기술, 보안 관련 웹사이트를 즐겨 찾는 윈도우 사용자라면 인터넷을 강타한 Log4j2 취약점 소식을 들었을 것이다. 대기업이라면 회사에서 사용한 코드에 대해 잘 아는 애플리케이션 개발자가 있고 어느 부분이 문제인지 알 수 있지만, 이런 인력이 없는 작은 기업은 상황이 완전히 다르다. 또는 기업이 아닌 개인 사용자라면 지금 상황에 대해 어떻게 대처해야 할까.

먼저 Log4j가 무엇인지부터 살펴보자. 코딩하는 개발자가 소프트웨어에서 필요한 것을 빌드하는 데 사용하는 로깅 프레임워크다. 자바로 작성됐으며 누구나 사용할 수 있는 라이선스를 부여하고 오픈소스 소프트웨어에 흔히 쓰인다. 

알리바바(Alibaba) 클라우드 보안 팀에서 최초로 취약점을 보고했고 픽스가 준비되는 상황에서 마인크래프트 게이머가 채팅 상자에 특정 코드 문자열을 입력하면 원격 코드 실행이 트리거될 수 있다는 사실을 발견했다. 마이크로소프트는 마인크래프트 게임 서버를 수정했지만 곧 이 문제가 클라우드 서버를 넘어 더 광범위하게 영향을 미친다는 점이 명확하게 드러났다. 

이 취약점은 비즈니스 애플리케이션에도 영향을 미칠 수 있다. 대기업의 경우 다양한 정부 리소스가 제공되지만 작은 기업과 개인 사용자를 위한 뚜렷한 조언은 아직 충분치 않다. 이런 사용자를 위한 필자의 조언은 다음과 같다.

일단 가장 중요한 것은 윈도우에서 기본 마이크로소프트 오피스 소프트웨어를 사용한다면 걱정하지 않아도 된다는 것이다. 마이크로소프트 제품은 영향을 받지 않는다. 이 취약점은 특히 개인 사용자용 윈도우에는 기본으로 설치되지 않는 아파치 기반 소프트웨어와 관련된다. Log4j2에 의존하는 클라우드 기반 앱을 사용한다면 업체가 앱을 업데이트하고 패치할 것이다.

이 취약점은 윈도우 기반이 아닌 라우터, 방화벽, 프린터 또는 기타 사물인터넷 하드웨어를 포함한 다양한 종류의 기기에 영향을 줄 수 있다. 자신이 취약한 상태인지는 직접 확인해야 한다. 이와 같은 기기가 내부 네트워크에 어떻게 연결되어 있는지, 외부에 노출되어 있는지 살펴봐야 한다. 

많은 사람이 좋지 않은 일이 닥치기 전까지는 이와 같은 기기가 온라인에 노출돼 있다는 사실 자체를 모른다. 예를 들어 프린터는 인터넷으로 인쇄가 가능하도록 설정되는 경우가 많다. 어디에서나 인쇄할 수 있는 기능은 유용하지만 그 대가로 기기가 해킹될 위험에 노출된다. 실제로 포트 9100이 인터넷에 열려 있다면 공격자가 그 프린터로 인쇄할 수 있다.

기억해야 할 점은 현재 사용하는 기기가 ‘어디에서나’ 액세스하는 기능을 지원한다면 그 액세스가 플랫폼에 어떤 영향을 미칠지 잘 생각해야 한다는 것이다. 이런 기능을 사용할 경우 인증 방법을 선택하거나 이중 인증을 추가할 때 적절한 제한을 설정해야 한다. 

소규모 기업에서 SQL 서버가 설치돼 있다면 윈도우 네트워크 내에 취약한 소프트웨어가 있을 가능성이 더 높다. 회사 또는 회사가 이용하는 업체가 자바 기반 로깅 모듈을 설치했다면 해당 모듈에 취약점이 포함될 수 있다. 최선의 방법은 서버에 SQL 인스턴스가 설치됐는지 확인하고 업체에 조언을 구하는 것이다. 네트워크를 컨설턴트에게 맡기고 있다면 컨설턴트에게 연락하면 된다. 자신이 컨설턴트라면 동료와 관리 툴 업체에 연락해 패치해야 할 소프트웨어를 파악해야 한다.

사용자 수 300명 미만의 소규모 기업에서 위험에 처했는지 모니터링하고 점검하는 방법 중 하나는 기업용 마이크로소프트 디펜더(Microsoft Defender for Business) 프리뷰에 등록하는 것이다. 이 클라우드 기반 콘솔을 사용해 취약할 가능성이 있는 워크스테이션을 점검하고 모니터링할 수 있다. 다른 모니터링과 바이러스 스캔 제품을 쓴다면 해당 업체에 연락해 문제의 결함을 적극적으로 찾고 있는지 확인한다. 

CISA 사이트의 소프트웨어 목록을 살펴보면서 그 중에 회사에 설치된 소프트웨어가 있는지 확인하는 것도 좋다. 또한 이번 취약점의 영향을 받은 소프트웨어를 모아 놓은 유용한 사이트도 있다. 필자는 현재 사용 중인 리코(Ricoh) 프린터가 취약하지 않다는 것을 여기서 확인했다.

그 다음에는 네트워크와 같은 인터넷 연결을 공유하는 다른 기기를 찾는다. 그런 기기의 보안을 확신할 수 없고 굳이 비즈니스용 기기와 같은 네트워크를 공유할 필요가 없다면 전용으로 별도의 네트워크를 구축한다. 이런 기기가 비즈니스 자산과 같은 IP 범위에 포함되지 않는 것이 핵심이다. 모든 IoT 기기는 자체 네트워크에 위치해야 한다. 

마지막으로 Log4j2 보안 취약점에 초점을 두고 자신의 기기에 대한 보안 정보 및 리소스를 파악하고, 추가 정보를 찾을 수 있는 곳도 알아 둬야 한다. 이 문제에서 가장 어려운 부분은 각 플랫폼에 대해 발표된 보안 공지를 찾는 것이다. 이런 방식을 한번 익혀 두면 Log4j2뿐만 아니라 앞으로의 보안 문제에 있어서도 무엇이 취약하고 취약하지 않은지 필요한 리소스를 찾을 수 있다. 앞으로 이와 같은 유형의 취약점이 더 많이 발생할 가능성이 높다. 이번 기회에 제대로 대비하는 방법을 정리해둘 필요가 있다.

출처 : https://www.itworld.co.kr/news/219499
문제가 될 시 삭제하겠습니다.