log4j 취약점으로 보안업계 계신분 여쭙습니다.

2021.12.13 | 조회수 1,252

jinronar

현재 스타트업에서 DevOps 직무를 하고 있고 과거에는 금융권에서 인프라 운영을 주로 했습니다. 이번 log4j 취약점으로 과거 유사사례마다 힘들었던 점이 있는데요. 개인적견해입니다만, 부정적 시선으로 이슈때마다 겁주고 협박해서 보안솔루션 마케팅에 활용하고 있지 않나 생각됩니다. 제가 이해한 바로 취약점 선결 조건이 다음과 같습니다. 1. 서비스동작 호스트가 외부망 any 연결 2. java 애플리케이션 root 또는 sudo 권한 실행 3. 명시적으로 log4j-core 라이브러리를 사용하는 경우 다만, 이런 내용은 쏙 빼놓고 "무조건 큰일났으니깐 니네들 빨리 조치해 안그러면 회사 망해" 라는 식으로 이슈화 되고 있다는 생각이 듭니다. 이건 보안업계의 문제가 아닐수도 있는데 과거 금융권 근무 할 때는 사소한 이슈라도 나와있는 모든 가능성을 조치해야 했고요(현 이슈처럼 outbound 제한된 경우 취약점이 될 수 없어도) 스타트업으로 이직하고 작년에는 k8s와 serverless 환경을 이야기해도 10년도 더 된 스크립트를 들이밀면서 점검하라고 하더라고요. 점검결과가 나올수 없다고 하면 결과를 낼 수 있는 환경을 만들라고 하는데요 이때 보안업계분들이 최근 기술에 대한 이해가 있기나 한지 심각한 의구심이 들었습니다. 이게 저의 단편적인 상황인지 궁금하네요. 보안업계의 의견 과 일반 IT 업무를 하시는 분들이 저와 비슷한 의견인지도 궁금합니다.

닉네임으로 등록

등록

전체 댓글 9

0ㅁ0

2021.12.14

BEST과거에 보안 관련해서 공부를 잠시했던 사람입니다 현재는 회사에서 주로 개발자로 있고 프로덕션 단계 이전 테스팅때는 과거의 경험을 살려 취약점 분석도 간간히 하고 있습니다 이번 log4j 같은 경우도 소식 들리자마자 간단한 poc 만들어서 테스팅도 해봤습니다만 유감스럽게도 이번 사태의 경우에 한해서는 보안업체에서 문제가 된다면 빨리 조치하라는 소리가 마냥 보안솔루션을 판매하기 위한 마케팅이 아닌걸로 보입니다 이전의 이 정도 이슈가 되었던 문제점들을 몇개 뽑아보자면 스펙터나 멜트다운 그리고 하트블리드 취약점 이 정도 이슈들이 생각나는데요 개인적인 생각으론 이번 취약점은 얘네들보다 익스플로잇하기가 훨씬 쉽고 파급력도 훨씬 강합니다 취약점 선결 조건으로 2번째 항목에 root권한이 필요하시다 하셨는데, 굳이 root 권한 없이도 리버스 쉘을 몰래 띄운다던가 랜섬웨어에 감염시키는등 생각보다 많은게 가능합니다 3번에서 말씀하신것처럼 slf4j 를 사용한다던가 하는것으론 크게 위험하지는 않다는 말도 있지만 그외 인지도가 덜한 라이브러리에서 내부적으로 log4j로 log를 찍는다면 그 역시 문제가 될수있고 공격벡터로 사용될 수 있습니다 물론 서버리스 환경에서 10년도 더 된 스크립트를 들이대면서 만들지도 못하는 점검결과를 요구하는건 좀 웃기긴하네요 ㅋㅋ (수정됨)

리멤버 회원이 되면 모든 댓글을 보실 수 있습니다

로그인

회원가입

김커뮤니티

2020.07.01

BEST회사에서 풀지 못한 고민, 여기서 회사에서 업무를 하다가 풀지 못한 실무적인 어려움, 사업적인 도움이 필요한 적이 있으셨나요? <리멤버 커뮤니티>는 회원님과 같은 일을 하는 사람들과 이러한 고민을 해결할 수 있는 온라인 공간입니다. 회원 가입 하고 보다 쉽게 같은 일 하는 사람들과 소통하세요

154

김커리어

2020.07.01

BEST리멤버 회원을 위한 경력 관리 서비스, 리멤버 커리어를 소개합니다. 당장 이직 생각이 없어도, 좋은 커리어 제안은 받아보고 싶지 않으신가요? <리멤버 커리어>는 리멤버에서 새롭게 출시한 회원님들을 위한 경력 관리 서비스 입니다. 능력있는 경력직 분들이 <리멤버 커리어>에 간단한 프로필만 등록해두면, 좋은 커리어 제안을 받아 볼 수 있습니다. 단 1분의 투자로 프로필을 등록해두기만 하면, 기업인사팀이나 헤드헌터가 회원님께 꼭 맞는 제안을 직접 보내드립니다. 지금 바로 <리멤버 커리어>에 프로필을 등록하고, 새로운 기회를 만나보세요!