거대 자바 리포지터리에서만 발견된 악성 패키지가 3만 6천여 개

요약 : 구글이 취약한 자바 패키지를 3만 6천여 개나 찾아냈다. 전부 최근 문제가 되고 있는 로그4j(Log4j) 중 아직 패치가 되지 않은 것들이 포함되어 있는 것들이다. 구글이 이를 찾아낸 건 메이븐 센트럴(Maven Central)에서였다. 메이븐 센트럴은 자바 패키지 리포지터리 중 가장 규모가 크고 영향력이 높은 플랫폼이다. 이곳에서 유통되는 자바 패키지는 수많은 애플리케이션들에서 사용된다.


배경 : 35863개는 메이븐 센트럴을 중심으로 한 IT 생태계에서 8%를 차지한다. 구글이 이번에 조사한 건 CVE-2021-44228 취약점인 로그4셸(Log4Shell)에 관한 것이었다. 로그4셸은 로그4j에서 최초로 발견되어 대대적으로 문제가 됐던 취약점이다.

말말말 : “한 생태계에서 영향을 주는 요인이 8%나 차지한다는 건 어마어마한 겁니다. ‘생태계 충격’ 요인은 평균 2%를 기록하고 있거든요. 메이븐 센트럴 사용자들의 높은 주의력이 필요합니다.” -구글-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>