대규모 멀웨어 배포·디도스·암호화폐 채굴 공격 사례 보고돼
[데이터넷] Log4j 취약점에 기업·기관이 발빠르게 대응하고 있지만, 패치 우회 가능성이 다시 발견되고 있다. 아파치 재단은 13일 2.16.0 버전을 추가 배포하고 2.15.0 업데이트 했다 해도 2.16.0으로 다시 업데이트 해야 한다고 권고했다.
최근 문제가 되는 Log4j의 CVE-2021-44228 취약점은 공통 취약점 점수 시스템(CVSS)에서 가장 높은 10점을 받은 심각한 것으로, 버전 2.0과 2.14.1의 모든 Log4j가 영향을 받는다. 패치를 하지 않을 경우, 공격자가 특수하게 조작된 메시지를 보내 원격에서 코드를 실행할 수 있게 된다. 이를 이용해 악성코드 유포, 중요 데이터 탈취, 임의의 파일 다운로드 등의 공격이 가능하다.
미라이2, 쓰나미3 등 대규모 멀웨어 배포에 사용됐고 디도스·암호화폐 채굴 등에 이용된 것이 확인됐으며, 취약한 서버를 찾아 정보를 탈취하는 공격도 진행되고 있다.
Log4j은 거의 대부분의 엔터프라이즈 애플리케이션과 웹사이트에서 사용되기 때문에 국가 중요 기반시설 표적공격에도 이용될 수 있다는 경고도 나온다. 체크포인트는 암호화폐 채굴에 악용하고 있지만, 더 높은 수익을 얻을 수 있는 공격도 벌일 수 있다고 경고했다.
실제로 콜로니얼 파이프라인 공격에 사용된 코발트 스트라이크를 떨어뜨리기 위해 사용된 정황도 밝혀졌다. 코발트 스트라이크는 레드팀이 원격 네트워크를 감시하기 위해 장치에 에이전트나 비콘을 배치하는 합법적이 침투 테스트 툴킷이다. 공격자들은 합법적인 침투 테스트 툴을 이용해 해킹을 시도하는데, 이는 마이크로소프트는 Log4j 취약점이 코발트 스트라이크를 사용해 공격하기 위한 원격 통제 도구로 사용됐을 가능성이 있다고 설명했다.
이러한 경고에 대해 클래로티, 노조미 네트웍스 등 중요 OT 보안 기업들은 빠르게 고객들이 대처해야 할 사항은 안내하는 한편, 위협 인텔리전스 서비스에 공격 진단과 대응책을 추가했다고 공개했다.
우리나라 정부와 관계기관, IT 및 보안 기업들도 고객들에게 대응 사항을 안내하고 있으며, KISA는 인터넷 보호나라에서 취약점 취약점 대응 가이드를 발표하고 빠른 조치를 안내하고 있다.
한편 지스케일러는 Log4j 대응을 위해 제로 트러스트 아키텍처를 택하는 것이 가장 좋은 방법이라며 ▲공격표면을 최소화하고 공격 대상이 되는 애플리케이션이 공개되거나 검색되지 않도록 할 것 ▲인증된 사용자만 앱에 액세스 할 수 있도록 보장할 것 ▲사용자와 앱 간 마이크로 세그멘테이션을 통해 측면이동을 차단할 것 ▲암호화 트래픽을 포함한 인·아웃바운드 트래픽을 모두 검사할 것 등을 권고했다.
