• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

FBI, CISA, NSA 등 취약한 로그4j 찾게 해 주는 스캐너 배포 중 2021.12.24

로그4j에서 취약점이 발견되자 각 나라의 정보 기관들도 나섰다. 이들은 보안 권고문을 합동으로 발표하기도 하고, 조직들이 실제로 사용할 수 있는 스캐닝 도구도 개발했다. 물론 스캔만으로 다 찾아낼 수 있는 건 아니지만.

[보안뉴스 문가용 기자] 호주, 캐나다, 뉴질랜드, 미국, 영국의 사이버 보안 국가 기관들이 합동으로 보안 권고문을 발표했다. 아파치 로그4j(Apache Log4j)라는 소프트웨어 라이브러리에서 나온 취약점에 관련된 내용이다. 여기서 발견된 취약점이 벌써 3개고, 익스플로잇 시도가 다수 발견되고 있다는 경고가 담겨 있었다.

[이미지 = utoimage]


합동 권고문을 통해 기관들은 “대단히 심각한 취약점”이라고 말하며 “특히 로그4셸(Log4Shell)이 심각하다”고 발표했다. 그 이유는 고급 기술을 가진 사이버 공격자들이 활발히 네트워크 스캔을 함으로써 로그4셸 취약점과, 그로부터 파생한 두 개의 취약점을 계속해서 노리고 있기 때문이다. 참고로 두 개의 파생 취약점은 CVE-2021-45046과 CVE-2021-45105다. 정보 기관들은 이 취약점들이 꽤나 오랜 기간 익스플로잇 대상이 될 것이라고 내다보고 있다.

이번 권고문의 설명에 따르면 취약점들은 다음과 같이 요약이 가능하다.
1) CVE-2021-44228 : 특수하게 조작된 요청을 취약한 시스템에 보냄으로써 임의 코드 실행을 할 수 있게 해 준다.
2) CVE-2021-45046 : 특정 설정 조건이 성립되었을 때 원격 코드 실행 공격을 할 수 있게 해 준다.
3) CVE-2021-45105 : 원격에서 디도스 공격을 실시할 수 있게 해 준다.

이 취약점들은 이번 달 처음 대중에게 공개됐고, 공개되자마자 각종 서버들을 겨냥한 랜섬웨어 공격자들과 국가 지원 해커들의 공략이 시작됐다. 가장 눈에 띄는 건 이 취약점들을 통해 코발트 스트라이크(Cobalt Strike)라는 공식 모의 해킹 도구를 사용하는 전략이다. 공격자들은 이 모의 해킹 도구를 미리 심어두고, 이를 통해 암호화폐 채굴 멀웨어나 봇넷 멀웨어를 심고 있다.

지금은 코발트 스트라이크로 공격이 시작되지만 추후 익스플로잇 연구가 활발히 진행됨에 따라 다른 방법들이 등장할 가능성이 매우 높다. 따라서 일반 기업 및 기관들이라면 최대한 빨리 취약한 요소들을 찾아내 보완 및 패치 작업을 실시해야 한다. 이는 각 보안 담당자들에게 커다란 압박으로 돌아가고 있고, 따라서 이들에게는 크리스마스 연휴 기간도 없어질 예정이다.

정보 기관들은 기술적 설명과 권고에 더해 스캐너 유틸리티도 함께 공개했다. 로그4셸 취약점에 노출된 시스템을 찾아내 주는 기능을 가지고 있으며, 여기(https://github.com/cisagov/log4j-scanner)서 열람이 가능하다. CERT/CC에서도 얼마 전 비슷한 도구(https://github.com/CERTCC/CVE-2021-44228_scanner)를 공개했었다.

하지만 보안 전문가들은 이런 스캐너에만 너무 의존할 수 없다는 입장이다. 로그4j라는 라이브러리가 코드의 깊숙한 부분에 자리를 차지하고 있는 경우가 많기 때문에 스캐닝으로만 다 찾아낼 수가 없다는 것이다. 사각지대가 생길 수밖에 없기 때문에 자동 스캔에 더해 수작업도 이어가야 한다고 보안 전문가들은 강조하고 있다.

“로그4j는 서로 연결되고 종속되어 있는 자바 파일들 속 깊숙한 곳에 존재할 때가 많습니다. 한 자바 파일에서 다른 자바 파일을 로딩하고, 그 자바 파일은 또 다른 파일을 로딩하는데, 그 파일에 겨우 로그4j가 있을 수 있어요. 더 깊은 곳에 있는 경우도 많고요. 스캔은 보통 이렇게까지 깊은 데를 스캔하지는 못하죠.” 이스라엘의 보안 기업 레질리온(Rezillion)의 요탐 페르칼(Yotam Perkal)의 설명이다. 게다가 패키징 형식도 다양해 찾아내는 게 정말 힘들다고 한다.

3줄 요약
1. 호주, 영국, 미국 등 여러 나라 정부 기관들이 일제히 로그4j의 취약점에 대해 경고.
2. 이 나라들에 의하면 로그4j는 대단히 심각하고 이미 상당히 익스플로잇 되고 있음.
3. CISA와 CERT/CC가 각각 스캐닝 도구 배포하고 있으나, 이것에만 의존할 수는 없음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>