[데이터넷] 로그4j 취약점을 악용한 공격 사례가 지속적으로 발견되고 있다. 전 세계 거의 모든 서버와 서비스에 영향을 주는 로그4j 취약점은 광범위하게 배포됐을 뿐 아니라 취약한 모듈을 사용한 패키지 파일로 배포되기도 하기 때문에 일반적인 스캐너로는 탐지하기 어렵다.

취약점에 영향을 받지 않는 업데이트 버전을 적용했다가 서비스에 영향을 줄 수도 있기 때문에 쉽게 업데이트 할 수도 없다. 업데이트 버전 적용이 어려울 경우 PatternLayout에서 ${ctx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경하거나 ${ctx:loginId} 또는 $${ctx:loginId}를 제거해야 하는데, 수많은 서버·시스템에서 이를 일일이 찾아 변경하는 것도 쉽지 않은 일이다.

남인우 태니엄코리아 전무는 “로그4j를 사용하는 파일뿐 아니라, 써드파티 라이브러리, 리패키징 된 파일에 숨어있는 취약점 영향을 받는 파일을 찾아야 한다. 여러 단계 아래 숨어있는 인스턴스를 찾는 일은 결코 쉬운 일이 아니다”며 “전체 시스템의 숨어있는 파일까지 검색해 취약점 영향을 받는 파일을 찾아 자동으로 조치하는 솔루션이 필수”라고 말했다.

실시간 위협헌팅으로 피해 가능성 낮춰야

남인우 전무는 데이터넷TV ‘Log4j 사례로 확인하는 태니엄의 실시간 위협 헌팅’ 웨비나에서 실시간 위협 헌팅을 통해 대규모 환경에서 취약점을 찾아 대응하는 방법에 대해 소개했다.

위협헌팅은 시스템에서 공격당한 증거나 취약점을 찾아 분석하면서 공격이 어떻게 침투하고 이동했는지 찾아내는 기술이다. 포렌식과 분석 전문성을 갖춰야 하며, 실시간 조사보다 사후 조치로 수행하는 경우가 대부분이다. 그러나 사고 발생 후 분석해 대응책을 마련하는 것은 추가 피해를 막을 수 있지만, 이미 발생한 피해를 되돌릴 수는 없다. 그래서 태니엄은 평소 꾸준한 위협헌팅을 통해 공격에 악용될 수 있는 취약점을 찾아 조치해야 한다고 강조한다.

공격자는 최초 침투 후 수평이동하면서 중요 시스템과 데이터를 찾는다. 오랜 기간 동안 중요 데이터를 모아서 외부로 유출하며, 공격 흔적을 지워 침해 사실을 알아채지 못하게 한다. 그리고 적정한 시기에 랜섬웨어 공격을 하고 협박을 한다. 공격 시작 후 탐지까지 평균 100일 정도 소요되는데, 많은 피해조직은 공격자가 공격 사실을 알리거나 다른 기관으로부터 피해사실을 알릴때까지 피해 사실을 알지 못한다.

남인우 전무는 “피해 조직은 피해 사실을 알게 된 후 악성도구를 지우고 피해를 수습하는데 급급해 공격이 어떻게 들어와서 어떤 범위까지 확장해 피해를 입혔는지, 남아있는 사이버 스파이는 없는지 파악하지 않아 반복적으로 공격을 당한다”며 “수시로 시스템에서 위협헌팅을 통해 이상징후를 파악하고 선제적으로 대응해야 침해 시도가 피해로 이어지는 것을 막을 수 있다”고 말했다.

단순하고 쉬운 환경으로 관리시간 획기적으로 절감

태니엄은 리니어 체인(Linear Chain) 아키텍처를 기반으로 한 IT 자산관리 플랫폼을 통해 전 세계에 배포된 수십만대의 서버·PC에 대해서도 1분 이내에 가시성을 제공한다. 알려진 취약점이나 이상행위 등 1700여가지 위협 탐지 정보를 제공, 전체 자산에서 탐지해 즉각 조치를 취할 수 있다. 윈도우, 리눅스, 유닉스 등 다양한 OS를 지원하며, 검색창을 통해 취약점을 쉽게 검색할 수 있고, 간단한 명령어로 조치를 취할 수 있다.

태니엄은 기본 모듈만으로도 IT 자산관리에 필요한 거의 대부분의 기능을 지원하며, 위협헌팅, EDR, 패치관리, 컴플라이언스 지원, 엔드포인트 상태와 성능관리 등 다양한 고급 기능을 모듈로 제공한다.

남인우 전무의 세션 발표에 이어 데모 시연으로 실제 로그4j 취약점 대응 사례를 보여준 김경운 태니엄코리아 부장은 “태니엄은 단일 콘솔, 단일 에이전트에서 다양한 기능을 제공한다. 모든 자산을 가시화하고, 취약점을 찾아 패치하거나 적절한 방법으로 조치하며, 실시간으로 빠르게 헌팅하는 등 위협 대응을 지원한다”며 “간단하고 쉬운 명령어로 모든 조작이 가능해 대규모 분산된 환경에서도 IT 자산을 쉽고 안전하게 관리할 수 있다. 또한 현재 발생 가능한 위협 뿐 아니라 향후 발생할 가능성이 있는 위협도 대응할 수 있다”고 말했다.

김경운 부장의 데모는 1000여대의 다양한 OS를 사용하는 시스템 환경을 대상으로 로그4j 취약점 대응을 하는 상황을 보여줬다. 와일드카드를 포함해 로그4j 혹은 jar를 검색하면 해당 파일이 포함된 모든 파일이 검색된다. 압축파일, 오피스 문서 내 콘텐츠 식별도 가능하며, 리패키징 된 파일도 상세한 헌팅이 가능하다.

로그4j의 예를 들어, jar 파일을 검색하면 이 파일이 포함되어 있는 라이브러리, 패킹·리패키지되거나 파일명이 변경된 파일까지 모두 검색되며, 그 결과에 대해 자동으로 조치를 취할 수 있다. jar 파일 내 JNDI 파일을 삭제하거나 레지스트리를 변경하는 등 필요한 조치를 간단하게 취할 수 있다.

위협 완화 후 취약한 소프트웨어의 패치를 업데이트 할 수 있으며, 단일 콘솔에서 패치 배포, 소프트웨어 패키지 생성도 가능해 관리 시간을 크게 절감할 수 있다. 검색이나 조치를 위한 명령어는 사전 정의된 스크립트를 제공해 일일이 타이핑하지 않아도 쉽게 사용할 수 있게 하며, 필요에 따라 스크립트는 자유롭게 수정 가능하다.

태니엄의 리빌(Revel) 모듈은 민감·개인정보를 파악해 PCI-DSS, EU GDPR, HIPPA 등 주요 컴플라이언스를 지원한다. 규제준수 위반 가능성이 있는 시스템의 설정이나 악용 가능한 취약점을 가시화하며, 즉시 조치할 수 있도록 지원한다. 룰, 패턴, 정책 기반 탐지 등 다양한 탐지를 지원하며, 새로운 룰을 생성할 때 키워드를 매칭시켜 쉽고 편하게 룰 설정이 가능하도록 한다.

김경운 부장은 “태니엄은 단일 콘솔에서 단말, 사용자, 네트워크 등 다양한 정보를 검색할 수 있으며, 여러 솔루션과 연계·통합을 자유롭게 지원한다. 사전 지정 상용 소프트웨어나 갤러리를 제공해 편의성을 높이고 관리자의 시간을 비약적으로 줄일 수 있다”며 “태니엄은 현재 직면한 문제 뿐 아니라 미래 발생할 위협에도 효과적으로 대응할 수 있다”고 설명했다.

김선애 기자 다른기사 보기