는 클래스들의 이름을 보고 출력위치 짐작 가능 |
| Layout | Appender가 어디에 출력할 것인지 결정했다면 어떤 형식으로 출력할것인지 출력 Layout 결정 |
2. Log4j 취약점 발견은?
Log4j가 논란이 된 이유는 최근 "마인크래프트"라는 게임에서 해커가 침투할 수 있는 공간이 발견되어 알게 되었어요. 해당 게임에서 Log4j 프로그램을 사용하는데 특정 메시지를 입력하기만 해도 사용자의 컴퓨터를 원격 조정할 수 있는 현상이 발견되어 이를 이용하면 정부기관이나 기업, 금융사들을 공격해 악성코드를 심는 등 막대한 피해를 줄 수 있기에 아주 위험한 취약점을 발견한 거죠.
3. log4 j 현재 피해사항은?
현재 국내 금융사에서 Log4 j를 얼마나 사용하는지는 파악이 되지 않았는데 통상 금융업계는 보안을 이유로 무료 오픈소스를 사용하지 않는다고 해요. 13일 금융권에 따르면 국내 금융사 서버를 대상으로 한 Log4j 관련 공격이 탐지가 되었다고 하는데, 아직 해킹성공이나 피해사례 발생 등 우려스러운 사항은 아직 없는것으로 확인됬다고 해요.
4. Log4j 취약 버전 및 대응 방안은?
현재 KISA 인터넷 보호나라 홈페이지에 공지사항으로 나와 있는데, 취약점 해결하는 방법은 간단히 최신 버전으로 업데이트를 하거나 업데이트가 어려울 경우 환경변수 등을 수동으로 수정하거나 경로를 제거하는 방법으로 Log4 j 취약점 조치를 할 수 있어요. 혹시 링크가 궁금하신 분들을 위해 아래 첨부하였으니 클릭해서 들어가 보시면 좋을 것 같아요.
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36389
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
4. 마지막으로~
마지막으로 현재 많은 IT업계 종사하시는 개발자분들 유지보수 팀분들 log4 j 취약점 때문에 너무 바쁜 연말을 보내고 계실 텐데, 같은 업종에 일하는 한 사람으로서 힘내시길 바랄게요^^. 우리 모두 파이팅!!
그럼 지금까지 휴잉이었습니다. 감사합니다^^.
여러분들의 하뚜♡와 구독 & 댓글은 저에게 큰 힘이 되어요^^
'IT정보 > 유용한 IT 정보' 카테고리의 다른 글
| 마이너즈 쇼타임을 알아보자 Feat.마종대 (0) | 2022.01.13 |
|---|---|
| DELL 노트북 화면 흔들리거나 깜빡거리고 깨질때 해결하는 방법 꿀팁 (0) | 2022.01.04 |
| 아크로벳리더 DC 애플리케이션 오류 해결하는 방법 꿀팁 (0) | 2021.11.26 |
| [PayPal] 페이팔 달러 출금하는 방법 (0) | 2021.10.20 |
| CMOS 패스워드 설정 및 해지하는 방법 꿀팁 (1) | 2021.09.07 |
