S2W, 로그4셸 분석 보고서 발표...다크웹서도 악용사례 나와

위협 인텔리전스 기업 S2W가 로그4셸 분석 보고서를 발표했다. 이미 취약점을 악용한 악성코드 유포가 활발히 이뤄지고 있으며, 다크웹 해킹 포럼에서는 이번 취약점을 이용해 정보를 유출했다고 주장하는 게시물이 등장하기도 했다.

곽경주 S2W 이사는 "자사 CTI 그룹 분석에 따르면, 로그4j 취약점을 이용한 크립토마이너, 봇넷, 랜섬웨어 등의 악성코드 유포가 활발히 이뤄지고 있고, 현재 패치 되지 않은 시스템을 대상으로 한 무차별적인 공격은 이미 시작된 상태"라며, "서버 종류와 상관없이 로그4j를 사용하는 모든 서버와 서비스에 영향을 미친다"고 우려를 표했다.

S2W는 로그4j를 비롯해 전반적인 보안 취약점 대응을 위해 사내 오픈소스 사용 현황을 파악해야 한다고 지적했다. 이후 내부에서 사용하는 오픈소스와 관련된 취약점이 공개됐을 경우, 자동화된 알림을 줄 수 있는 시스템 역시 필요하다.

보안 위협으로 전체 시스템에 대한 동시다발적 조치가 어려우면 우선순위에 따른 순차적 조치가 필요하며 이를 위해서는 대고객용 시스템, 외부에서 접속 가능한 직원용 업무 사이트 등 내부 자산에 대한 용도별 분류와 사용 중인 서비스에 대한 파악이 선행돼야 한다. 또한 평소에 국내외 보안 벤더의 신규 취약점과 악성코드 관련 보고서 등을 주기적으로 확인하고 내재화하는 작업을 지속적으로 진행해야 한다고 말했다.

관련기사

• ​이란·중국 해커, 로그4셸 악용했다...국내에서도 사용현황 실태파악 나서
• 로그4j 취약점 추가로 발견, 15일 15시 기준 최신버전 발표

현재 △Tomcat △Minecraft △Redis △Apache Struts △Apache Solr △Apache Druid △Apache Flink △Apache Dubbo △ElasticSearch △Flume △Logstash △Kafka △Spring-Boot-starter-log4j2 등을 포함해 150여개 이상의 서비스가 해당 취약점에 영향을 받는 서비스라며 각별한 주의가 필요하다.

이대진 S2W 연구원은 "로그4j 구버전(1.x)을 사용하면 안전하다는 소문은 잘못된 사실이며, 1.2 버전에서도 유사한 형태의 취약점이 발견됐다. 특히 기술지원이 종료된 구버전은 다수의 취약점이 발견되더라도 패치가 나오지 않을 예정이기 때문에 가장 최신 버전으로 업데이트 할 것을 권장한다"고 강조했다.

 

[사진=S2W]