현재 스타트업에서 DevOps 직무를 하고 있고 과거에는 금융권에서 인프라 운영을 주로 했습니다.
이번 log4j 취약점으로 과거 유사사례마다 힘들었던 점이 있는데요.
개인적견해입니다만, 부정적 시선으로 이슈때마다 겁주고 협박해서 보안솔루션 마케팅에 활용하고 있지 않나 생각됩니다.
제가 이해한 바로 취약점 선결 조건이 다음과 같습니다.
1. 서비스동작 호스트가 외부망 any 연결
2. java 애플리케이션 root 또는 sudo 권한 실행
3. 명시적으로 log4j-core 라이브러리를 사용하는 경우
다만, 이런 내용은 쏙 빼놓고 "무조건 큰일났으니깐 니네들 빨리 조치해 안그러면 회사 망해" 라는 식으로 이슈화 되고 있다는 생각이 듭니다.
이건 보안업계의 문제가 아닐수도 있는데 과거 금융권 근무 할 때는 사소한 이슈라도 나와있는 모든 가능성을 조치해야 했고요(현 이슈처럼 outbound 제한된 경우 취약점이 될 수 없어도)
스타트업으로 이직하고 작년에는 k8s와 serverless 환경을 이야기해도 10년도 더 된 스크립트를 들이밀면서 점검하라고 하더라고요.
점검결과가 나올수 없다고 하면 결과를 낼 수 있는 환경을 만들라고 하는데요 이때 보안업계분들이 최근 기술에 대한 이해가 있기나 한지 심각한 의구심이 들었습니다.
이게 저의 단편적인 상황인지 궁금하네요.
보안업계의 의견 과 일반 IT 업무를 하시는 분들이 저와 비슷한 의견인지도 궁금합니다.
5