끝나지 않은 Log4j 취약점 여파…美 CISA “긴장 풀지 말아야”
페이지 정보
본문
|
끝나지 않은 Log4j 취약점 여파…美 CISA “긴장 풀지 말아야”
<@게티이미지뱅크>
오픈소스에서 등장한 '로그4j(Log4j)' 보안위협 여파가 짧게는 수개월, 길게는 수년 간 지속될 것이라는 경고가 나왔다.
10일(현지시간) 월스트리트저널(WSJ)에 따르면, 미 사이버 보안 및 기반 시설 보안국(CISA)은 Log4j에 대한 사이버 공격에 장기적으로 대응할 계획이라고 밝혔다. 젠 이스털리 CISA 국장은 브리핑에서 “Log4j가 범용 소프트웨어(SW)인 만큼 잠재적인 범죄 규모가 크고 위협이 심각한 수준”이라면서 “미국 내 중요 인프라를 통제하는 네트워크에 대한 장기적인 위험이 우려된다”고 설명했다. 그는 “Log4j 코드의 결함과 관련한 미국 내 대규모 사이버 공격이 확인되지 않았지만, 사이버 범죄자들이 긴장감을 낮추기 위해 시간을 벌고 있을 것”이라고 경고했다. 오픈소스(무료) 로깅 라이브러리 Log4j는 프로그램 동작 과정에서 일어나는 일련의 기록을 남기기 위해 이용하는 프로그램이다. 거의 모든 서버가 이 라이브러리를 사용 중인 것으로 알려져 있어 취약점이 발견된 당시 업계가 발칵 뒤집혔다. 현재까지 Log4j 취약점과 관련한 범죄는 대부분 암호화폐(가상화폐) 채굴 SW를 공격하거나 취약 기기를 좀비 PC로 만드는 '봇네트' 코드를 심는 수준이다. 이스털리 국장은 CISA가 모든 기업의 피해를 파악하기에는 한계가 있다는 설명도 덧붙였다. 2017년 약 1억 5000만에 달하는 미국인 개인정보가 유출된 '에퀴팩스 데이터 침해 사건' 역시 오픈소스 취약성에서 비롯됐다. 지난 달 벨기에 국방부 역시 Log4j와 관련한 시스템 침입을 보고한 만큼 향후 Log4j 공격을 예방하기 위한 업계의 지속적인 감시가 요구된다. |
- 이전글SK㈜ C&C, '2022 씨앗(SIAT) 교육생' 모집...청년 장애인 ICT전문가 육성 22.01.26
- 다음글오라클, OCI AI 서비스 한국어 지원한다 22.01.26
댓글목록
등록된 댓글이 없습니다.
