[데이터넷] Log4Shell로 명명된 Log4j 취약점(CVE-2021-44228·CVE-2021-45046) 공격이 시작됐다. 많은 보안 기업·기관이 대규모 Log4Shell 취약점 스캐닝 시도를 탐지·차단하고 있다고 발표했는데, 임퍼바는 취약점 공개 초기에만 140만건의 취약점 스캔 시도가 발견됐다고 밝힌 바 있다. 시스코는 취약점 공개 2주 전에 이 취약점 공격 검색 시도를 보고했다며, 취약점 공개 시점에도 이미 상당한 공격 시도가 있었던 것으로 추론할 수 있다.
래피드7 연구팀은 다크웹에서 Log4Shell 취약점과 관련한 채팅과 포스팅이 급증하고 있으며, 특히 러시아, 중국, 터키 커뮤니티 해커들이 취약점 악용 행위를 공유하고 있다고 설명했다. 마이크로소프트는 취약점 공격과 후속 공격까지 발견되고 있다며 긴급 조치가 필요하다고 경고했으며, 블랙베리는 스플렁크 대상 공격도 목격됐다고 발표하기도 했다. 공격자들은 암호화폐 채굴, 랜섬웨어, 봇넷, 취약점 공격 도구 다운로드를 위한 원격접속 시도를 진행하는 것으로 알려진다.
레코디드퓨처는 “Log4Shell 익스플로잇은 외부· 내부 서비스에서 Log4j 로깅 라이브러리를 사용할 수 있기 때문에 초기 액세스와 측면 이동 모두에 유용하다. 이 취약성에 대해 기록된 미래에 의해 탐지된 가장 초기의 활동은 범죄자들이 이 취약성을 적극적으로 이용하고 있는 것으로 확인됐고, 적극적인 공격이 계속되고 있다”며 “며칠 안에 웜 방식의 확산이 가능한 변종이 나올 것이라는 예측도 나오는 상황”이라고 밝혔다.
Log4Shell 변종이 빠르게 나오고 있는데, 변종이 발견될 때 마다 패치를 하는 것은 불가능하다. 영향을 받는 버전이 워낙 광범위하기 때문에 사용중인 시스템 중 어떤 서버에 취약한 버전이 사용되고 있는지 수동으로 알아내기 어려우며, 모든 취약한 서버에 일제히 패치를 배포하는 것도 쉽지 않다. 이 패치로 인해 운영중인 서비스가 장애를 일으킬 지 알 수 없기 때문이다.
이렇게 보안팀이 어려움을 겪는 가운데, 공격자들은 자유롭게 취약점을 이용해 공격하고 있다. 클라우드로 공격표면이 확장됐기 때문에 공격자는 어디에서든 취약점을 이용해 원격코드실행이 가능하다. 랜섬웨어, APT 공격그룹, 국가기반 공격자들에게 유용한 공격도구가 된 셈이다.
존 헐트퀴스트(John Hultquist) 맨디언트 위협 인텔리전스 분석 담당 부사장은 “국가기반 공격자들은 취약점을 이용해 침투하고, 이후 필요한 네트웨크에 발판을 만들기 위해 빠르게 움직이고 후속 공격을 위한 작업을 하고 있을 것”이라며 “취약점이 공개되기 전부터 표적으로 노려온 조직이나 광범위한 목표 조직을 선정하고 대규모 공격을 진행할 수 있을 것”이라고 설명했다.
고객 보호 적극 나선 보안 기업
취약점 대응에 어려움을 겪는 보안조직을 돕기 위해 보안 기업들이 다양한 보호 조치를 제공하면서 고객을 보호하고 있다. 팔로알토 네트웍스는 차세대 방화벽으로 선제방어와 취약점 관련 세션을 자동 차단하며, XDR·XSOAR 및 클라우드 보호 기술을 이용해 취약점 공격을 미리 감지하고 차단한다.
지스케일러는 원격실행 자체를 금지할 수 있도록 VPN·RDP 사용을 금하고, 제로 트러스트 네트워크 액세스(ZTNA)를 이용해 허가된 사람만 허가된 애플리케이션에 접속하도록 함으로써 Log4Shell취약점 공격을 원천 차단한다고 설명했다.
트렌드마이크로 역시 자사 솔루션으로 취약점 공격을 방지하고, 잠재적인 익스플로잇과 동작을 지속적으로 모니터링해 탐지·대응하는 기능을 제공하고 있다.
체크포인트는 차세대 방화벽을 통해 위협 행위를 차단하는 한편, 보안 리서치를 통해 실시간으로 위협 행위를 파악하고 대응한다고 설명했다.
인포블록스의 경우, 취약점 공격과 관련성이 있는 DNS 쿼리 증거를 발견하고 이를 조사해 대응책으로 배포할 계획이라고 밝혔다.
광범위한 IT 환경에서 취약한 시스템을 자동으로 탐색해 대응할 수 있도록 취약점 탐지 솔루션도 적극 대응하고 있다. 시높시스는 오픈소스 관리 솔루션 블랙덕 제품군으로 취약점을 자동 탐지, 대응한다고 밝혔다. 이 제품을 국내에 공급하는 KMS테크놀로지는 자사 홈페이지를 통해 안내하며, 상담 서비스도 지원한다고 밝혔다.
소스코드 보안 솔루션 기업 체크막스는 오픈소스·써드파티 코드 취약점을 탐지하는 CxSCA를 통해 코드에 포함된 보안위협을 식별하고, 소프트웨어 재료 명세(SBOM) 자동화를 지원하고 있다.
국내 전문기업인 스패로우 역시 오픈소스 코드 점검 솔루션 ‘스패로우 SCA’로 이 취약점에 대응하는 한편, 긴급진단 서비스를 제공하고 있다.
SK쉴더스는 취약점 툴을 무료 제공하면서 대응에 나섰다. 이 툴은 실제로 공격 시도가 있었는지 판별하는 해킹 점검 툴로, 실제 보안 대책 수립에 도움이 될 것이라고 설명한다.
SI 기업인 LG CNS는 14일부터 헬프데스크를 운영하면서 취약점 공격 대응을 지원하고 있으며, 고객사에는 대응 가이드와 상세 설명을 제공하고 있다.
