로그4셸 이란 무엇이고 어떤 문제가 발생할 수 있나요?
3 min read
로그4셸(Log4Shell)은 자바 기반 로깅 유틸리티인 로그4j(Log4j)에서 발생하는 취약점을 말하며, 다양한 악용 시도로 인해 많은 사이버 보안 전문가가 주목하고 있는 취약점입니다. 로그4셸은 제로데이 취약점으로 분류되어 보안 패치가 공개되었으며, 많은 기업에서 보안 업데이트가 진행되고 있습니다. 하지만 오픈소스 취약점 식별의 어려움과 내부 침투 여부 확인의 어려움으로 인해 APT 공격 그룹의 취약점 악용 시도가 계속되고 있는 상황입니다.
로그4j의 작동 원리는 무엇인가요?
로그4j는 수백만 개의 프로그램의 로깅을 담당하고 있는 오픈소스 로깅 프레임워크로 자바 애플리케이션, 특히 엔터프라이즈 소프트웨어에서 폭넓게 사용되고 있습니다. 로그4j를 이용하면 특정 애플리케이션에서 발생하는 일을 추적하고 IT 관리자에게 진단 메시지를 전송할 수 있으며, 사용자 입력값을 포함해 다양한 데이터를 로깅할 수 있습니다.
예를 들어 특정 서버에 액세스하려다 로그인 정보를 잘못 입력해 401 오류 메시지가 표시되는 경우를 생각해 보겠습니다. 이때 서버는 사용자에게 원하는 리소스에 액세스할 수 있는 권한이 없다고 표시하고 이벤트를 로그4j로 기록합니다. 이러한 방식은 시스템 관리자가 인가되지 않은 로그인 시도를 파악하고 상황을 조사하는 데 도움이 됩니다.
2021년 12월에 발견된 Log4j 취약점은 시스템에 악성 코드를 삽입하고 데이터 탈취, 멀웨어 감염, 대상 통제권 탈취 등의 공격을 진행하는 데 악용되고 있습니다. CVE-2021-44228이라는 CVE 번호를 부여받은 이 취약점이 바로 로그4셸입니다.
로그4셸로 인해 발생할 수 있는 문제는 무엇인가요?
로그4셸 취약점이 발견되자마자 취약점을 악용하려는 시도가 다수 발생했습니다. 특히 마이크로소프트는 중국, 이란, 북한, 터키의 해커 그룹이 로그4셸 취약점을 악용하고 있다고 발표했습니다.
해커는 로그4j 취약점을 이용해 원격으로 대상 컴퓨터에서 코드를 실행해 데이터를 탈취하거나 멀웨어를 설치하거나 원격으로 컴퓨터를 통제합니다. 최근에는 시스템을 해킹해서 암호화폐를 채굴하는 사례도 확인되었습니다.
또한 많은 해커들은 다양한 네트워크의 액세스 권한을 확보하고 해당 액세스 권한을 서비스형 랜섬웨어(randsomeware-as-a-service) 회사에 판매하고 있습니다. 이는 해커가 직접 랜섬웨어 공격을 하는 대신 제삼자가 랜섬웨어 공격을 진행할 수 있도록 액세스 권한을 판매한다는 의미입니다. 또한 해커 그룹은 윈도우와 리눅스 시스템에서도 로그4셸 취약점을 악용하려고 시도하고 있어 더 많은 사용자가 랜섬웨어의 공격에 노출될 위험이 있습니다.
2022년 1월 영국 국민보건서비스(NHS)는 해커들이 VM웨어 호라이즌(VMware Horizon) 서버를 노리고 있다고 경고했습니다. 이러한 공격은 데이터 탈취와 멀웨어 및 랜섬웨어 배포로 이어질 수 있습니다. 또한 해커들은 인기 비디오 게임인 마인크래프트의 서버도 노리고 있는 것으로 알려졌습니다. 미국 사이버보안 및 인프라 보안국(CISA) 이사 젠 이스털리(Jen Easterly)는 로그4셸이 미래에도 악용될 가능성이 있다고 밝혔습니다.
얼마나 많은 소프트웨어 취약점이 존재하나요?
미국 정부가 발간하는 2020년 국가 취약점 데이터베이스(NVD)에 따르면 발견된 취약점의 수는 18,000여 개에 달하는 것으로 나타났습니다. 현재 글 작성 시점에서 데이터베이스에 포함된 취약점 수는 총 168,000개입니다.
취약점은 낮은 위험, 보통 위험, 높은(중대한) 위험으로 구분됩니다. 로그4셸은 인터넷 사용자에게 막대한 영향을 끼칠 수 있는 중대한 취약점으로 분류되어 있습니다. 로그4셸은 발견되는 즉시 제로데이 취약점으로 분류되었습니다. 이는 취약점이 발견되기 전에 이미 해커가 취약점에 관해 알고 있었을 가능성이 있다는 뜻입니다. 하지만 사이버 보안 전문가가 취약점을 발견하기 전에 이미 해커가 로그4셸을 악용하고 있었는지는 분명하지 않습니다.
또한 로그4셸은 취약점을 찾기 어렵다는 문제가 있습니다. 개발자도 모르는 사이 로그4j를 직간접적으로 사용하는 경우가 많기에 거의 모든 자바 환경에 로그4셸이 존재한다고 할 수 있습니다.
Log4Shell 취약점 조치 방법
로그4셸 취약점이 발견된 후 위험을 제거하기 위해 다양한 패치가 릴리스되었습니다. Log4j에 의존하는 애플리케이션을 사용하고 있는 회사는 즉시 소프트웨어를 업데이트해야 하며, 모든 프로그램을 검사하고 조직에 중요한 프로그램부터 업데이트할 것을 추천합니다.
하지만 보안 업체 레질리온(Rezilion)의 스캔 결과에 따르면 로그4셸 취약점이 발견된 지 4개월이 지난 2022년 4월 27일 기준으로도 취약한 버전의 로그4j를 사용하고 있는 서버가 9만 개 이상인 것으로 나타났습니다. 따라서 기업과 별개로 개인도 인터넷 위협을 방지하려는 노력이 필요합니다.
위협을 효과적으로 방지하려면 네트워크에서 의심스러운 활동이 발생하는지 주의를 기울여야 하며, 가능하다면 VPN으로 내 아이피를 가상 IP로 변경해 멀웨어 등 다양한 인터넷 위협을 방지하는 것이 좋습니다.
