취약한 Log4j 버전으로 위험에 노출된 앱 30% 이상
Apache Log4j 라이브러리를 사용하는 애플리케이션의 38%가 보안 취약점에 취약한 버전을 사용하고 있는 것으로 나타났습니다. 그 중 하나는 2년 넘게 패치가 제공되지 않은 심각한 취약점인 Log4Shell(CVE-2021-44228)입니다.
Log4Shell은 인증되지 않은 원격 코드 실행(RCE) 결함으로, 위협 행위자가 Log4j 버전 2.0-beta9 및 최대 2.15.0을 실행하는 시스템을 완벽하게 제어할 수 있게 해줍니다. 이 취약점은 2021년 12월에 제로데이 익스플로잇으로 확인된 이후 활발히 악용되고 있으며, 광범위한 영향력으로 인해 즉각적인 패치가 시급한 상황입니다.
Veracode의 Log4j 앱 보고서
베라코드는 8월 15일부터 11월 15일까지 3,886개 기업의 애플리케이션 38,278개를 자세히 분석했습니다. 놀랍게도 이 중 약 38%의 애플리케이션이 패치가 적용되지 않은 Log4j 버전을 계속 사용하고 있어 디지털 환경의 상당 부분이 잠재적 위협에 노출되어 있는 것으로 나타났습니다. 이 중 2.8%는 Log4Shell에 취약한 Log4J 버전을 사용하고 있었습니다.
개발자가 직면하는 일반적인 문제 중 하나는 오래된 라이브러리 버전이 지속되는 것입니다. 놀랍게도 79%의 개발자가 기능에 영향을 미칠 수 있다는 우려 때문에 타사 라이브러리를 코드베이스에 처음 통합한 후 업데이트를 하지 않기로 결정합니다. 놀랍게도 오픈 소스 라이브러리 업데이트의 65%는 기능에 지장을 주지 않는 사소한 조정 및 수정 사항이 포함되어 있어 보안을 개선할 수 있는 기회를 놓치고 있는 것으로 나타났습니다.
Log4Shell이 관행에 미치는 영향 제한
보안 업계에서는 이번 Log4Shell 발견이 경각심을 불러일으키는 계기가 되기를 바랐을지 모르지만, 그렇게 되지는 않은 것 같습니다. 취약점으로 잘 알려진 Log4j가 여전히 5건 중 1건에서 위험하다는 사실은 Log4Shell의 시급성이 기대했던 보안 관행의 패러다임 전환을 가져오지 못했음을 보여줍니다.
이러한 조사 결과를 통해 조직이 해야 할 일이 명확해졌습니다. 환경을 철저히 평가하여 오픈 소스 라이브러리 버전을 파악하는 것입니다. 다음 단계는 긴급 업그레이드 계획을 수립하여 업데이트와 패치를 신속하게 적용하여 취약점을 제거하고 공격에 대한 방어를 강화하는 것입니다.
결론
Log4j 취약점이 디지털 에코시스템에 계속 남아있기 때문에 기업은 이 취약점의 지속적인 위협을 인식하고 애플리케이션 보안을 위한 선제적인 조치를 취해야 합니다. 경계를 늦추지 않고 적시에 업데이트를 실행하며 사전 예방적인 보안 태도를 취함으로써 기업은 복잡한 사이버 보안 환경을 자신 있게 탐색하여 Log4Shell 및 기타 유사한 취약점과 관련된 위험을 완화할 수 있습니다.
이 글의 출처는 BleepingComputer의 기사입니다.