RSS

Log4j 2 보안 취약점 사태 (Log4Shell)

오픈소스 보안 이슈 Log4Shell과 관련된 내용을 정리합니다.

Apache Log4j 2에서 발생한 취약점(CVE-2021-44228, NVD)을 통해 악성코드 감염 등 추가 피해가 발생할 수 있어 전 세계적으로 긴급 보안 업데이트 조치 (2021.11.10)가 있었으며, 관련 내용을 정리합니다.

Log4j

Log4j는 로그를 목적으로 Java 기반의 웹서비스에서 대부분 사용되는 Apache 재단의 오픈소스입니다. log4j-logo

경과

  • 2021.11.24 알리바바 클라우드 보안팀에서 최초로 발견 (Apache 공지)
  • 2021.11.30 Log4j팀, Restrict LDAP access via JNDI pull request 추가 (12/5 Merged)
  • 2021.11.30 Log4j팀, no longer formats lookups in messages by default pull request 추가 (12/5 Merged)
  • 2021.12.09 log4j 2 보안 이슈 PR과 취약성 재현 스샷이 한 트윗에 올라오면서 이슈가 퍼지기 시작
  • 2021.12.10 마인크래프트 기술 책임자가 관련 이슈 수정하였다며 트윗으로 알리면서 본격 이슈화
  • 2021.12.10 Log4j 2.15.0 버전 릴리즈 로 보안 취약성 패치
  • 2021.12.12 Log4j팀, Disable JNDI by default 추가
  • 2021.12.12 Log4j 2.15.1 버전 릴리즈 후보 (JNDI 기본값 Disable)

보도자료 (국내)

대응방안

대응 사례 (참고)

영향범위

  • Log4j 2.0-beta9 부터 2.15.x 이전 버전

  • Spring Boot 관련

    • Spring Boot는 또 다른 로그 라이브러리인 Logback을 디폴트로 하고 있으며,
      기본 로깅 시스템을 Log4j2로 전환한 경우 취약점의 영향을 받습니다.
    • 2021.12.12 현재 최신 버전인 Spring Boot 2.6.1 에서는 Log4j2 로 전환시 버전을 명시하지 않으면 1.14.1 로 설치됨
    • 현재 릴리즈 전인 Spring Boot 2.6.2 에서는 Log4j 2.15.x 로 업데이트 예정

알려진 취약성 검사 스캐너

취약성 공격 방식

  • log4shell 은 RCE(원격코드실행) 취약성으로 분류됩니다.
  • 제로데이 Attack (공표되었지만 아직까지 패치되지 않은 보안 취약점을 이용한 공격) 위험이 있습니다.
  • 상세 내용 참고 log4shell-exploit-flow 이미지 출처

정부, 오픈소스 사용실태 조사 검토

정부도 오픈소스 소프트웨어의 보안 수위를 높이는 방향을 고민하고 있다. 과기부 관계자는 “오픈소스가 워낙 많다 보니 앞으로 유사 사고가 발생할 가능성이 크다"며 “사용 실태조사 등 후속조치를 고민하고 있다"고 말했다.

(기사내용 발췌)