Log 4j 보안 이슈

2021년 12월에 Log 4j취약점 이슈가 터졌다.

난 아직 개발자를 준비하고 있어 100%로 이해하지는 못했지만 개발에서 보안은 생명인데 그 보안에 문제가 생겼다는 것은 이해되었다.

 

먼저 log4j가 뭔지 몰라서 찾아보았다.

log4j는 프로그램을 작성하는 도중에 로그를 남기기 위해 사용되는 java(자바) 기반 오픈 소스 로깅 유틸리티라고 한다.

주로 디버그용 도구로 사용된다고 나왔다. 이 모듈은 java spring framework에서 주로 사용한다고 한다.

 

로깅이란 서버. 프로그램 등의 유지 관리를 목적으로 동작 상태를 기록으로 남기는 일을 뜻하는데, 사실상 거의 모든 서버가 이 라이브러리를 사용하는 것으로 알려져 있어 심각한 해킹에 노출될 우려가 있다고 설명에 적혀있다.

만약 해커들이 이 취약점을 공격하면 대상 컴퓨터의 모든 권한을 취득할 수 있다고 한다. 비밀번호도 없이 서버를 통해

내부망에 접근해 데이터를 약탈하거나 악성 프로그램을 심어 실행시키고, 자료 삭제까지 가능하다고 한다.

 

인터넷 서버용 소프트웨어인 ‘로그 4j’(log4 j)에서 심각한 해킹을 야기할 수 있는 취약점이 발견돼 전 세계 사이버 보안 업계가 발칵 뒤집혔다고 AP통신이 10일(현지시간) 보도했습니다.

 

AP 통신에 따르면 게임 서버나 클라우드 서버를 운영하는 정보기술(IT) 기업체는 물론이고 웹사이트를 운영하는 기업들, 심지어 정부 기관까지 이 소프트웨어를 활용하고 있어 심각한 해킹 위험에 노출될 수 있다는 우려가 제기됐습니다.

 

보안 업체 텐에이블의 아밋 요란 최고경영자(CEO)는 이 취약점에 대해 “지금 위험에 처하지 않은 회사가 없다”며 “최근 10년간 가장 치명적이고 거대한 취약점이다. 현대 컴퓨터 역사를 통틀어 최악의 보안 결함일 수도 있다”라고 말했다고 합니다. 특히 애플, 아마존, 트위터, 클라우드플레어 등 거대 IT기업 역시 로그 4j를 이용하고 있어 위험에 노출된 상태입니다. 우리 국내 IT기업들도 예외일 수 없습니다.

이런 글을 보니 내가 java를 공부하고 있는데 걱정이 많다.. java 백엔드 개발자를 준비 중인데 이 문제가 잘 해결되길..

 

아파치(Apache) 소프트웨어 재단의 오픈소스 프로그램 'log4 j'에서 심각한 보안 취약점이 발견됐다. log4 j 취약점은 0~10점으로 위험성을 평가하는 취약점 점수(CVSS)에서 가장 높은 10점을 받았다.

가장 높은 10점이라니..  그리고 이 취약점은 온라인게임 '마인크래프트'에서 처음 확인했다고 한다. 

---

개발자는 현재 트렌드를 파악하고, 흐름을 읽어야 한다 생각한다. 그래서 난 잘 모르더라도 꾸준히 트렌드 및 흐름을 

파악하기로 했다.